最近有開發人員開發了一個基于Apple的Endpoint Security框架的應用程序（該應用程序的代碼托管在GitHub上），可以防止macOS上的某些進程注入技術。但由于開發人員至今仍然沒有獲得生產端點安全性授權，因此無法發布已簽名的版本。如果你想使用它，你至少需要獲得開發端點安全授權。

         [[345086]]

在過去的兩年中，研究人員開始深入研究macOS安全性問題，隨著研究的愈加深入，該研究人員發現除了內存損壞漏洞之外，macOS的首要問題是在其他應用程序的上下文中運行代碼。其原因在于macOS的安全模型（實際上也包括* OS），每個應用程序都有一個權限列表，可授予該應用程序各種權限。如果我們僅使用第三方應用程序，則大多數情況是圍繞沙盒（例如，訪問網絡）或在沒有沙盒的情況下可以做什么，可以訪問哪個隱私（TCC）保護區域，例如攝像機，麥克風，消息等。在TCC的情況下，如果我們不擁有這些權限，即使我們以root身份運行，也無法訪問這些資源或位置。

對于Apple二進制文件，有數百種不同的Apple私有權限是第三方應用程序無法擁有的，例如，它們可以控制對SIP保護區域的訪問或加載內核擴展的能力。

要添加到此列表中，XPC跨進程通信的基本保護之一是控制誰可以與特定XPC服務進行通信的能力，尤其是在其中一個進程具有特權的情況下。對于蘋果公司來說，這通常是通過授權來完成的，而對于第三方而言，這是通過代碼簽名驗證來完成的。在這兩種情況下，如果我們都可以代表XPC客戶端運行代碼，就能夠與特權XPC服務進行通信。

該列表可以不停地進行，鑰匙串有時還根據代碼簽名來控制訪問。

這意味著，如果我們可以向應用程序中注入代碼，則可以獲得其權限，這就是為什么過程注入功能在macOS上受到嚴格控制的原因。蘋果公司在保護自己的應用程序方面做得很好，盡管有時他們也會有疏忽，例如CVE-2019-8805 。

不幸的是，第三方應用程序并不是很好。這就導致了大量的XPC漏洞，這些漏洞通常會允許用戶將其特權升級到root。繞過TCC進行攻擊的場景也很常見，攻擊者可以在攻擊中訪問敏感位置，例如：Microsoft AutoUpdate中的LPE或Zoom程序中的TCC繞過。 

流程注入通?？梢詺w結為以下3種主要情況：

1.通過環境變量進行dylib注入；

2.dylib劫持或代理；

3.通過任務端口注入Shell代碼：如果Electron應用程序在macOS上變得非常流行，則可以通過在調試模式下運行Electron應用程序或使用Electron特定的環境變量來注入代碼。

巧的是本文的作者也是一位Mac用戶，當發現還有攻擊者能夠執行上述操作來發起攻擊時，他就決定編寫一個小型應用程序來防止這些攻擊。

開發過程

隨著KEXT（kext文件是一個Mac OS X內核擴展，常見于Hackintosh。它們通常用于設備驅動程序，運行于系統的核心基底。）的消失，研究人員決定嘗試使用新的Endpoint Security框架。其實必須首先承認，本文的作者不認為自己是開發人員，而且從未真正從事過開發工作，因此可能編寫了拙劣的代碼，盡管如此，開發人員還是盡最大努力創建了一個可靠的應用程序，以確?？梢詢灮a。

在這種情況下，我非常地依賴于Patrick Wardle開發的代碼，該代碼是他的Objective-See工具的開源部分。2018年美國國家安全局前雇員、Digita Security首席研究官Patrick Wardle在蘋果最新High Sierra操作系統發現一個關鍵的零日漏洞，允許安裝在目標系統中的惡意應用程序虛擬“點擊”安全提示，獲得內核訪問權限并完全控制電腦。實際上，經過一些修改，研究人員重用了他的過程監控庫和來自LuLu的一些代碼，這對理解如何創建ES(端點安全)代理以及如何將所有內容組合在一起有很大幫助。

另外，研究人員還花了一些時間研究Stephen Davis的Crescendo代碼庫。盡管它是用Swift編寫的，而我是用Objective-C編寫的Shield，但它幫助我了解了ES的其他方面，比如與代理通信，以及如何安裝它，如果我們不把它作為守護進程運行，而是作為系統擴展。

