۶ شهریور ۱۳۹۷

دور زدن فایروال MacOS در کنفرانس کلاه سیاه ۲۰۱۸

پاتریک واردل محقق و پژوهشگر شرکت اپل و شرکت های امنیتی شخص سوم با توجه به وضعیت موجود در فایروال سیستم عامل مک سعی در بهبود حفاظت آنها دارد.

در کنفرانس کلاه سیاه ۲۰۱۸، که در لاس وگاس برگزار شد، مأمور اصلی تحقیق شرکت امنیتی دیجیتا و بنیانگذار شرکت امنیتی Objective-See مایکروسافت، پاتریک واردل نشان داد شکست، و دور زدن محصولات Mac تا چه حد ساده است.

در شروع باید گفت که سیستم‌عامل مک حاوی یک برنامه فایروال داخلی است، به دلیل آنکه تنها اتصالات ورودی را مسدود و بر آنها نظارت می‌کند، اثربخشی آن محدود است؛ و هیچ پردازشی بر اتصالات خروجی ندارد.

این بدان معناست که اگر یک بخشی از بدافزار به طریقی بر روی سیستم شما قرار بگیرد و به آن دسترسی پیدا کند، حتی اگر فایروال مک شما فعال باشد هم، قصد فیلتر یا مسدود کردن اتصالات (خارج از محدوده) را ندارد.

این کاستی ها راهکارهایی را برای فایروال شخص سوم مورد توجه قرار می‌دهد. اما، حتی با وجود این ها واردل مشکلاتی را کشف کرد. در این کنفرانس همچنان نشان داده شد که دورزدن فایروال محصولات کاری بسیار ناچیز است. در آزمونی از برترین فایروال محصولات شخص سوم سیستم‌عامل مک، برخی به سادگی “به دنبال” نام فرایند فهرست شده در لیست سفید هستند. و اگر فرایند تشخیص داده شود (و یا قانونی ظاهر شود) فایروال به آن امکان برقراری اتصال را فراهم می‌کند. این محقق اعلام کرد: “اساساً کافی است شما نام بدافزار خود را همان نام فرایند قرار دهید، فایروال مسیر را نگاه نمی‌کند و فقط به دنبال نام فرایند است.”

یافته های نگران کننده تر اینکه، سایر فایروال ها به سادگی آنچه دامنه های یک فرایند به آن ها دسترسی دارند را بررسی می‌کنند. یک مهاجم می‌تواند به راحتی بمنظور فریب فایروال از یک نرم‌افزار میزبان مخرب یا هاب C2 که بر روی دامنه iCloud قرار دارد استفاده نماید. یک مهاجم همینطور می‌تواند به سادگی داده های موجود در حساب iDrive را خارج کند، فایروال این ترافیک را می‌ببیند و امکان خروج داده بعلت اطمینان فایروال به دامنه، به صورت کامل می‌دهد.

سایر تکنیک های دورزدن برای مهاجمان (هنگامی که آنها همواره پایگاهی در سیستم دارند) آنهایی را شامل می‌شود که بر ترافیک برنامه‌ای قابل اعتماد قرار می‌گیرند.

امروزه کامپیوتر های ما همواره به شبکه متصل هستند که در واقع نوعی ترافیک به وجود می‌آید که مجوز خروج از فایروال را دارد اگرچه بسیار محدودکننده باشد.  این موضوع فرصتی را برای مهاجم فراهم می‌کند تا به صورت غیرمستقیم بر ترافیک مجاز ازطریق فایروال نظارت کند. از این رومی‌تواند به طرز هوشمندانه ای راه های گوناگونی را برای استفاده محرمانه انتخاب نماید یا همان پروتکل های قابل اعتماد را برای قرارگرفتن بر روی فرایندهای قابل اعتماد استفاده کند.

مثال هایی برای این موضوع استفاده از پروتکل DNS قابل اعتماد در حملات تونل‌سازی است. در سیستم‌عامل مک این درخواست های DNS با هسته دِیمن سیستم قابل اعتماد اَپل بررسی می‌شوند. بنابراین اگر بدافزار (یا یک برنامه شخص سوم) سعی در مقرر کردن نام DNS نماید که قصد دارد، از طریق هسته دِیمن اپل برنامه مورد نظر مسیریابی شود.

بنابراین اگر فایروالی بر روی آن دستگاه فعال باشد، از آنجاییکه این درخواست‌های DNS از سوی دیمن هستند ارسال آن از نظر فایروال مجاز خواهد بود. چنین دورزدن هایی را می‌توان به بدافزارهای موجود سیستم‌عامل مک اضافه نمود، که به مهاجمان امکان ارتباطات شبکه ای دوطرفه داده می‌شود، حتی اگر با فایروال حفاظت شوند.

اگرچه هیچ بدافزاری در سیستمهای مک که بتواند فایروال را دور بزند، به صورت عمومی دسترس‌پذیر نیست، اما با مشخص شدن این مسائل مهاجمان پیشرفته که در حال توسعه مکمل بدافزارهای خود هستند می‌دانند که هیچ مشکلی در عبور از این محصولات وجود ندارد.

در پایان واردل برای تشویق توسعه میزبانی بهتر در ابتدای سال میلادی جاری یک فایروال کدباز با نام Lu Lu را بر روی گیت‌هاب قرار داده است. وی امیدوار است این امر نقطه آغازی برای فایروال های مستحکم تر سیستم‌عامل مک در آینده باشد.

 

منبع

[۱]. “Black Hat 2018: Patrick Wardle on Breaking and Bypassing MacOS Firewalls”, ۱۴, August, 2018, https://threatpost.com/patrick-wardle-breaks-and-bypasses-macos-firewalls/134784/