enum qtn_flags { QTN_FLAG_DOWNLOAD = 0x0001, QTN_FLAG_SANDBOX = 0x0002, QTN_FLAG_HARD = 0x0004, QTN_FLAG_USER_APPROVED = 0x0040, };

#define qtn_proc_alloc _qtn_proc_alloc #define qtn_proc_apply_to_self _qtn_proc_apply_to_self #define qtn_proc_free _qtn_proc_free #define qtn_proc_init _qtn_proc_init #define qtn_proc_init_with_self _qtn_proc_init_with_self #define qtn_proc_set_flags _qtn_proc_set_flags #define qtn_file_alloc _qtn_file_alloc #define qtn_file_init_with_path _qtn_file_init_with_path #define qtn_file_free _qtn_file_free #define qtn_file_apply_to_path _qtn_file_apply_to_path #define qtn_file_set_flags _qtn_file_set_flags #define qtn_file_get_flags _qtn_file_get_flags #define qtn_proc_set_identifier _qtn_proc_set_identifier

typedef struct _qtn_proc *qtn_proc_t; typedef struct _qtn_file *qtn_file_t;

int qtn_proc_apply_to_self(qtn_proc_t); void qtn_proc_init(qtn_proc_t); int qtn_proc_init_with_self(qtn_proc_t); int qtn_proc_set_flags(qtn_proc_t, uint32_t flags); qtn_proc_t qtn_proc_alloc(); void qtn_proc_free(qtn_proc_t); qtn_file_t qtn_file_alloc(void); void qtn_file_free(qtn_file_t qf); int qtn_file_set_flags(qtn_file_t qf, uint32_t flags); uint32_t qtn_file_get_flags(qtn_file_t qf); int qtn_file_apply_to_path(qtn_file_t qf, const char *path); int qtn_file_init_with_path(qtn_file_t qf, const char path); int qtn_proc_set_identifier(qtn_proc_t qp, const char bundleid);

int main() {

qtn_proc_t qp = qtn_proc_alloc(); qtn_proc_set_identifier(qp, “xyz.hacktricks.qa”); qtn_proc_set_flags(qp, QTN_FLAG_DOWNLOAD | QTN_FLAG_USER_APPROVED); qtn_proc_apply_to_self(qp); qtn_proc_free(qp);

FILE *fp; fp = fopen(“thisisquarantined.txt”, “w+”); fprintf(fp, “Hello Quarantine\n”); fclose(fp);

return 0;

