技巧!通过360卫士白名单绕过查杀

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 技巧!通过360卫士白名单绕过查杀

0x00 前言

昨天先知社区看到《对某地产集团的一次渗透测试》一文中作者遇到这样一个问题:因存在360而无法执行上传的程序,即使免杀也不行,但不知道为什么fscan又可以执行,他猜测可能是谁设置了白名单。


根据他的描述大概率是360拦截的进程链,但不知道他遇到的这个具体是啥情况,这在实战中也是比较常见的一个场景,所以想着还是写篇文章简单记录分享一下。


0x01 问题复现

通过RCE或其他高危漏洞成功得到admin/system,但目标有360,在执行高危命令或自己上传的程序时都被拦截了,即使免杀也可能会被拦截,如下图所示。

被拦时一般会提示:拒绝访问Access is denied,这时我们一般都会使用一些白名单或者内存加载等方式来绕过,有的师傅也会使用驱动干掉360、模拟键鼠退出360等。

在那篇文章作者
@laohu就是通过哥斯拉的内存加载PE文件绕过360上线的cobaltstrike,这只是其中一种绕过方法,也可以去试下冰蝎、蚁剑或各种脚本的内存加载方式。

以上方法在我之前分享的文章中大部分都有用过或者提过,我就不详细写了;下边我们来介绍另一种在高权限下的免杀绕过方式,只是给大家提供这么一个思路。


0x02 绕过方式

只要我们的权限够大(admin/system)就可以通过360的日志文件来确定有没有设置的白名单文件,如果有则可以使用这些白名单文件的命名来绕过查杀,但可能过不了进程链的监测,需结合白名单绕过。


360每天都会在静默状态下“偷偷”给你扫几次,所以我们也不用担心没有这些扫描日志文件,下边这个路径主要存放的就是360的扫描日志和设置白名单日志。

    C:\Users\[username]\AppData\Roaming\360Safe\360ScanLog\


    360扫描日志文件:

    这个日志文件主要记录的是扫描结果以及我们设置的白名单文件列表,记录的有扫描时间、文件、hash等。

      C:\Users\[username]\AppData\Roaming\360Safe\360ScanLog\ScanLog_2023-05-10_16_15_05.txt


      360白名单日志文件:

      这个日志文件记录的是我们添加或移除白名单的时间、文件名、hash等信息,otc=1为添加白名单,otc=2为移除白名单或者隔离木马病毒文件等。

        C:\Users\[username]\AppData\Roaming\360Safe\360ScanLog\360LogCenter.exe.ESG.2023-05-10.log


        0x03 注意事项

        之前在本地复现和实战测试来看,360经常会出现各种玄学奇葩问题,有的情况下它会拦截,有的情况下它又不会拦截,所以大家在实战测试中还是得以实际情况为准...,可能会遇到各种各样的问题。

        相关实践学习
        日志服务之使用Nginx模式采集日志
        本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
        相关文章
        |
        存储 安全 网络协议
        绕过WAF和多个防护软件提权案例
        绕过WAF和多个防护软件提权案例
        206 0
        |
        3月前
        |
        监控 安全 网络安全
        如何防止内网渗透攻击?
        【10月更文挑战第10天】如何防止内网渗透攻击?
        163 3
        |
        3月前
        |
        安全 网络协议 网络安全
        黑客10种绕过防火墙方法
        黑客10种绕过防火墙方法
        148 7
        |
        Web App开发 安全 JavaScript
        WordPress建站之如何从恶意重定向恶意软件黑客攻击中恢复
        关于WordPress建站的问题,欢迎留言讨论,关注“六翼开源”专注WordPress建站服务。
        WordPress建站之如何从恶意重定向恶意软件黑客攻击中恢复
        |
        安全 数据安全/隐私保护
        服务器木马如何查杀之威胁情报分析
        威胁情报,顾名思义它是威胁的情报,这个情报的产出是什么,是人。也就是说通过很多人或者一些自动采集的设备,形成的一个数据报告,就是威胁情报。那威胁情报有很多的平台,这些平台可以查出域名和IP地址的信誉度,如果咱们发现IP和域名的信誉度非常低,并且存在攻击的行为,那迅速给它封禁。那举个形象点的例子,比如现在小明,那小明欠了别人几千块钱,法院把它列为被执行人,他就变成老赖了。那这个时候你坐地铁或者坐高铁是不是就不行了,IP和域名的信誉度也是一样的,你一旦被标记为攻击IP或者木马反连,这时候对于我们来说,你这个IP就没有信誉度了,我发现你这个地址,我的服务在访问你,就怀疑它是攻击,那看一下有哪些平台,
        213 0
        |
        云安全 存储 运维
        如何防护勒索软件攻击 - 主机安全
        如何防护勒索软件攻击 - 主机安全
        232 0
        |
        安全 JavaScript
        网站安全防护之被恶意跳转博彩木马排查
        访问站点只要后面目录带apk(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转到博彩网站,如果是电脑PC浏览器,就会弹空白页访问站点,让你看不到跳转后的网址,只要域名后面地址带apk(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转bc网站,如果是电脑浏览器,就会弹空白页,最近也加上客户订单越来越少,领导也是着急,很大一部分客户渠道来源都从百度点击来的,静下心来看看网站到底是怎么回事,不看不要紧,简直吓我一跳。网站在百度里的收录增加许多,本来以为是更新的文章导致的,可是仔细一想也没那么多的收录呀,site:网站,点击到十页以后竟然发现了问题的关键
        425 0
        网站安全防护之被恶意跳转博彩木马排查
        |
        SQL 监控 安全
        网站服务器被攻击了如何查找木马(webshell)IP 篡改的痕迹
        很对客户网站以及服务器被攻击,被黑后,留下了很多webshell文件,也叫网站木马文件,客户对自己网站的安全也是很担忧,担心网站后期会继续被攻击篡改,毕竟没有专业的安全技术去负责网站的安全防护工作,通过老客户的介绍很多客户在遇到网站被攻击后找到我们SINE安全做网站的安全服务,防止恶意攻击与篡改。对网站进行全面的防御与加固,我们在对客户网站进行安全部署的同时,客户经常会想要了解到底网站,以及服务器是如何被入侵,攻击者的IP是谁,那么我们SINESAFE技术针对这种情况,最好的办法就是通过日志进行分析,溯源追踪,帮助客户找到网站漏洞根源,到底是谁在攻击他们。下面我们来分享一下,我们是如何对日志进
        667 0
        网站服务器被攻击了如何查找木马(webshell)IP 篡改的痕迹
        |
        安全 网络安全
        金山网络两月被黑4次 入侵黑客留名挑衅
        国内知名安全公司金山网络近期频繁遭受黑客“光顾”。8月22日20点,金山网络旗下金山手机卫士的主页被黑客篡改;不到一日的8月23日上午9时30分,金山网络官网又被黑客攻破。若加上此前两次被黑客成功入侵,金山网络两个多月来连续4次被黑。
        1433 0
        |
        安全 程序员 数据安全/隐私保护

        热门文章

        最新文章

        下一篇
        开通oss服务