enum qtn_flags { QTN_FLAG_DOWNLOAD = 0x0001, QTN_FLAG_SANDBOX = 0x0002, QTN_FLAG_HARD = 0x0004, QTN_FLAG_USER_APPROVED = 0x0040, };

#define qtn_proc_alloc _qtn_proc_alloc #define qtn_proc_apply_to_self _qtn_proc_apply_to_self #define qtn_proc_free _qtn_proc_free #define qtn_proc_init _qtn_proc_init #define qtn_proc_init_with_self _qtn_proc_init_with_self #define qtn_proc_set_flags _qtn_proc_set_flags #define qtn_file_alloc _qtn_file_alloc #define qtn_file_init_with_path _qtn_file_init_with_path #define qtn_file_free _qtn_file_free #define qtn_file_apply_to_path _qtn_file_apply_to_path #define qtn_file_set_flags _qtn_file_set_flags #define qtn_file_get_flags _qtn_file_get_flags #define qtn_proc_set_identifier _qtn_proc_set_identifier

typedef struct _qtn_proc *qtn_proc_t; typedef struct _qtn_file *qtn_file_t;

int qtn_proc_apply_to_self(qtn_proc_t); void qtn_proc_init(qtn_proc_t); int qtn_proc_init_with_self(qtn_proc_t); int qtn_proc_set_flags(qtn_proc_t, uint32_t flags); qtn_proc_t qtn_proc_alloc(); void qtn_proc_free(qtn_proc_t); qtn_file_t qtn_file_alloc(void); void qtn_file_free(qtn_file_t qf); int qtn_file_set_flags(qtn_file_t qf, uint32_t flags); uint32_t qtn_file_get_flags(qtn_file_t qf); int qtn_file_apply_to_path(qtn_file_t qf, const char *path); int qtn_file_init_with_path(qtn_file_t qf, const char path); int qtn_proc_set_identifier(qtn_proc_t qp, const char bundleid);

int main() {

qtn_proc_t qp = qtn_proc_alloc(); qtn_proc_set_identifier(qp, “xyz.hacktricks.qa”); qtn_proc_set_flags(qp, QTN_FLAG_DOWNLOAD | QTN_FLAG_USER_APPROVED); qtn_proc_apply_to_self(qp); qtn_proc_free(qp);

FILE *fp; fp = fopen(“thisisquarantined.txt”, “w+”); fprintf(fp, “Hello Quarantine\n”); fclose(fp);

return 0;

