* Mac OS - MacOsSX (*)

доза · 13 май 2025

это перевод

Сегодня мы поговорим о разработке вредоносного ПО для macOS
в частности «******а». Эта статья будет структурирована следующим образом: Знакомство Настройка и настройка Практическая демонстрация Полное техническое объяснение Прежде чем мы начнем, давайте обсудим мотивы и цели, стоящие за этой статьей. Основной мотивацией выбора этой тематики является отсутствие контента по теме внутри форума. Я искал в различных разделах форума, но не нашел ничего конкретного или глубокого о разработке вредоносного ПО для macOS. Поэтому сегодня мы создадим современный ****** с нуля, который будет работать на более свежих версиях macOS! Давайте обозначим возможности нашего ******а.

Возможности ******а

Наш ****** должен уметь захватывать следующую информацию: Пароли (Chrome и Brave) Файлы cookie (Chrome и Brave) История (Chrome и Brave) Google Auth "Service Token" (Chrome и Brave) Файловый граббер (должен захватывать такие файлы, как.pdf,.docx и т.д.) Keychain_db (файл базы данных связки ключей в пользовательском формате macOS) Пароль связки ключей пользователя (пароль пользователя, обычно тот же, который использовался для получения ключа расшифровки связки ключей) Наш ****** также должен иметь

оценку подтертым мной в пеинте вотермарка пж

Домен Tor

Важное примечание:

весь процесс расшифровки будет происходить на стороне сервера. Важное примечание: Данные не будут отправляться на традиционный сервер управления и контроля (C2), как это делает большинство ******ов. Вместо этого мы реализуем систему эксфильтрации через Uploadcare API, который будет получать данные, а затем передавать их косвенно на наш C2-сервер. Это помогает обойти правила брандмауэра, которые могут блокировать запросы к недоверенным доменам, и позволяет нам работать полностью локально, не арендуя и не покупая VPS-серверы, снижая операционные расходы. Помните, что мы используем этот API (Uploadcare), но концепция должна работать с любым API,
который позволяет:
Загрузки
Распечатка
Захвата
Удаление

Наша структура Как энтузиаст контейнеров Docker
я организую все внутри контейнеров, чтобы упростить настройку и обслуживание для пользователей, даже без глубоких знаний системного администрирования. У нас будут следующие контейнеры: Билдер: Отвечает за компиляцию нашей полезной нагрузки (кода, который должен быть выполнен на машине жертвы). Веб-сервер: Размещает наши PHP-страницы фронтенда с использованием Apache. База данных MySQL: обрабатывает операции с базой данных MySQL. phpMyAdmin: Облегчает настройку и модификацию нашей базы данных MySQL (примечание: этот контейнер должен быть удален после этапа разработки!). Tor: Размещает наш домен Tor, чтобы наши PHP-страницы были доступны через Tor:
macosxyiom7tvr4elggpeexsk5jsk5fgcscttaq55jhfnxfoupnwybid.onion Secret-Decoder: отвечает за расшифровку файла Keychain_db, извлечение паролей браузера SafeStorageKey, расшифровку данных и отправку их на веб-сервер.

Настройка тестовой среды
Теперь, когда у нас есть общее представление о нашем *******, давайте обсудим создание тестовой лаборатории! Другими словами, как мы (как люди, у которых нет компьютеров macOS) можем проверить, работает ли вредоносное ПО для macOS? Как мы все знаем, создание ******овой кампании, инвестирование в трафик, электронную почту и другие элементы для заражения жертв — это медленный и дорогостоящий процесс. Поэтому мы будем развертывать полезную нагрузку в ******овой кампании только после тестирования, если она действительно работает! Но как мы можем сделать это, не имея компьютера Mac? Есть много способов добиться этого!
Изучив GitHub, я нашел простой и быстрый способ: я говорю о проекте OSX-KVM.
Автор: Дхиру Холиа

Используя этот проект
мы можем настроить виртуальную машину MacOS за считанные минуты с минимальными усилиями!

