技巧!通过360卫士白名单绕过查杀
2023-5-11 10:14:47 Author: 灰帽安全(查看原文) 阅读量:50 收藏
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了

0x00 前言

昨天先知社区看到《对某地产集团的一次渗透测试》一文中作者遇到这样一个问题:因存在360而无法执行上传的程序,即使免杀也不行,但不知道为什么fscan又可以执行,他猜测可能是谁设置了白名单。

根据他的描述大概率是360拦截的进程链,但不知道他遇到的这个具体是啥情况,这在实战中也是比较常见的一个场景,所以想着还是写篇文章简单记录分享一下。

0x01 问题复现

通过RCE或其他高危漏洞成功得到admin/system,但目标有360,在执行高危命令或自己上传的程序时都被拦截了,即使免杀也可能会被拦截,如下图所示。

被拦时一般会提示:拒绝访问Access is denied,这时我们一般都会使用一些白名单或者内存加载等方式来绕过,有的师傅也会使用驱动干掉360、模拟键鼠退出360等。

在那篇文章作者

@laohu就是通过哥斯拉的内存加载PE文件绕过360上线的cobaltstrike,这只是其中一种绕过方法,也可以去试下冰蝎、蚁剑或各种脚本的内存加载方式。

以上方法在我之前分享的文章中大部分都有用过或者提过,我就不详细写了;下边我们来介绍另一种在高权限下的免杀绕过方式,只是给大家提供这么一个思路。

0x02 绕过方式

只要我们的权限够大(admin/system)就可以通过360的日志文件来确定有没有设置的白名单文件,如果有则可以使用这些白名单文件的命名来绕过查杀,但可能过不了进程链的监测,需结合白名单绕过。


360每天都会在静默状态下“偷偷”给你扫几次,所以我们也不用担心没有这些扫描日志文件,下边这个路径主要存放的就是360的扫描日志和设置白名单日志。

C:\Users\[username]\AppData\Roaming\360Safe\360ScanLog\

360扫描日志文件:

这个日志文件主要记录的是扫描结果以及我们设置的白名单文件列表,记录的有扫描时间、文件、hash等。
C:\Users\[username]\AppData\Roaming\360Safe\360ScanLog\ScanLog_2023-05-10_16_15_05.txt

360白名单日志文件:

这个日志文件记录的是我们添加或移除白名单的时间、文件名、hash等信息,otc=1为添加白名单,otc=2为移除白名单或者隔离木马病毒文件等。
C:\Users\[username]\AppData\Roaming\360Safe\360ScanLog\360LogCenter.exe.ESG.2023-05-10.log

0x03 注意事项

之前在本地复现和实战测试来看,360经常会出现各种玄学奇葩问题,有的情况下它会拦截,有的情况下它又不会拦截,所以大家在实战测试中还是得以实际情况为准...,可能会遇到各种各样的问题。

关 注 有 礼

关注公众号回复“9527”可以领取一套HTB靶场文档和视频1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包2191潇湘信安文章打包,“1212”杀软对比源码+数据源,0421Windows提权工具包
 还在等什么?赶紧点击下方名片关注学习吧!

推 荐 阅 读


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2MjYxODQ4Mw==&mid=2247484786&idx=1&sn=ef62f4983bd06ea41f9fb16e860336c6&chksm=ce04536ef973da789991cd99dfaba5b9e2c518f92c0517431c5de11ef0c179a80e62874ba16a#rd
如有侵权请联系:admin#unsafe.sh