0x00 前言
昨天先知社区看到《对某地产集团的一次渗透测试》一文中作者遇到这样一个问题:因存在360而无法执行上传的程序,即使免杀也不行,但不知道为什么fscan又可以执行,他猜测可能是谁设置了白名单。
根据他的描述大概率是360拦截的进程链,但不知道他遇到的这个具体是啥情况,这在实战中也是比较常见的一个场景,所以想着还是写篇文章简单记录分享一下。
0x01 问题复现
通过RCE或其他高危漏洞成功得到admin/system,但目标有360,在执行高危命令或自己上传的程序时都被拦截了,即使免杀也可能会被拦截,如下图所示。
被拦时一般会提示:拒绝访问、Access is denied,这时我们一般都会使用一些白名单或者内存加载等方式来绕过,有的师傅也会使用驱动干掉360、模拟键鼠退出360等。
在那篇文章作者@laohu就是通过哥斯拉的内存加载PE文件绕过360上线的cobaltstrike,这只是其中一种绕过方法,也可以去试下冰蝎、蚁剑或各种脚本的内存加载方式。
以上方法在我之前分享的文章中大部分都有用过或者提过,我就不详细写了;下边我们来介绍另一种在高权限下的免杀绕过方式,只是给大家提供这么一个思路。
0x02 绕过方式
只要我们的权限够大(admin/system)就可以通过360的日志文件来确定有没有设置的白名单文件,如果有则可以使用这些白名单文件的命名来绕过查杀,但可能过不了进程链的监测,需结合白名单绕过。
360每天都会在静默状态下“偷偷”给你扫几次,所以我们也不用担心没有这些扫描日志文件,下边这个路径主要存放的就是360的扫描日志和设置白名单日志。
C:\Users\[username]\AppData\Roaming\360Safe\360ScanLog\
360扫描日志文件:
这个日志文件主要记录的是扫描结果以及我们设置的白名单文件列表,记录的有扫描时间、文件、hash等。
C:\Users\[username]\AppData\Roaming\360Safe\360ScanLog\ScanLog_2023-05-10_16_15_05.txt
360白名单日志文件:
这个日志文件记录的是我们添加或移除白名单的时间、文件名、hash等信息,otc=1为添加白名单,otc=2为移除白名单或者隔离木马病毒文件等。
C:\Users\[username]\AppData\Roaming\360Safe\360ScanLog\360LogCenter.exe.ESG.2023-05-10.log
0x03 注意事项
从之前在本地复现和实战测试来看,360经常会出现各种玄学奇葩问题,有的情况下它会拦截,有的情况下它又不会拦截,所以大家在实战测试中还是得以实际情况为准...,可能会遇到各种各样的问题。
