freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Swift-Attack:专为蓝队设计的macOS后渗透方法测试套件
2021-07-16 21:56:29

关于Swift-Attack

Swift-Attack是一个专为蓝队安全研究人员设计的单元测试套件,旨在帮助广大研究人员检测某些常见的macOS后渗透方法,并构建检测方案。

本项目已经包括了一些使用命令行历史记录和磁盘二进制文件的后渗透测试用例,这些内容比较容易被检测到。除此之外,还提供了使用API调用的后渗透测试用例,而这种方式的检测难度会更大。当然了,本项目提供的后渗透测试用理并不完整,我们只提供了一些常见的测试用例。在将来,我们还会添加更多额外的单元测试以扩展Swift-Attack项目。

需要注意的是,所有这些测试都在本地运行,并将结果返回给stdout。

工具安装与配置

首先,广大研究人员需要使用下列命令将该项目源码克隆至本地:

git clone https://github.com/cedowens/Swift-Attack

确保已经安装好了Swift环境以及开发者工具(可以通过macOS的应用商店安装),然后在Xcode中打开xcodeproj文件,并在Xcode中进行项目构建。

编译后的应用程序存储路径类似如下:

Users//Library/Developer/Xcode/DerivedData/Swift-Attack-[random]/Build/Products/Debug/Swift-Attack.app

接下来,在命令行窗口中使用cd命令切换到上述路径:

cd Swift-Attack.app/Contents/MacOS......

给Swift-Attack项目文件提供完整的磁盘访问权限以确保在运行所有测试的过程中不会出现报错。

运行下列命令即可移除Quarantine属性:

xattr -c Swift-Attack

最后,使用下列命令即可运行Swift-Attack:

./Swift-Attack -h

工具使用

我们可以使用下列单个或多个参数选项来运行Swift-Attack:

./Swift-Attack [option1] [option2]...

我们还提供了一个简单的macro.txt文件,以辅助测试macOS中Office宏执行的相关情况。

单元测试项目

使用osascript脚本调用终端;

通过API调用终端;

使用osascript脚本导出剪贴板内容;

使用API导出剪贴板内容;

使用screencapture获取屏幕截图;

使用API调用获取屏幕截图;

Shell命令支持;

导出zsh历史记录;

安全工具枚举;

使用osascript脚本获取系统信息;

通过API调用获取系统信息;

导出磁盘中的ssh、aws、gcp和azure密钥;

导出浏览器历史记录(Chrome、Safari、Firefox);

导出Quarantine历史记录;

Office宏支持;

独立的安装工具包;

CVE-2021-30657绕过Payload;

工具运行截图

项目地址

Swift-Attack:GitHub传送门

参考资料

https://github.com/D00MFist/PersistentJXA

https://github.com/cedowens/Persistent-Swift

https://github.com/cedowens/MacC2

https://cedowens.medium.com/macos-gatekeeper-bypass-2021-edition-5256a2955508

本文作者:, 转载请注明来自FreeBuf.COM

# 后渗透 # macOS安全
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