macOS Bypassing Firewalls
Znalezione techniki
Poniższe techniki zostały znalezione działające w niektórych aplikacjach zapór sieciowych macOS.
Nadużywanie nazw na białej liście
Na przykład nazywanie złośliwego oprogramowania nazwami znanych procesów macOS, takich jak
launchd
Kliknięcie syntetyczne
Jeśli zapora prosi użytkownika o zgodę, złośliwe oprogramowanie może kliknąć na zezwolenie
Używanie podpisanych binariów Apple
Takich jak
curl
, ale także innych, takich jakwhois
Znane domeny Apple
Zapora może zezwalać na połączenia do znanych domen Apple, takich jak apple.com
lub icloud.com
. A iCloud może być używane jako C2.
Ogólne Bypassowanie
Kilka pomysłów na próbę obejścia zapór sieciowych
Sprawdź dozwolony ruch
Znajomość dozwolonego ruchu pomoże Ci zidentyfikować potencjalnie na białej liście domeny lub aplikacje, które mają do nich dostęp.
Nadużywanie DNS
Rozdzielczość DNS jest wykonywana za pomocą podpisanego aplikacji mdnsreponder
, która prawdopodobnie będzie miała zezwolenie na kontakt z serwerami DNS.
Przez aplikacje przeglądarki
oascript
Google Chrome
Firefox
Safari
Poprzez wstrzykiwanie procesów
Jeśli możesz wstrzyknąć kod do procesu, który ma zezwolenie na połączenie z dowolnym serwerem, możesz ominąć zabezpieczenia zapory ogniowej:
macOS Process AbuseReferencje
Last updated