經過多次編碼，研究人員對編碼結果已經足夠滿意了，且已經向公眾發布了。不過研究人員并不有多了解了Objective-C、編碼、用Xcode進行項目制作、用Xcode構建應用程序等知識，從研究人員最初將Shield作為ES守護程序運行的最初計劃，到現在它作為系統擴展（SE）運行，其中包含主要的應用程序邏輯，這也就是進行保護的地方，在菜單欄中有一個幫助程序可以自動運行它的輔助工具，進而通過主要應用程序來控制SE。

目前發布的版本只是測試版，因為只有研究人員對其進行了測試，盡管過去3個月這個測試版本并沒有遇到任何問題，但仍然只有普通用戶權限。不過經過多次努力后，研究人員已經成功地通過代碼注入技術實現了＃1和＃3，阻止dylib劫持仍然在待開發階段。除此之外，該應用程序還可以防止某些特定的注入。

雖然研究人員嘗試了添加許多注釋，但稍后還會為代碼創建一個文檔，以便其他人更容易參與進來。現在，讓我們看看如何使用這個程序，它能做什么。

使用方法

這個應用程序沒有一個普通的窗口模式應用程序，它只是菜單欄。當我們啟動它時，將看到一個新的菜單欄圖標，以一個點的形式顯示出來。

點擊它，彈出一些基本控件，如下所示。

在真正進行實操之前，還需要安裝系統擴展。當我們點擊相關菜單項時，就像安裝新的內核擴展一樣，需要在安全性和隱私權方面獲得批準。一旦獲得批準，它將被加載，但是到目前為止，我不會自動啟動ES客戶端，因此默認情況下它將停止。

如果要卸載代理，則需要點擊相關菜單選項。請注意，它不會刪除應用程序，只會卸載SE。為此，我們需要重新啟動macOS，因為在Catalina中，macOS如果不重新啟動就無法完全刪除SE。

安裝SE后，我們可以通過點擊“開始”或打開首選項并切換“開始/停止”來啟動Endpoint Security客戶端。按鈕的狀態是通過SE刷新的，不過在實操中很少遇到沒有正確執行的情況，但是重新打開首選項有助于 :) bug #1。

阻止模式意味著，如果它檢測到下一步配置的注入嘗試，它將對其進行阻止。如果環境變量通常在啟動過程時發生，這意味著作為注入目標的過程無法啟動，將被阻止。如果嘗試進行注入，我們將收到一個通知，并將其記錄到/ Library / Application Support / Shield / shield.log。如果我們關閉這個選項，我們仍然會收到警報和日志。

下一個選項是監控Apple二進制文件的能力，目前這是不可更改的，平臺二進制文件將被忽略。造成這種情況的主要原因是，它們會執行大量的task_for_pid調用，僅處理這些操作而沒有任何操作就會增加20％的CPU使用率。現在，這些進程很早就被刪除了，因此我們不會浪費一點CPU使用率。此時，研究人員采用了一個改進邏輯的任務，這樣系統二進制文件也可以被監控。我認為目前這還不是一個大問題，因為如前所述，通常平臺二進制文件都能很好地抵御這些攻擊。

接下來，我們就可以啟用或禁用特定的保護。

撰寫本文時，環境變量注入正在監控以下三個變量中的任何一個是否存在:DYLD_INSERT_LIBRARIES、CFNETWORK_LIBRARY_PATH、RAWCAMERA_BUNDLE_PATH和ELECTRON_RUN_AS_NODE。如果其中任何一個出現，應用程序將不會啟動。我發現這可能會給Firefox帶來某些漏洞。

當一個進程想要獲取另一個任務的端口時，則下一個設置用于task_for_pid調用。這將阻止調試，因為調試器將執行此調用。因此，如果你需要調試，可能需要臨時關閉該選項。

最后一個特定于Electron應用程序，通常，可以使用——inspect命令行參數在調試模式下啟動Electron應用程序，然后向其中注入代碼。至此我們也只是檢查是否存在此參數，如果是，則將阻止該應用程序。

其實有一個選項可以在啟動時自動啟動Shield主應用程序（菜單項），這將安裝和卸載一個標準的登錄項。

要注意的是，由于研發者開發的這個程序還只是一個測試版的程序，因此，其中沒有實現自動運行Endpoint Security客戶端的功能。即使主應用程序在啟動后啟動，你也需要啟動ES客戶端。一旦獲得足夠的用戶反饋，研發者將添加此選項。

所有配置的首選項都保存在/Library/Application Support/Shield/com.csaba.fitzl.shield.preferences.plist中。

本文翻譯自：https://theevilbit.github.io/shield/如若轉載，請注明原文地址：