macOS Gatekeeper / Quarantine / XProtect

```c #include #include

enum qtn_flags { QTN_FLAG_DOWNLOAD = 0x0001, QTN_FLAG_SANDBOX = 0x0002, QTN_FLAG_HARD = 0x0004, QTN_FLAG_USER_APPROVED = 0x0040, };

#define qtn_proc_alloc _qtn_proc_alloc #define qtn_proc_apply_to_self _qtn_proc_apply_to_self #define qtn_proc_free _qtn_proc_free #define qtn_proc_init _qtn_proc_init #define qtn_proc_init_with_self _qtn_proc_init_with_self #define qtn_proc_set_flags _qtn_proc_set_flags #define qtn_file_alloc _qtn_file_alloc #define qtn_file_init_with_path _qtn_file_init_with_path #define qtn_file_free _qtn_file_free #define qtn_file_apply_to_path _qtn_file_apply_to_path #define qtn_file_set_flags _qtn_file_set_flags #define qtn_file_get_flags _qtn_file_get_flags #define qtn_proc_set_identifier _qtn_proc_set_identifier

typedef struct _qtn_proc *qtn_proc_t; typedef struct _qtn_file *qtn_file_t;

int qtn_proc_apply_to_self(qtn_proc_t); void qtn_proc_init(qtn_proc_t); int qtn_proc_init_with_self(qtn_proc_t); int qtn_proc_set_flags(qtn_proc_t, uint32_t flags); qtn_proc_t qtn_proc_alloc(); void qtn_proc_free(qtn_proc_t); qtn_file_t qtn_file_alloc(void); void qtn_file_free(qtn_file_t qf); int qtn_file_set_flags(qtn_file_t qf, uint32_t flags); uint32_t qtn_file_get_flags(qtn_file_t qf); int qtn_file_apply_to_path(qtn_file_t qf, const char *path); int qtn_file_init_with_path(qtn_file_t qf, const char path); int qtn_proc_set_identifier(qtn_proc_t qp, const char bundleid);

int main() {

qtn_proc_t qp = qtn_proc_alloc(); qtn_proc_set_identifier(qp, "xyz.hacktricks.qa"); qtn_proc_set_flags(qp, QTN_FLAG_DOWNLOAD | QTN_FLAG_USER_APPROVED); qtn_proc_apply_to_self(qp); qtn_proc_free(qp);

FILE *fp; fp = fopen("thisisquarantined.txt", "w+"); fprintf(fp, "Hello Quarantine\n"); fclose(fp);

return 0;

}

</details>

І **видаліть** цей атрибут за допомогою:
```bash
xattr -d com.apple.quarantine portada.png
#You can also remove this attribute from every file with
find . -iname '*' -print0 | xargs -0 xattr -d com.apple.quarantine

І знайдіть усі файли в карантині за допомогою:

find / -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; printf "\n"}' | xargs -I {} xattr -lv {} | grep "com.apple.quarantine"

Інформація про карантин також зберігається в центральній базі даних, якою керує LaunchServices у ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.

Quarantine.kext

Розширення ядра доступне лише через кеш ядра на системі; однак ви можете завантажити Kernel Debug Kit з https://developer.apple.com/, який міститиме символізовану версію розширення.

XProtect

XProtect - це вбудована антивірусна функція в macOS. XProtect перевіряє будь-який додаток при його першому запуску або модифікації на відповідність його базі даних відомих шкідливих програм та небезпечних типів файлів. Коли ви завантажуєте файл через певні програми, такі як Safari, Mail або Messages, XProtect автоматично сканує файл. Якщо він відповідає будь-якій відомій шкідливій програмі в його базі даних, XProtect запобіжить виконанню файлу та сповістить вас про загрозу.

База даних XProtect регулярно оновлюється Apple новими визначеннями шкідливих програм, і ці оновлення автоматично завантажуються та встановлюються на ваш Mac. Це забезпечує, що XProtect завжди актуальний з останніми відомими загрозами.