}

</details>

Und **entferne** dieses Attribut mit:
```bash
xattr -d com.apple.quarantine portada.png
#You can also remove this attribute from every file with
find . -iname '*' -print0 | xargs -0 xattr -d com.apple.quarantine

Und finde alle unter Quarantäne gestellten Dateien mit:

find / -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; printf "\n"}' | xargs -I {} xattr -lv {} | grep "com.apple.quarantine"

Quarantine information is also stored in a central database managed by LaunchServices in ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 which allows the GUI to obtain data about the file origins. Moreover this can be overwritten by applications which might be interested in hiding its origins. Moreover, this can be done from LaunchServices APIS.

libquarantine.dylib

This library exports several functions that allow to manipulate the extended attribute fields.

The qtn_file_* APIs deal with file quarantine policies, the qtn_proc_* APIs are applied to processes (files created by the process). The unexported __qtn_syscall_quarantine* functions are the ones that applies the policies which calls mac_syscall with “Quarantine” as first argument which sends the requests to Quarantine.kext.

Quarantine.kext

The kernel extension is only available through the kernel cache on the system; however, you can download the Kernel Debug Kit from https://developer.apple.com/, which will contain a symbolicated version of the extension.

This Kext will hook via MACF several calls in order to traps all file lifecycle events: Creation, opening, renaming, hard-linkning… even setxattr to prevent it from setting the com.apple.quarantine extended attribute.

It also uses a couple of MIBs:

• security.mac.qtn.sandbox_enforce: Enforce quarantine along Sandbox
• security.mac.qtn.user_approved_exec: Querantined procs can only execute approved files

Provenance xattr (Ventura and later)

macOS 13 Ventura introduced a separate provenance mechanism which is populated the first time a quarantined app is allowed to run. Two artefacts are created:

• The com.apple.provenance xattr on the .app bundle directory (fixed-size binary value containing a primary key and flags).
• A row in the provenance_tracking table inside the ExecPolicy database at /var/db/SystemPolicyConfiguration/ExecPolicy/ storing the app’s cdhash and metadata.

Practical usage:

# Inspect provenance xattr (if present)
xattr -p com.apple.provenance /Applications/Some.app | hexdump -C

# Observe Gatekeeper/provenance events in real time
log stream --style syslog --predicate 'process == "syspolicyd"'

# Retrieve historical Gatekeeper decisions for a specific bundle
log show --last 2d --style syslog --predicate 'process == "syspolicyd" && eventMessage CONTAINS[cd] "GK scan"'

XProtect

XProtect ist eine integrierte Anti-Malware-Funktion in macOS. XProtect prüft jede Anwendung beim ersten Start oder nach Änderungen anhand seiner Datenbank bekannter Malware und unsicherer Dateitypen. Wenn du eine Datei über bestimmte Apps wie Safari, Mail oder Messages herunterlädst, scannt XProtect die Datei automatisch. Wenn sie mit einer bekannten Malware in der Datenbank übereinstimmt, wird XProtect die Ausführung der Datei verhindern und dich vor der Bedrohung warnen.

Die XProtect-Datenbank wird von Apple regelmäßig mit neuen Malware-Definitionen aktualisiert, und diese Updates werden automatisch auf deinem Mac heruntergeladen und installiert. Das stellt sicher, dass XProtect stets auf dem neuesten Stand der bekannten Bedrohungen ist.

Es ist jedoch wichtig zu beachten, dass XProtect keine vollwertige Antivirus-Lösung ist. Es prüft nur eine bestimmte Liste bekannter Bedrohungen und führt kein On-Access-Scanning wie die meisten Antivirusprogramme durch.

Informationen zum neuesten XProtect-Update erhältst du, indem du Folgendes ausführst:

system_profiler SPInstallHistoryDataType 2>/dev/null | grep -A 4 "XProtectPlistConfigData" | tail -n 5

XProtect befindet sich an einem durch SIP geschützten Ort unter /Library/Apple/System/Library/CoreServices/XProtect.bundle und innerhalb des Bundles finden Sie Informationen, die XProtect verwendet:

• XProtect.bundle/Contents/Resources/LegacyEntitlementAllowlist.plist: Ermöglicht Code mit diesen cdhashes, legacy entitlements zu verwenden.
• XProtect.bundle/Contents/Resources/XProtect.meta.plist: Liste von Plugins und Erweiterungen, die über BundleID und TeamID daran gehindert werden zu laden oder die eine Mindestversion angeben.
• XProtect.bundle/Contents/Resources/XProtect.yara: Yara-Regeln zur Erkennung von Malware.
• XProtect.bundle/Contents/Resources/gk.db: SQLite3-Datenbank mit Hashes blockierter Anwendungen und TeamIDs.

