4. Hedef olarak macOS
Üst düzey hedeflerde
yaygın kullanım
Düşük güvenlik önlemleri
(gözden uzak)
Gerçek hayat örnekleri
• Lazarus
• Windtail
• Diğerleri
5. İlk erişim
Exploit (0 to 2-3 days)
• Safari
• MS Office for Mac
• Preview Keynote,
Numbers vb.
Zafiyet değil
özellik
• URL Scheme
Handlers
Diğerleri
10. Implant Seçimi
SSH Backdoor
• Basit ve etkili
Mettle
• Stabil
• Post exploitation kolay
Empire
• Stabil
• Güçlü C2 iletişimi
• Post exploitation kolay
EvilOSXs
• macOS'e özel bir çok post exploitation modülü
13. Gatekeeper
İmzalı app kullanmak
• Windtail kullanıyor
Gatekeeper bypass (0 or 2-3 days)
• Hemen her versiyonda bulunabiliyor
İlk erişimden sonra curl + exec
• Bir çok macOS zararlısı kullanıyor
Homograph
• Genelde GK bypass ile beraber ikna edici
dosya isimleri oluşturmakta kullanılır
16. Veri Toplama ve Kaçırma
Dump keychain
without root
• CVE-2019-8526
• Keychain Stealer App
Keychain
masterkey in
memory
• Keychaindump
• Keychaindump chainbreaker
macOS’e özel
olmayan diğerleri
• Dump Chrome passwords
• Browser history
• Keylogging
• Screenshots
• Mic recording