Первоначальная настройка
Во-первых, вам нужно работать на машине с Linux. Вы можете использовать VirtualBox, VMware или, в моем случае, WSL с образом Ubuntu. Выполните следующие действия на компьютере с Linux:

sudo apt-get install qemu-system uml-utilities virt-manager git \
wget libguestfs-tools p7zip-full make dmg2img tesseract-ocr \
tesseract-ocr-eng genisoimage vim net-tools screen -y

Примечание: При необходимости адаптируйте этот шаг к вашему дистрибутиву Linux. лайк за перевод

cd ~
git clone --depth 1 --recursive https://github.com/kholia/OSX-KVM.git
cd OSX-KVM

Чтобы обновить репозиторий позже, используйте:

git pull --rebase

Примените настройки KVM (при необходимости):

sudo modprobe kvm; echo 1 | sudo tee /sys/module/kvm/parameters/ignore_msrs

Чтобы сделать это изменение постоянным:

sudo cp kvm.conf /etc/modprobe.d/kvm.conf # Intel CPUs
sudo cp kvm_amd.conf /etc/modprobe.d/kvm.conf # AMD CPUs

Добавьте пользователя в необходимые группы:

sudo usermod -aG kvm $(whoami)
sudo usermod -aG libvirt $(whoami)
sudo usermod -aG input $(whoami)

Примечание:
Выйдите из системы и снова войдите в систему после выполнения этих команд.

Загрузите установщик macOS:

./fetch-macOS-v2.py

Выберите желаемую версию macOS. После этого шага у вас должен быть файл BaseSystem.dmg в текущей папке.

Конвертируем установщик:

dmg2img -i BaseSystem.dmg BaseSystem.img

это 1 процент статьи кста

qemu-img create -f qcow2 mac_hdd_ng.img 256G

Примечание: Используйте быстрый SSD/NVMe диск для достижения наилучших результатов. Измените файл конфигурации, чтобы увеличить оперативную память и процессор:

Откройте файл конфигурации (обычно это nano OpenCore-Boot.sh или другие файлы конфигурации) и обновите настройки ОЗУ и ** в соответствии с вашим оборудованием.

# Modify these values to increase RAM and CPU allocation
ALLOCATED_RAM="16384" # 16 GB of RAM
CPU_SOCKETS="1" # 1 CPU socket
CPU_CORES="4" # 4 CPU cores
CPU_THREADS="3" # 3 threads per core

./OpenCore-Boot.sh

Здесь вы должны следовать стандартному процессу установки macOS. Это может занять несколько минут. Сначала следует зайти в Дисковую утилиту, выбрать диск с объемом более 200 ГБ и нажать «Стереть»!

установку макос ну вы же не дебилы нахуй, сможете сами потыкать кнопочки

поймите я не машина для копипаста перевода и стирания хуйни, я - человек

После правильной настройки macOS для тестирования, давайте запустим сервер для нашего *******. Все очень просто и удобно; Просто выполните следующие команды:

docker compose build --no-cache

docker compose up -d

Помните, я предполагаю, что у вас уже установлен Docker на вашем компьютере и вы понимаете, как он работает! Ну вот! Весь процесс настройки сервера завершен. Просто подождите несколько минут, пока все полностью инициализируется. Например, подготовка базы данных может занять немного больше времени.

После запуска сервера необходимо создать учетную запись и авторизоваться. Вы также должны сделать то же самое на uploadcare.com и получить учетные данные API, которые будут использоваться на следующих шагах!

После создания учетной записи на uploadcare вам нужно перейти на панель настроек вашего ******* и добавить свои учетные данные API. Это необходимо, потому что наш контейнер, secret-decoder, будет использовать эти учетные данные для проверки любых новых *****, которые будут захвачены для сервера!

После настройки учетных данных API перейдите на панель сборки и создайте свою первую полезную нагрузку. Процесс обычно очень быстрый и на 100% автоматический. Не забывайте использовать только те учетные данные, которые уже были включены в конфигурацию сервера.