Beachte, dass es eine weitere App in /Library/Apple/System/Library/CoreServices/XProtect.app gibt, die mit XProtect zusammenhängt, aber nicht am Gatekeeper-Prozess beteiligt ist.

XProtect Remediator: Auf modernen macOS-Systemen liefert Apple On-Demand-Scanner (XProtect Remediator) aus, die periodisch via launchd laufen, um Malware-Familien zu erkennen und zu beseitigen. Du kannst diese Scans in den unified logs beobachten:

log show --last 2h --predicate 'subsystem == "com.apple.XProtectFramework" || category CONTAINS "XProtect"' --style syslog

Nicht Gatekeeper

Caution

Beachte, dass Gatekeeper nicht jedes Mal ausgeführt wird, wenn du eine Anwendung startest; nur AppleMobileFileIntegrity (AMFI) wird die Signaturen ausführbaren Codes verifizieren, wenn du eine App ausführst, die bereits von Gatekeeper ausgeführt und verifiziert wurde.

Früher war es daher möglich, eine App auszuführen, um sie von Gatekeeper cachen zu lassen, und dann nicht-ausführbare Dateien der Anwendung zu verändern (wie Electron asar oder NIB-Dateien). Wenn keine weiteren Schutzmaßnahmen vorhanden waren, wurde die Anwendung mit den bösartigen Ergänzungen ausgeführt.

Heute ist das jedoch nicht mehr möglich, weil macOS das Ändern von Dateien innerhalb von Application-Bundles verhindert. Wenn du also den Dirty NIB Angriff ausprobierst, wirst du feststellen, dass er nicht mehr ausnutzbar ist, denn nachdem die App zum Cache mit Gatekeeper ausgeführt wurde, kannst du das Bundle nicht mehr ändern. Und wenn du zum Beispiel den Namen des Contents-Verzeichnisses in NotCon änderst (wie im Exploit angegeben) und dann die Haupt-Binärdatei der App ausführst, um sie mit Gatekeeper zu cachen, wird ein Fehler ausgelöst und die Ausführung schlägt fehl.

Gatekeeper-Umgehungen

Jeder Weg, Gatekeeper zu umgehen (d. h. den Nutzer dazu zu bringen, etwas herunterzuladen und auszuführen, obwohl Gatekeeper dies verweigern sollte), gilt als Sicherheitslücke in macOS. Hier sind einige CVEs, die Techniken betreffen, mit denen Gatekeeper in der Vergangenheit umgangen werden konnte:

CVE-2021-1810

Es wurde beobachtet, dass bei Verwendung des Archive Utility zum Entpacken Dateien mit Pfaden, die 886 Zeichen überschreiten, kein com.apple.quarantine Extended Attribute erhalten. Dies ermöglicht es diesen Dateien unbeabsichtigt, die Sicherheitsprüfungen von Gatekeeper zu umgehen.

Siehe den original report für weitere Informationen.

CVE-2021-30990

Wenn eine Anwendung mit Automator erstellt wird, liegen die Informationen darüber, was zur Ausführung benötigt wird, in application.app/Contents/document.wflow und nicht im ausführbaren Programm. Die ausführbare Datei ist nur ein generisches Automator-Binary namens Automator Application Stub.

Deshalb konnte man application.app/Contents/MacOS/Automator\ Application\ Stub mithilfe eines symbolischen Links auf einen anderen Automator Application Stub im System verweisen, und es wurde ausgeführt, was in document.wflow enthalten ist (dein Script), ohne Gatekeeper auszulösen, weil das tatsächliche Executable kein quarantine xattr hatte.

Erwarteter Speicherort des Beispiels: /System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub

Siehe den original report für weitere Informationen.

CVE-2022-22616

Bei diesem Bypass wurde ein Zip-Archiv erstellt, bei dem die Kompression mit application.app/Contents begann statt mit application.app. Daher wurde das quarantine-Attribut auf alle Dateien aus application.app/Contents angewendet, jedoch nicht auf application.app, das Gatekeeper prüft. Gatekeeper wurde deshalb umgangen, weil application.app beim Auslösen nicht das quarantine-Attribut hatte.

zip -r test.app/Contents test.zip

Siehe den Originalbericht für weitere Informationen.

CVE-2022-32910

Auch wenn die Komponenten unterschiedlich sind, ist die Ausnutzung dieser Schwachstelle der vorherigen sehr ähnlich. In diesem Fall wird ein Apple-Archiv aus application.app/Contents erzeugt, sodass application.app won’t get the quarantine attr beim Dekomprimieren durch Archive Utility.

aa archive -d test.app/Contents -o test.app.aar

Siehe den Originalbericht für weitere Informationen.

CVE-2022-42821

Die ACL writeextattr kann verwendet werden, um zu verhindern, dass jemand ein Attribut in eine Datei schreibt:

touch /tmp/no-attr
chmod +a "everyone deny writeextattr" /tmp/no-attr
xattr -w attrname vale /tmp/no-attr
xattr: [Errno 13] Permission denied: '/tmp/no-attr'

Außerdem kopiert das AppleDouble-Dateiformat eine Datei inklusive ihrer ACEs.

Im source code ist zu sehen, dass die als xattr namens com.apple.acl.text gespeicherte ACL-Textrepräsentation als ACL in der dekomprimierten Datei gesetzt wird. Also, wenn du eine Anwendung in eine Zip-Datei im AppleDouble-Format mit einer ACL komprimiert hast, die verhindert, dass andere xattrs darauf geschrieben werden… wurde das quarantine xattr nicht in die Anwendung gesetzt:

