macOS Bypassing Firewalls
Znalezione techniki
Poniższe techniki zostały znalezione działające w niektórych aplikacjach zapór sieciowych macOS.
Nadużywanie nazw na białej liście
Na przykład nazywanie złośliwego oprogramowania nazwami znanych procesów macOS, takich jak
launchd
Syntetyczne kliknięcie
Jeśli zapora prosi użytkownika o zgodę, złośliwe oprogramowanie może kliknąć na zezwolenie
Używanie podpisanych binariów Apple
Takich jak
curl
, ale także innych, takich jakwhois
Znane domeny Apple
Zapora może zezwalać na połączenia z znanymi domenami Apple, takimi jak apple.com
lub icloud.com
. I iCloud może być używany jako C2.
Ogólne Bypassowanie
Kilka pomysłów na próbę obejścia zapór sieciowych
Sprawdź dozwolony ruch
Znajomość dozwolonego ruchu pomoże Ci zidentyfikować potencjalnie domeny na białej liście lub aplikacje, które mają do nich dostęp
Nadużywanie DNS
Rozdzielanie DNS odbywa się za pomocą podpisanego aplikacji mdnsreponder
, która prawdopodobnie będzie mogła nawiązać kontakt z serwerami DNS.
Za pomocą aplikacji przeglądarki
oascript
Google Chrome
Firefox
Safari
Poprzez wstrzykiwanie procesów
Jeśli możesz wstrzyknąć kod do procesu, który ma zezwolenie na połączenie z dowolnym serwerem, możesz ominąć zabezpieczenia zapory ogniowej:
pagemacOS Process AbuseReferencje
Last updated