Однак варто зазначити, що XProtect не є повнофункціональним антивірусним рішенням. Він лише перевіряє на конкретний список відомих загроз і не виконує сканування при доступі, як більшість антивірусного програмного забезпечення.

Ви можете отримати інформацію про останнє оновлення XProtect, запустивши:

system_profiler SPInstallHistoryDataType 2>/dev/null | grep -A 4 "XProtectPlistConfigData" | tail -n 5

XProtect розташований у захищеному місці SIP за адресою /Library/Apple/System/Library/CoreServices/XProtect.bundle, і всередині пакету ви можете знайти інформацію, яку використовує XProtect:

• XProtect.bundle/Contents/Resources/LegacyEntitlementAllowlist.plist: Дозволяє коду з цими cdhashes використовувати спадкові права.

• XProtect.bundle/Contents/Resources/XProtect.meta.plist: Список плагінів і розширень, які заборонено завантажувати через BundleID і TeamID або вказуючи мінімальну версію.

• XProtect.bundle/Contents/Resources/XProtect.yara: Правила Yara для виявлення шкідливого ПЗ.

• XProtect.bundle/Contents/Resources/gk.db: База даних SQLite3 з хешами заблокованих додатків і TeamIDs.

Зверніть увагу, що є ще один додаток у /Library/Apple/System/Library/CoreServices/XProtect.app, пов'язаний з XProtect, який не бере участі в процесі Gatekeeper.

Не Gatekeeper

Зверніть увагу, що Gatekeeper не виконується щоразу, коли ви запускаєте додаток, лише AppleMobileFileIntegrity (AMFI) перевіряє підписи виконуваного коду лише тоді, коли ви запускаєте додаток, який вже був виконаний і перевірений Gatekeeper.

Отже, раніше було можливо виконати додаток, щоб кешувати його з Gatekeeper, а потім модифікувати не виконувані файли додатка (як-от Electron asar або NIB файли), і якщо не було інших захистів, додаток виконувався з шкідливими доповненнями.

Однак тепер це неможливо, оскільки macOS запобігає модифікації файлів всередині пакетів додатків. Тож, якщо ви спробуєте атаку Dirty NIB, ви виявите, що більше не можливо зловживати цим, оскільки після виконання додатка для кешування з Gatekeeper ви не зможете модифікувати пакет. І якщо ви, наприклад, зміните назву каталогу Contents на NotCon (як вказано в експлойті), а потім виконаєте основний бінарний файл додатка для кешування з Gatekeeper, це викличе помилку і не виконається.

Обходи Gatekeeper

Будь-який спосіб обійти Gatekeeper (змусити користувача завантажити щось і виконати це, коли Gatekeeper повинен це заборонити) вважається вразливістю в macOS. Ось деякі CVE, призначені технікам, які дозволяли обійти Gatekeeper у минулому:

CVE-2021-1810

Було помічено, що якщо для розпакування використовується Archive Utility, файли з шляхами, що перевищують 886 символів, не отримують розширену атрибуцію com.apple.quarantine. Ця ситуація ненавмисно дозволяє цим файлам обійти перевірки безпеки Gatekeeper.

Перевірте оригінальний звіт для отримання додаткової інформації.

CVE-2021-30990

Коли додаток створюється за допомогою Automator, інформація про те, що йому потрібно для виконання, знаходиться всередині application.app/Contents/document.wflow, а не в виконуваному файлі. Виконуваний файл - це просто загальний бінарний файл Automator, званий Automator Application Stub.

Отже, ви могли б зробити так, щоб application.app/Contents/MacOS/Automator\ Application\ Stub вказував за допомогою символічного посилання на інший Automator Application Stub всередині системи і він виконає те, що знаходиться в document.wflow (ваш скрипт) без спрацьовування Gatekeeper, оскільки фактичний виконуваний файл не має атрибута карантину.

Приклад очікуваного місця: /System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub

Перевірте оригінальний звіт для отримання додаткової інформації.

