前言

在Black Hat 2018大會上，研究人員展示了要突破繞macOS防火墻是多么容易，期望推動蘋果以及第三方安全公司加強保護措施。

Digita Security首席研究官，兼Mac安全公司Objective-See創(chuàng)始人Wardle在Black Hat 2018大會的一次演講中向觀眾們展示了簡單突破和繞過macOS防火墻的方式。

Wardle指出，macOS內(nèi)建防火墻功能非常有限，只能阻止和監(jiān)控入站連接，無法管理出站連接。 這就意味著，如果一個惡意軟件以某種方式進入了Mac系統(tǒng)，即使Mac防火墻已經(jīng)啟用，它也無法過濾或阻止該出站連接。這個問題由來已久，而且也有一些第三方macOS防火墻解決方案在市面上銷售。但經(jīng)過Wardle的研究，這些防火墻產(chǎn)品不堪大用。

[[239613]]

兩種方式

對于頂級第三方macOS防火墻產(chǎn)品的測試結(jié)果顯示，有些防火墻只是通過進程白名單來保護用戶的安全。如果進程被識別并且看起來沒什么問題，則防火墻允許連接通過。如此一來，基本上只要將惡意軟件的進程名稱修改為與白名單里的進程名一致即可暢行無阻，防火墻甚至沒有檢查路徑，只是看了看名字就放行了。

更令人擔(dān)憂的是，有些防火墻只是檢查進程在訪問哪些域名。黑客只要將惡意軟件托管在iCloud域或者在該域上植入一個C2 Hub就能輕松繞過防火墻，能夠很方便地將用戶數(shù)據(jù)發(fā)送到其他iDrive系統(tǒng)賬戶，因為防火墻會目視流量流量的傳遞而無動于衷。

還有一種繞過的方式其實也不新鮮，就在可信應(yīng)用程序流量中“加點料”。在信息時代的大背景下，人們的計算機要與各種各樣應(yīng)用、站點進行連接，即使防火墻規(guī)則設(shè)置得極為嚴(yán)格，總會有一些流量是防火墻默認(rèn)可以通過，不會引起懷疑。

這樣一來，黑客都不用主動去找防火墻的弱點，只要監(jiān)控一下防火墻允許通過的流量就能從中找到一些蛛絲馬跡，然后使用相同的可信協(xié)議通過可信流量通道發(fā)送數(shù)據(jù)。

來個小例子

Wardle在Black Hat 2018大會上展示了使用可信的DNS協(xié)議攻擊DNS隧道的方式。在macOS上，DNS請求由受信任的核心系統(tǒng)進程處理。如果惡意軟件(或第三方應(yīng)用程序)試圖解析DNS域名，就要通過該核心進程重定向。

即使有防火墻看著，它也不過是看到該系統(tǒng)核心進程的請求后，就直接放行了。這種繞過防火墻的方式可以很容易地添加到現(xiàn)有的macOS惡意軟件，實現(xiàn)不經(jīng)檢測的雙向網(wǎng)絡(luò)通信，裝了防火墻也沒什么用。

Wardle表示，他并不是想指摘防火墻制造商，而是想表明他們的局限性并打破他們一直以來面向公眾的宣傳——在防范惡意軟件方面，他們的產(chǎn)品是萬能的。“用戶要清楚地知道任何產(chǎn)品的限制，不能買了一輛小汽車然后期望它能夠飛行。”他調(diào)侃道。

總結(jié)

Wardle在演講的最后表示，他還不知道有哪些公開的Mac惡意軟件具備繞過防火墻的能力，但確信有一些開發(fā)者的成果可以輕松突破和繞過防火墻。

在今年早些時候Wardle開源了LuLu防火墻(代碼托管在GitHub上)，希望它能夠作為一個起點，用于鼓勵大家開發(fā)更好的macOS防火墻。