}

</details>

І **видаліть** цей атрибут за допомогою:
```bash
xattr -d com.apple.quarantine portada.png
#You can also remove this attribute from every file with
find . -iname '*' -print0 | xargs -0 xattr -d com.apple.quarantine

І знайти всі карантиновані файли за допомогою:

find / -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; printf "\n"}' | xargs -I {} xattr -lv {} | grep "com.apple.quarantine"

Quarantine information is also stored in a central database managed by LaunchServices in ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 which allows the GUI to obtain data about the file origins. Moreover this can be overwritten by applications which might be interested in hiding its origins. Moreover, this can be done from LaunchServices APIS.

libquarantine.dylib

Ця бібліотека експортує кілька функцій, що дозволяють маніпулювати полями розширених атрибутів.

The qtn_file_* APIs deal with file quarantine policies, the qtn_proc_* APIs are applied to processes (files created by the process). The unexported __qtn_syscall_quarantine* functions are the ones that applies the policies which calls mac_syscall with “Quarantine” as first argument which sends the requests to Quarantine.kext.

Quarantine.kext

The kernel extension is only available through the kernel cache on the system; however, you can download the Kernel Debug Kit from https://developer.apple.com/, which will contain a symbolicated version of the extension.

This Kext will hook via MACF several calls in order to traps all file lifecycle events: Creation, opening, renaming, hard-linkning… even setxattr to prevent it from setting the com.apple.quarantine extended attribute.

It also uses a couple of MIBs:

• security.mac.qtn.sandbox_enforce: Enforce quarantine along Sandbox
• security.mac.qtn.user_approved_exec: Querantined procs can only execute approved files

Provenance xattr (Ventura and later)

macOS 13 Ventura introduced a separate provenance mechanism which is populated the first time a quarantined app is allowed to run. Two artefacts are created:

• The com.apple.provenance xattr on the .app bundle directory (fixed-size binary value containing a primary key and flags).
• A row in the provenance_tracking table inside the ExecPolicy database at /var/db/SystemPolicyConfiguration/ExecPolicy/ storing the app’s cdhash and metadata.

Practical usage:

# Inspect provenance xattr (if present)
xattr -p com.apple.provenance /Applications/Some.app | hexdump -C

# Observe Gatekeeper/provenance events in real time
log stream --style syslog --predicate 'process == "syspolicyd"'

# Retrieve historical Gatekeeper decisions for a specific bundle
log show --last 2d --style syslog --predicate 'process == "syspolicyd" && eventMessage CONTAINS[cd] "GK scan"'

XProtect

XProtect — вбудована функція anti-malware в macOS. XProtect перевіряє будь-який додаток при його першому запуску або при зміні, порівнюючи з базою даних відомих malware і небезпечних типів файлів. Коли ви завантажуєте файл через певні додатки, такі як Safari, Mail або Messages, XProtect автоматично сканує файл. Якщо він відповідає будь-якому відомому malware у базі даних, XProtect запобіжить виконанню файлу та попередить вас про загрозу.

База даних XProtect регулярно оновлюється Apple новими визначеннями malware, і ці оновлення автоматично завантажуються й встановлюються на ваш Mac. Це гарантує, що XProtect завжди має актуальні дані про останні відомі загрози.

Однак варто зазначити, що XProtect не є повнофункціональним антивірусним рішенням. Він перевіряє лише конкретний список відомих загроз і не здійснює on-access сканування, як більшість антивірусних програм.

Ви можете отримати інформацію про останнє оновлення XProtect, запустивши:

system_profiler SPInstallHistoryDataType 2>/dev/null | grep -A 4 "XProtectPlistConfigData" | tail -n 5

XProtect знаходиться в SIP-захищеному розташуванні /Library/Apple/System/Library/CoreServices/XProtect.bundle і всередині бандлу можна знайти інформацію, яку використовує XProtect:

• XProtect.bundle/Contents/Resources/LegacyEntitlementAllowlist.plist: Дозволяє коду з цими cdhashes використовувати legacy entitlements.
• XProtect.bundle/Contents/Resources/XProtect.meta.plist: Список плагінів та розширень, які заборонено завантажувати за допомогою BundleID і TeamID або з вказанням мінімальної версії.
• XProtect.bundle/Contents/Resources/XProtect.yara: Правила Yara для виявлення malware.
