Реверс-инжиниринг системы защиты ClickFix от Apple

Нашел интересный разбор от Patrick Wardle о том, как Apple реализовала защиту от ClickFix-атак в macOS. Все отлично, но есть нюанс. Защита хоть и встроена на уровне Endpoint Security, но доступ к ключевому механизму оставлен только внутренним компонентам системы. В итоге ОС получила более точный контроль над опасными сценариями вставки, а сторонние решения по-прежнему вынуждены использовать обходные и менее надежные методы.

⬇️ В чем суть

Новая защита реализована в xprotectd и появилась в macOS 26.4. Система теперь предупреждает пользователя при вставке потенциально опасных команд в терминал. Автор провел реверс-инжиниринг xprotectd и выяснил, что демон подписывается не только на стандартные ES-события, но и на два незадокументированных: ES_EVENT_TYPE_RESERVED_0 и ES_EVENT_TYPE_RESERVED_1. При этом RESERVED_1 (тип 149) — это новый AUTH-event для paste-операций, по сути скрытое событие вставки из буфера обмена.

Автор реконструировал структуру es_event_paste_t и показал, что из нее можно извлечь источник вставки, целевой процесс и даже содержимое вставляемого текста. В примере обозначены Safari как источник, терминал как цель и сам shell-пейлоад. На этой базе можно строить крайне точный детект ClickFix-атак.

Боль в том, что Apple ограничила доступ к событию через entitlement com.apple.private.endpoint-security.client. Он есть у xprotectd, но отсутствует у сторонних инструментов. В результате EDR- и utility-решения не могут легально подписаться на этот event в обычной системе.

🔗 Подробности

#blue_team