CVE-2022-22616

У цьому обході був створений zip-файл з додатком, що починає стиснення з application.app/Contents, а не з application.app. Тому атрибут карантину був застосований до всіх файлів з application.app/Contents, але не до application.app, що перевіряв Gatekeeper, тому Gatekeeper був обійдений, оскільки коли application.app був запущений, він не мав атрибута карантину.

zip -r test.app/Contents test.zip

Перевірте оригінальний звіт для отримання додаткової інформації.

CVE-2022-32910

Навіть якщо компоненти різні, експлуатація цієї вразливості дуже схожа на попередню. У цьому випадку ми згенеруємо Apple Archive з application.app/Contents, тому application.app не отримає атрибут карантину при розпакуванні за допомогою Archive Utility.

aa archive -d test.app/Contents -o test.app.aar

Перегляньте оригінальний звіт для отримання додаткової інформації.

CVE-2022-42821

ACL writeextattr може бути використано для запобігання запису атрибута у файл:

touch /tmp/no-attr
chmod +a "everyone deny writeextattr" /tmp/no-attr
xattr -w attrname vale /tmp/no-attr
xattr: [Errno 13] Permission denied: '/tmp/no-attr'

Крім того, формат файлу AppleDouble копіює файл разом з його ACE.

У джерельному коді можна побачити, що текстове представлення ACL, збережене всередині xattr під назвою com.apple.acl.text, буде встановлено як ACL у розпакованому файлі. Отже, якщо ви стиснули додаток у zip-файл з форматом файлу AppleDouble з ACL, який заважає запису інших xattrs у нього... xattr карантину не було встановлено в додатку:

chmod +a "everyone deny write,writeattr,writeextattr" /tmp/test
ditto -c -k test test.zip
python3 -m http.server
# Download the zip from the browser and decompress it, the file should be without a quarantine xattr

Перевірте оригінальний звіт для отримання додаткової інформації.

Зверніть увагу, що це також може бути використано з AppleArchives:

mkdir app
touch app/test
chmod +a "everyone deny write,writeattr,writeextattr" app/test
aa archive -d app -o test.aar

CVE-2023-27943

Виявлено, що Google Chrome не встановлював атрибут карантину для завантажених файлів через деякі внутрішні проблеми macOS.

CVE-2023-27951

Формати файлів AppleDouble зберігають атрибути файлу в окремому файлі, що починається з ._, це допомагає копіювати атрибути файлів між macOS машинами. Однак було помічено, що після розпакування файлу AppleDouble файл, що починається з ._ не отримував атрибут карантину.

mkdir test
echo a > test/a
echo b > test/b
echo ._a > test/._a
aa archive -d test/ -o test.aar

# If you downloaded the resulting test.aar and decompress it, the file test/._a won't have a quarantitne attribute

Можливість створити файл, який не матиме атрибуту карантину, дозволила обійти Gatekeeper. Трюк полягав у тому, щоб створити DMG файл додатку за допомогою конвенції імен AppleDouble (почати з ._) і створити видимий файл як символьне посилання на цей прихований файл без атрибуту карантину. Коли файл dmg виконується, оскільки він не має атрибуту карантину, він обійде Gatekeeper.

# Create an app bundle with the backdoor an call it app.app

echo "[+] creating disk image with app"
hdiutil create -srcfolder app.app app.dmg

echo "[+] creating directory and files"
mkdir
mkdir -p s/app
cp app.dmg s/app/._app.dmg
ln -s ._app.dmg s/app/app.dmg

echo "[+] compressing files"
aa archive -d s/ -o app.aar

uchg (з цього доповіді)

• Створіть каталог, що містить додаток.

• Додайте uchg до додатку.

• Стисніть додаток у файл tar.gz.

• Відправте файл tar.gz жертві.

• Жертва відкриває файл tar.gz і запускає додаток.

• Gatekeeper не перевіряє додаток.

Запобігання Quarantine xattr

У бандлі ".app", якщо атрибут quarantine xattr не додано, при виконанні Gatekeeper не буде активовано.