• XProtect.bundle/Contents/Resources/gk.db: SQLite3 база даних з хешами заблокованих додатків та TeamIDs.

Зауважте, що існує інший App у /Library/Apple/System/Library/CoreServices/XProtect.app, пов’язаний з XProtect, який не залучений у процес Gatekeeper.

XProtect Remediator: На сучасних macOS Apple постачає сканери на вимогу (XProtect Remediator), які періодично запускаються через launchd для виявлення та усунення сімейств malware. Ви можете спостерігати ці сканування в unified logs:

log show --last 2h --predicate 'subsystem == "com.apple.XProtectFramework" || category CONTAINS "XProtect"' --style syslog

Не Gatekeeper

Caution

Зауважте, що Gatekeeper не виконується щоразу, коли ви запускаєте застосунок — лише AppleMobileFileIntegrity (AMFI) буде перевіряти підписи виконуваного коду при запуску додатка, який вже був виконаний і перевірений Gatekeeper.

Тому раніше було можливо виконати застосунок, щоб кешувати його через Gatekeeper, а потім змінити не-виконувані файли застосунку (наприклад Electron asar або NIB файли) і, якщо не було інших захистів, застосунок буде запущений з шкідливими доповненнями.

Однак зараз це неможливо, бо macOS запобігає модифікації файлів всередині бандлів застосунків. Тому, якщо ви спробуєте атаку Dirty NIB, ви виявите, що її більше неможливо використовувати: після виконання застосунку для кешування через Gatekeeper ви не зможете змінити бандл. І якщо, наприклад, ви перейменуєте папку Contents на NotCon (як вказано в експлоїті), а потім виконаєте головний бінар застосунку для кешування через Gatekeeper, це викличе помилку і застосунок не запуститься.

Обходи Gatekeeper

Будь-який спосіб обійти Gatekeeper (змусити користувача завантажити щось і виконати це в той момент, коли Gatekeeper мав би заборонити запуск) вважається вразливістю в macOS. Нижче наведені деякі CVE, присвоєні технікам, які дозволяли обходити Gatekeeper у минулому:

CVE-2021-1810

Було виявлено, що якщо для розпакування використовується Archive Utility, файли з шляхами, що перевищують 886 символів, не отримують розширений атрибут com.apple.quarantine. Це випадково дозволяло цим файлам обійти перевірки Gatekeeper.

Детальніше див. original report.

CVE-2021-30990

Коли застосунок створюється за допомогою Automator, інформація про те, що потрібно для його виконання, знаходиться в application.app/Contents/document.wflow, а не в виконуваному файлі. Виконуваний файл — це просто універсальний Automator binary під назвою Automator Application Stub.

Отже, можна було зробити так, щоб application.app/Contents/MacOS/Automator\ Application\ Stub вказував символічним посиланням на інший Automator Application Stub у системі, і тоді виконувалось те, що в document.wflow (ваш скрипт) без спрацювання Gatekeeper, бо фактичний виконуваний файл не мав quarantine xattr.

Очікуване розташування прикладу: /System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub

Детальніше див. original report.

CVE-2022-22616

У цьому обході zip-файл було створено так, що архівація застосунку починалась з application.app/Contents замість application.app. Внаслідок цього атрибут quarantine було застосовано до всіх файлів з application.app/Contents, але не до application.app, який саме перевіряв Gatekeeper, тож Gatekeeper було обійдено, оскільки при запуску application.app він не мав атрибуту quarantine.

zip -r test.app/Contents test.zip

Перегляньте original report для додаткової інформації.

CVE-2022-32910

Навіть якщо компоненти відрізняються, експлуатація цієї вразливості дуже схожа на попередню. У цьому випадку буде створено Apple Archive з application.app/Contents, тому application.app won’t get the quarantine attr при розпакуванні за допомогою Archive Utility.

aa archive -d test.app/Contents -o test.app.aar

Перегляньте original report для отримання додаткової інформації.

CVE-2022-42821

ACL writeextattr може використовуватися, щоб заборонити будь-кому записувати атрибут у файл:

touch /tmp/no-attr
chmod +a "everyone deny writeextattr" /tmp/no-attr
xattr -w attrname vale /tmp/no-attr
xattr: [Errno 13] Permission denied: '/tmp/no-attr'

Крім того, формат файлу AppleDouble копіює файл разом із його ACEs.

У source code видно, що текстове представлення ACL, збережене в xattr під назвою com.apple.acl.text, буде встановлене як ACL у розпакованому файлі. Отже, якщо ви запакували додаток у zip-файл у форматі AppleDouble з ACL, яка забороняє запис інших xattr… the quarantine xattr не було встановлено в додатку:

chmod +a "everyone deny write,writeattr,writeextattr" /tmp/test
ditto -c -k test test.zip
python3 -m http.server
# Download the zip from the browser and decompress it, the file should be without a quarantine xattr

Перегляньте original report для отримання додаткової інформації.

Зверніть увагу, що це також можна експлуатувати за допомогою AppleArchives:

mkdir app
touch app/test
chmod +a "everyone deny write,writeattr,writeextattr" app/test
aa archive -d app -o test.aar

CVE-2023-27943

Було виявлено, що Google Chrome не встановлював атрибут карантину для завантажених файлів через деякі внутрішні проблеми macOS.

CVE-2023-27951

AppleDouble зберігає атрибути файлу в окремому файлі, що починається з ._; це допомагає копіювати атрибути файлів між машинами macOS. Однак було помічено, що після розпакування AppleDouble-файлу файл, що починається з ._, не отримував атрибут карантину.

mkdir test
echo a > test/a
echo b > test/b
echo ._a > test/._a
aa archive -d test/ -o test.aar

# If you downloaded the resulting test.aar and decompress it, the file test/._a won't have a quarantitne attribute

Можливість створити файл, у якого не встановлено атрибут карантину, робила можливим обійти Gatekeeper. Хитрість полягала у тому, щоб створити a DMG file application використовуючи конвенцію імен AppleDouble (почати з ._) та створити видимий файл як sym link до цього прихованого файлу без атрибута карантину.
Коли dmg file is executed, оскільки він не має атрибута карантину, він bypass Gatekeeper.

# Create an app bundle with the backdoor an call it app.app

echo "[+] creating disk image with app"
hdiutil create -srcfolder app.app app.dmg

echo "[+] creating directory and files"
mkdir
mkdir -p s/app
cp app.dmg s/app/._app.dmg
ln -s ._app.dmg s/app/app.dmg

echo "[+] compressing files"
aa archive -d s/ -o app.aar

[CVE-2023-41067]

Обхід Gatekeeper, виправлений у macOS Sonoma 14.0, дозволяв спеціально створеним додаткам запускатися без запиту підтвердження. Деталі були оприлюднені після виправлення, і проблему активно експлуатували у реальному світі до виправлення. Переконайтесь, що встановлено Sonoma 14.0 або новішу версію.

[CVE-2024-27853]

Обхід Gatekeeper у macOS 14.4 (випущена в березні 2024) через обробку зловмисних ZIP-архів libarchive дозволяв додаткам уникати перевірки. Оновіть до 14.4 або новішої версії, де Apple вирішила цю проблему.

CVE-2024-44128

Вбудований у завантажений додаток Automator Quick Action workflow міг спрацювати без оцінки Gatekeeper, оскільки workflows трактувалися як дані і виконувалися помічником Automator поза звичайним шляхом показу нотаризаційного запиту. Зловмисне .app, яке містить Quick Action, що виконує shell-скрипт (наприклад, всередині Contents/PlugIns/*.workflow/Contents/document.wflow), могло тому виконатися одразу при запуску. Apple додала додатковий діалог згоди та виправила шлях оцінки у Ventura 13.7, Sonoma 14.7 і Sequoia 15.

Third‑party unarchivers mis‑propagating quarantine (2023–2024)

Кілька вразливостей у популярних інструментах для розпакування (наприклад, The Unarchiver) призводили до того, що файли, витягнуті з архівів, втрачали атрибут com.apple.quarantine, що відкривало можливості для обходу Gatekeeper. Завжди покладайтеся на macOS Archive Utility або виправлені інструменти під час тестування та перевіряйте xattr після розпакування.

uchg (from this talk)

• Створіть каталог, що містить додаток.
• Додайте uchg до додатка.
• Стисніть додаток у tar.gz файл.
• Надішліть tar.gz файл жертві.
• Жертва відкриває tar.gz файл і запускає додаток.
• Gatekeeper не перевіряє додаток.

Prevent Quarantine xattr

У бандлі “.app”, якщо quarantine xattr не додано до нього, при виконанні Gatekeeper не буде спрацьовувати.

Посилання

• Apple Platform Security: About the security content of macOS Sonoma 14.4 (includes CVE-2024-27853) – https://support.apple.com/en-us/HT214084
• Eclectic Light: How macOS now tracks the provenance of apps – https://eclecticlight.co/2023/05/10/how-macos-now-tracks-the-provenance-of-apps/
• Apple: About the security content of macOS Sonoma 14.7 / Ventura 13.7 (CVE-2024-44128) – https://support.apple.com/en-us/121234
• MacRumors: macOS 15 Sequoia removes the Control‑click “Open” Gatekeeper bypass – https://www.macrumors.com/2024/06/11/macos-sequoia-removes-open-anyway/

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
• Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.