hacktricks/macos-hardening/macos-security-and-privilege-escalation/macos-security-protections
2023-10-09 11:53:00 +00:00
..
macos-sandbox Translated ['macos-hardening/macos-auto-start-locations.md', 'macos-hard 2023-09-28 23:15:43 +00:00
macos-tcc Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2023-10-09 11:53:00 +00:00
macos-dangerous-entitlements.md Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2023-09-19 23:09:04 +00:00
macos-gatekeeper.md Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2023-10-04 22:49:36 +00:00
macos-sip.md Translated ['macos-hardening/macos-security-and-privilege-escalation/REA 2023-09-11 00:05:47 +00:00
README.md Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2023-10-04 22:49:36 +00:00

macOSセキュリティ保護

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Gatekeeper

Gatekeeperは通常、Quarantine + Gatekeeper + XProtectの組み合わせを指すことが多く、これらの3つのmacOSセキュリティモジュールは、ユーザーが潜在的に悪意のあるソフトウェアを実行するのを防ぐために使用されます。

詳細は次を参照してください:

{% content-ref url="macos-gatekeeper.md" %} macos-gatekeeper.md {% endcontent-ref %}

MRT - マルウェア除去ツール

マルウェア除去ツールMRTは、macOSのセキュリティインフラのもう一つの部分です。その名前からもわかるように、MRTの主な機能は、感染したシステムから既知のマルウェアを削除することです。

マルウェアがMacで検出されるとXProtectまたは他の手段によって、MRTを使用してマルウェアを自動的に削除することができます。MRTはバックグラウンドで静かに動作し、通常、システムが更新されるか、新しいマルウェア定義がダウンロードされると実行されますマルウェアを検出するためのMRTのルールはバイナリ内にあるようです

XProtectとMRTは、macOSのセキュリティ対策の一部ですが、それぞれ異なる機能を果たしています

  • XProtectは予防ツールです。ファイルが(特定のアプリケーションを介して)ダウンロードされると、ファイルをチェックし、既知のマルウェアの種類を検出した場合は、ファイルを開かないようにして、システムへのマルウェア感染を防ぎます。
  • 一方、MRT反応型ツールです。マルウェアがシステムで検出された後、問題のあるソフトウェアを削除してシステムをクリーンアップすることを目的としています。

MRTアプリケーションは、**/Library/Apple/System/Library/CoreServices/MRT.app**にあります。

プロセス制限

SIP - システム整合性保護

{% content-ref url="macos-sip.md" %} macos-sip.md {% endcontent-ref %}

サンドボックス

MacOSサンドボックスは、サンドボックスプロファイルで実行されるアプリケーションが許可されたアクションに制限されるようにします。これにより、アプリケーションが予期されたリソースにのみアクセスすることが保証されます。

{% content-ref url="macos-sandbox/" %} macos-sandbox {% endcontent-ref %}

TCC - 透明性、同意、および制御

TCC透明性、同意、および制御は、macOSのメカニズムであり、プライバシーの観点からアプリケーションの特定の機能へのアクセスを制限および制御するためのものです。これには、位置情報サービス、連絡先、写真、マイクロフォン、カメラ、アクセシビリティ、フルディスクアクセスなどが含まれます。

{% content-ref url="macos-tcc/" %} macos-tcc {% endcontent-ref %}

信頼キャッシュ

Apple macOSの信頼キャッシュ、またはAMFIApple Mobile File Integrityキャッシュとも呼ばれるものは、macOSで許可されていないまたは悪意のあるソフトウェアの実行を防止するためのセキュリティメカニズムです。基本的には、ソフトウェアの整合性と信頼性を検証するためにオペレーティングシステムが使用する暗号ハッシュのリストです。

macOSでアプリケーションまたは実行可能ファイルが実行されようとすると、オペレーティングシステムはAMFI信頼キャッシュをチェックします。ファイルのハッシュが信頼キャッシュに見つかった場合、システムはそのプログラムを実行を許可します。なぜなら、それを信頼されたものと認識するからです。

起動制約

これにより、Appleの署名されたバイナリをどこから、どのように起動できるかが制御されます

  • launchdによって実行されるべきアプリを直接起動することはできません。
  • /System/のような信頼された場所の外部でアプリを実行することはできません。
  • ハッキングのトリックを共有するには、PRを hacktricksリポジトリ hacktricks-cloudリポジトリ に提出してください。