Теперь, когда у нас есть полезная нагрузка, давайте перенесем ее на компьютер жертвы и выполним. В нашем случае это будет сделано на нашей тестовой машине! (Не забудьте установить браузеры Chrome и Brave, добавить сохраненные пароли, войти в систему с помощью учетной записи Google и т. д.) Это гарантирует, что тест действителен и данные собираются правильно! Прежде чем выполнить этот шаг, нам нужно объяснить, как это будет работать в реальном сценарии ******а. На macOS программы распространяются в.dmg файлах, но так как мы только тестируем наше вредоносное ПО локально, мы будем использовать программу в ее сыром формате: apple-darwin24 (Mach-O). Для этого мы просто предоставим разрешение на выполнение и запустим его вручную в терминале:

chmod +x ./main_payload
./main_payload

В реальном сценарии эти скомпилированные полезные данные должны быть помещены в файл.dmg вместе с необходимыми метаданными macOS и структурой приложения, чтобы они были признаны действительными приложениями macOS. macOS ожидает, что приложения будут следовать определенному формату, называемому пакетом.app, который представляет собой структуру каталогов, которую macOS распознает как приложение..app Bundle: MyApp..app обычно называется [AppName].app, например MyApp.app. Внутри этого пакета приложение имеет определенную структуру каталогов, которая включает в себя:

Contents/: Каталог верхнего уровня пакета.app. MacOS/: Содержит скомпилированный двоичный исполняемый файл приложения. Ресурсы/: Хранит все ресурсы, такие как значки, изображения и другие файлы, необходимые приложению. Info.plist: файл со списком свойств, содержащий метаданные о приложении, такие как его имя, версия, поддерживаемые архитектуры и разрешения. Frameworks/: Этот каталог содержит все фреймворки, на которые полагается приложение. PlugIns/: Содержит все плагины, используемые приложением.

Подписание: чтобы избежать предупреждений системы безопасности, таких как «Неизвестный разработчик», при открытии приложения macOS требуется, чтобы приложение было подписано с помощью идентификатора разработчика Apple. Эта криптографическая подпись проверяет целостность и подлинность приложения. Для процесса подписания требуется платная учетная запись Apple Developer Program (99 долларов США в год), которая гарантирует, что приложение будет признано полученным из законного источника. Однако этот шаг выходит за рамки данной статьи. Вот пример изображения, созданного с помощью DMG Canvas, который показывает, как бы выглядел наш установщик DMG, если бы мы создали его для нашего ******а. На этом изображении показан стандартный макет и визуальные элементы, которые обычно используются в установщике приложений macOS.

После выполнения нашей полезной нагрузки, первое, что появляется, это запрос пароля пользователя! Делается это с помощью osascript (подробнее об этом мы поговорим в технической части статьи!). В данном случае пароль необходим, потому что без него мы не сможем расшифровать файл keychain_DB, в котором хранятся пароли safestoragekey, используемые браузерами для расшифровки сохраненных учетных данных. Если пользователь вводит неправильный пароль, наша программа обнаружит это и будет постоянно показывать запрос до тех пор, пока не будет предоставлен действительный пароль!

После ввода правильного пароля ****** начинает захватывать все файлы базы данных браузера, кодирует их в base64 и сохраняет в структуре JSON вместе с системной информацией, файлами граббера, файлом keychain_db, паролем пользователя,... и так далее. Все организовано в структуру JSON и отправляется в наш API Uploadcare. После этого наш сервер захватывает эти данные, выполняет процесс расшифровки и отображает их пользователю на панели ******* ****! (Об этом мы подробно поговорим в технической части статьи!) После всего этого процесса вы должны увидеть свои захваченные **** на панели:

Скачайте его, и у вас будут следующие элементы: ( кого его нахуй )

https://gofile.io/d/mxF2bh
пасс - говнофорум xss . is ( без пробела )

Эта первая часть статьи была предназначена для пользователей, у которых не так много времени и которые просто хотели быстро и поверхностно протестировать проект!