文章总结： SpecterOps将血猎工具的攻击路径分析扩展到macOS环境，揭示设备管理平台Jamf成为新的高危攻击面。攻击者通过控制Jamf可向所有受管Mac下发恶意脚本实现代码执行，并与Okta等身份系统形成跨平台权限升级链。防御者需将设备管理平台纳入威胁模型，使用更新版工具可视化混合攻击路径并优先处理大规模风险。 综合评分： 85 文章分类： 内网渗透,红队,威胁情报,安全建设,移动安全

攻击路径管理的版图，终于延伸到了macOS

幻泉之洲

2026年4月3日 10:45 北京

在小说阅读器读本章

去阅读

过去，攻击路径分析总围着Windows域的Active Directory打转。现在，SpecterOps把血猎（BloodHound）的触角伸向了macOS生态。别误会，这不仅仅是给苹果电脑画个图，而是揭示了现代企业里一个长期被忽略的巨大风险：设备管理平台本身。

搞安全的人，特别是做内网渗透测试的，没人不知道血猎。这玩意儿以前专啃Windows的Active Directory，把域里的权限关系画得明明白白。但现在企业的环境早就变了样。

尤其是那些科技公司、设计工作室，或者干脆就是全员用苹果的团队。工程师、高管、安全人员，清一色的MacBook Pro。他们的身份认证可能交给Okta，但电脑本身的管理和控制，用的是另一个东西——Jamf。

问题就出在这里。过去，安全人员盯着目录服务（比如AD）看，以为控制了它就拿下了整个网络。但在macOS世界里，Jamf这样的移动设备管理平台，才是真正的“皇帝”。它能给成千上万台苹果电脑下发指令、安装软件、运行脚本。

想象一下，如果一个攻击者拿到了Jamf的控制权，他不需要知道任何用户的密码，就能让所有员工的Mac电脑执行他的代码。这画面，是不是比攻破几个域账户刺激多了？

被遗忘的战线：设备管理即攻击面

Jamf不是特例。在Windows那边，也有干这活的兄弟，比如微软的Intune和SCCM。最近的Stryker攻击事件就给所有人提了个醒：黑客已经开始把设备管理平台当成高价值目标了。

攻下这一层，就等于拿到了整个设备舰队的遥控器。

这些平台的设计初衷是为了高效管理，权限给得往往很宽。管理员一个按钮下去，就能让全公司电脑装上新软件或配置。从攻击角度看，这简直是“大规模杀伤性武器”的发射按钮。

以前在Windows环境里，已经有研究（比如“Misconfiguration Manager”项目）证明，滥用SCCM的配置错误可以直接导致整个域沦陷，而且攻击路径完全绕过了Active Directory。现在，同样的风险在macOS这边，通过Jamf复现了。

说白了，安全分析师不能再只盯着“身份目录”这一亩三分地了。你得把Jamf、Intune这些“设备指挥塔”也放进你的威胁模型里。

Jamf如何成为攻击跳板？

把Jamf塞进攻击路径图里，不是加个图标那么简单。你得理解它的哪些功能会变成黑客的“武器化步骤”。

平台内部的权限升级

Jamf自己有一套权限体系。一个低权限的账户，如果能修改单点登录的配置，就可能把认证指向一个黑客控制的假身份提供商。这招在安全研究员Lance Cain的博客里写过，能直接让攻击者拿到Jamf里的高权限。

对终端设备的代码执行

这是Jamf最核心、也最危险的能力。它能命令所有受管电脑：

• 运行脚本
• 安装软件包
• 强制更改配置

很多时候，这些操作都是以高权限运行的。这意味着，控制Jamf就等于获得了在所有Mac上执行任意代码的通行证，根本不需要传统的账户密码。

如果某台Mac电脑的使用者，碰巧是另一个系统（比如Okta）的管理员呢？那攻击链就串起来了。通过Jamf控制这台电脑，再通过电脑上的登录状态或凭证，攻入Okta后台。

规模化与跨系统联动

更可怕的是它的规模效应。在攻击路径图里，传统攻击是一个节点一个节点地爬。而在Jamf这里，攻破一个管理账户，就能一键横扫成百上千台终端。风险等级完全不是一个量级。

真正的威胁往往来自混合路径。攻击者很少只在一个系统里玩。他们会在Active Directory、Okta、Jamf、GitHub这些系统之间反复横跳，寻找最薄弱的那一环。

来看一个简化版的例子：

1. 一个低级员工账户被黑，这账户碰巧能登录Jamf。
2. 攻击者用Jamf给某台Mac（它的主人是Okta管理员）下发恶意脚本。
3. 通过控制这台Mac，攻击者窃取了Okta管理员的会话或凭证。
4. 拿着Okta管理员的权限，攻击者回头在Jamf里给自己分配了更高权限。

看到了吗？权限升级不再局限于单一系统内，而是多个系统“化学反应”的结果。反过来也一样，先黑了Okta管理员，可以直接给同一个人授权访问Jamf应用，从而空降进入Jamf。这可不是什么边缘场景，这就是现代企业系统互联互通的现实。

对防御者意味着什么？

血猎企业版现在支持Okta、Jamf和GitHub，这释放了几个关键信号：

首先，以前看不见的攻击路径，现在能看见了。安全团队终于可以把“控制Jamf管理台”和“拿到域管理员密码”放在同一个天平上掂量风险了。

其次，能更准确地划分优先级。能在一万台电脑上跑代码的权限，和只能访问一台文件服务器的权限，哪个更危险？答案一目了然。现在攻击路径图能直接把这种“大规模杀伤性风险”可视化出来。

最重要的是，它强迫我们改变看待基础设施的视角。身份系统、设备管理平台、代码仓库，这些不再是独立的孤岛。必须把它们当成一个整体，分析控制权如何在其中流动和转化。

这只是开始

加入Jamf支持，背后是一个更大的趋势：攻击路径管理的范畴，正从传统的目录服务，扩展到所有能对环境实施“控制”的系统。

今天是把SCCM和Jamf画进图里，明天可能就是其他的云原生编排工具、 SaaS管理后台、物联网设备管理平台。任何能对大量资源下发指令的系统，都可能成为攻击者的超级杠杆。

对于已经在用血猎企业版的团队，是时候联系你的客户经理升级了，然后把Jamf的数据喂进去，看看你的macOS舰队到底有多少你没想到的攻击路径。

对于那些还没用的人，这件事本身就是一个警示：身份风险管理的战场，早已不限于Windows域的那片森林。真正的战场，是所有能定义和控制访问权的系统，无论它管理的是身份，还是设备。

macOS，不再是安全视野里的盲区了。攻击者早就注意到了，防御者呢？

参考资料

[1] https://specterops.io/blog/2026/03/31/expanding-attack-path-management-to-macos-environments/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《攻击路径管理的版图，终于延伸到了macOS》