chmod +a "everyone deny write,writeattr,writeextattr" /tmp/test
ditto -c -k test test.zip
python3 -m http.server
# Download the zip from the browser and decompress it, the file should be without a quarantine xattr

Siehe den original report für weitere Informationen.

Beachte, dass dies auch mit AppleArchives ausgenutzt werden könnte:

mkdir app
touch app/test
chmod +a "everyone deny write,writeattr,writeextattr" app/test
aa archive -d app -o test.aar

CVE-2023-27943

Es wurde entdeckt, dass Google Chrome das Quarantäne-Attribut nicht für heruntergeladene Dateien gesetzt hat, aufgrund einiger interner macOS-Probleme.

CVE-2023-27951

AppleDouble-Dateiformate speichern die Attribute einer Datei in einer separaten Datei, die mit ._ beginnt; das hilft, Dateiattribute zwischen macOS-Rechnern zu kopieren. Es wurde jedoch festgestellt, dass nach dem Dekomprimieren einer AppleDouble-Datei die mit ._ beginnende Datei nicht mit dem Quarantäne-Attribut versehen wurde.

mkdir test
echo a > test/a
echo b > test/b
echo ._a > test/._a
aa archive -d test/ -o test.aar

# If you downloaded the resulting test.aar and decompress it, the file test/._a won't have a quarantitne attribute

Wenn man eine Datei erstellen konnte, bei der das quarantine attribute nicht gesetzt war, war es möglich, Gatekeeper zu umgehen. Der Trick bestand darin, eine DMG file application unter Verwendung der AppleDouble name convention (beginne sie mit ._) zu erstellen und eine sichtbare Datei als sym link zu dieser versteckten Datei ohne quarantine attribute zu erstellen.
Wenn die dmg file ausgeführt wird, da sie kein quarantine attribute hat, wird sie Gatekeeper umgehen.

# Create an app bundle with the backdoor an call it app.app

echo "[+] creating disk image with app"
hdiutil create -srcfolder app.app app.dmg

echo "[+] creating directory and files"
mkdir
mkdir -p s/app
cp app.dmg s/app/._app.dmg
ln -s ._app.dmg s/app/app.dmg

echo "[+] compressing files"
aa archive -d s/ -o app.aar

[CVE-2023-41067]

Eine Gatekeeper-Umgehung, die in macOS Sonoma 14.0 behoben wurde, erlaubte manipulierten Apps, ohne Aufforderung ausgeführt zu werden. Details wurden nach der Veröffentlichung des Patches öffentlich bekanntgegeben und das Problem wurde vor der Behebung aktiv in freier Wildbahn ausgenutzt. Stelle sicher, dass Sonoma 14.0 oder neuer installiert ist.

[CVE-2024-27853]

Eine Gatekeeper-Umgehung in macOS 14.4 (veröffentlicht März 2024), die auf die libarchive-Verarbeitung bösartiger ZIPs zurückgeht, erlaubte es Apps, der Überprüfung zu entgehen. Aktualisiere auf 14.4 oder neuer, wo Apple das Problem behoben hat.

CVE-2024-44128

Ein Automator Quick Action workflow, der in einer heruntergeladenen App eingebettet war, konnte ohne Gatekeeper-Prüfung ausgelöst werden, weil Workflows als Daten behandelt und vom Automator-Helfer außerhalb des normalen Notarisierungs-Aufforderungswegs ausgeführt wurden. Eine manipulierte .app, die eine Quick Action enthält, die ein Shell-Skript ausführt (z. B. innerhalb von Contents/PlugIns/*.workflow/Contents/document.wflow), konnte beim Start sofort ausgeführt werden. Apple fügte einen zusätzlichen Zustimmungsdialog hinzu und behob den Bewertungsweg in Ventura 13.7, Sonoma 14.7 und Sequoia 15.

Third‑party unarchivers mis‑propagating quarantine (2023–2024)

Mehrere Schwachstellen in populären Entpack-Tools (z. B. The Unarchiver) führten dazu, dass aus Archiven extrahierte Dateien das xattr com.apple.quarantine nicht erhielten, was Gatekeeper-Umgehungsmöglichkeiten eröffnete. Verlasse dich beim Testen immer auf das macOS Archive Utility oder gepatchte Tools und überprüfe die xattr nach dem Entpacken.

uchg (aus diesem talk)

• Erstelle ein Verzeichnis, das eine App enthält.
• Füge uchg zur App hinzu.
• Komprimiere die App zu einer tar.gz-Datei.
• Sende die tar.gz-Datei an ein Opfer.
• Das Opfer öffnet die tar.gz-Datei und führt die App aus.
• Gatekeeper prüft die App nicht.

Prevent Quarantine xattr

In einem “.app”-Bundle: wenn das Quarantine-xattr nicht hinzugefügt wird, wird beim Ausführen Gatekeeper nicht ausgelöst.

References

• Apple Platform Security: About the security content of macOS Sonoma 14.4 (includes CVE-2024-27853) – https://support.apple.com/en-us/HT214084
• Eclectic Light: How macOS now tracks the provenance of apps – https://eclecticlight.co/2023/05/10/how-macos-now-tracks-the-provenance-of-apps/
• Apple: About the security content of macOS Sonoma 14.7 / Ventura 13.7 (CVE-2024-44128) – https://support.apple.com/en-us/121234
• MacRumors: macOS 15 Sequoia removes the Control‑click “Open” Gatekeeper bypass – https://www.macrumors.com/2024/06/11/macos-sequoia-removes-open-anyway/

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.