Техники: T1553 , T1553.001 , T1553.002 , T1553.003 , T1553.004 , T1553.005 , T1553.006
Злоумышленники могут изменять атрибуты файлов и обходить функции Gatekeeper, чтобы обойти подсказки пользователя и выполнить недоверенные программы. Gatekeeper - это набор технологий, которые выступают в качестве уровня модели безопасности Apple, обеспечивающей выполнение на хосте только доверенных приложений. Gatekeeper был создан на основе File Quarantine в Snow Leopard (10.6, 2009) и расширился до Code Signing, соответствия политикам безопасности, нотариального заверения и многого другого.Gatekeeper также обрабатывает приложения, запущенные впервые, иначе, чем повторно открытые приложения.(Цитата: TheEclecticLightCompany Карантин и флаг)(Цитата: TheEclecticLightCompany Нотариальное заверение яблока )
На основе системы опций, когда файлы загружаются, расширенный атрибут (xattr) под названием `com.apple.quarantine` (также известный как флаг карантина) может быть установлен на файл приложением, выполняющим загрузку. Launch Services открывает приложение в приостановленном состоянии. Для впервые запущенных приложений с установленным флагом карантина Gatekeeper выполняет следующие функции:
1.Проверка расширенного атрибута - Gatekeeper проверяет наличие флага карантина, а затем выдает пользователю предупреждение с предложением разрешить или запретить выполнение.(Цитата: OceanLotus for OS X)(Цитата: 20 общих инструментов и методов macOS)
2. Проверка системных политик - Gatekeeper проверяет политику безопасности системы, разрешая выполнение приложений, загруженных либо только из App Store, либо из App Store и от идентифицированных разработчиков.
3. Подписание кода - Gatekeeper проверяет наличие действительной подписи кода от Apple Developer ID.
4. Нотариальное заверение - используя API `api.apple-cloudkit.com`, Gatekeeper обращается к серверам Apple, чтобы проверить или получить нотариальный билет и убедиться, что билет не отозван. Пользователи могут отменить нотариальное заверение, что приведет к появлению сообщения о выполнении "неавторизованного приложения", а политика безопасности будет изменена.
Злоумышленники могут подорвать один или несколько элементов управления безопасностью в рамках проверок Gatekeeper с помощью логических ошибок (например, Exploitation for Defense Evasion), непроверенных типов файлов и внешних библиотек.Например, до macOS 13 Ventura проверки подписи кода и нотариального заверения проводились только при первом запуске, что позволяло злоумышленникам записывать вредоносные исполняемые файлы в ранее открытые приложения, чтобы обойти проверки безопасности Gatekeeper.(Цитата: theevilbit gatekeeper bypass 2021)(Цитата: Application Bundle Manipulation Brandon Dalton)
Приложения и файлы, загруженные в систему с USB-накопителя, оптического диска, внешнего жесткого диска, с общего диска по локальной сети или с помощью команды curl, могут не устанавливать флаг карантина. Кроме того, избежать установки флага карантина можно с помощью Drive-by Compromise.
https://attack.mitre.org/techniques/T1553/001
Визуализация смежных техник для T1553.001
| № | Техника |
|---|
