技巧!通过360卫士白名单绕过查杀

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 技巧!通过360卫士白名单绕过查杀

0x00 前言

昨天先知社区看到《对某地产集团的一次渗透测试》一文中作者遇到这样一个问题:因存在360而无法执行上传的程序,即使免杀也不行,但不知道为什么fscan又可以执行,他猜测可能是谁设置了白名单。


根据他的描述大概率是360拦截的进程链,但不知道他遇到的这个具体是啥情况,这在实战中也是比较常见的一个场景,所以想着还是写篇文章简单记录分享一下。


0x01 问题复现

通过RCE或其他高危漏洞成功得到admin/system,但目标有360,在执行高危命令或自己上传的程序时都被拦截了,即使免杀也可能会被拦截,如下图所示。

被拦时一般会提示:拒绝访问Access is denied,这时我们一般都会使用一些白名单或者内存加载等方式来绕过,有的师傅也会使用驱动干掉360、模拟键鼠退出360等。

在那篇文章作者
@laohu就是通过哥斯拉的内存加载PE文件绕过360上线的cobaltstrike,这只是其中一种绕过方法,也可以去试下冰蝎、蚁剑或各种脚本的内存加载方式。

以上方法在我之前分享的文章中大部分都有用过或者提过,我就不详细写了;下边我们来介绍另一种在高权限下的免杀绕过方式,只是给大家提供这么一个思路。


0x02 绕过方式

只要我们的权限够大(admin/system)就可以通过360的日志文件来确定有没有设置的白名单文件,如果有则可以使用这些白名单文件的命名来绕过查杀,但可能过不了进程链的监测,需结合白名单绕过。


360每天都会在静默状态下“偷偷”给你扫几次,所以我们也不用担心没有这些扫描日志文件,下边这个路径主要存放的就是360的扫描日志和设置白名单日志。

    C:\Users\[username]\AppData\Roaming\360Safe\360ScanLog\


    360扫描日志文件:

    这个日志文件主要记录的是扫描结果以及我们设置的白名单文件列表,记录的有扫描时间、文件、hash等。

      C:\Users\[username]\AppData\Roaming\360Safe\360ScanLog\ScanLog_2023-05-10_16_15_05.txt


      360白名单日志文件:

      这个日志文件记录的是我们添加或移除白名单的时间、文件名、hash等信息,otc=1为添加白名单,otc=2为移除白名单或者隔离木马病毒文件等。

        C:\Users\[username]\AppData\Roaming\360Safe\360ScanLog\360LogCenter.exe.ESG.2023-05-10.log


        0x03 注意事项

        之前在本地复现和实战测试来看,360经常会出现各种玄学奇葩问题,有的情况下它会拦截,有的情况下它又不会拦截,所以大家在实战测试中还是得以实际情况为准...,可能会遇到各种各样的问题。

        相关实践学习
        日志服务之使用Nginx模式采集日志
        本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
        相关文章
        |
        8月前
        |
        SQL 监控 安全
        服务器安全性漏洞和常见攻击方式解析
        服务器安全性漏洞和常见攻击方式解析
        |
        存储 安全 网络协议
        绕过WAF和多个防护软件提权案例
        绕过WAF和多个防护软件提权案例
        211 0
        |
        云安全 域名解析 安全
        警惕主动外联!云防火墙检测拦截勒索、Muhstik僵尸网络等 Log4j2漏洞利用
        近期,阿里云安全观测到,在 Apache Log4j2 漏洞攻击全程中,无论是在漏洞利用阶段,还是后续要进行验证和进一步的控制利用,大多涉及多次受害服务器的主动外联,云防火墙已陆续发现并拦截60余万次涉及勒索、挖矿家族的漏洞利用行为。
        1014 0
        警惕主动外联!云防火墙检测拦截勒索、Muhstik僵尸网络等 Log4j2漏洞利用
        |
        3月前
        |
        安全 网络协议 网络安全
        黑客10种绕过防火墙方法
        黑客10种绕过防火墙方法
        169 7
        |
        8月前
        |
        SQL 云安全 安全
        常见的web漏洞,网站漏洞该怎么办
        随着互联网的发展,网站安全成为企业和个人关注焦点,尤其网站漏洞可能导致数据泄露、系统崩溃等严重后果。本文介绍了四种常见网站漏洞:XSS、SQL注入、文件包含和CSRF,以及它们的危害。为解决这些问题,建议加强代码审查、输入验证、使用安全API和库、访问控制等措施。此外,德迅云安全的漏洞扫描VSS服务可在Web漏洞扫描、弱密码扫描和中间件扫描等场景中发挥作用,帮助企业及时发现并处理安全问题,保障网站安全。
        |
        4月前
        |
        开发框架 安全 .NET
        Web安全-文件上传漏洞与WAF绕过
        Web安全-文件上传漏洞与WAF绕过
        235 4
        |
        安全 测试技术 网络安全
        D盾防火墙安全防护绕过-[文件上传]
        D盾防火墙安全防护绕过-[文件上传]
        618 0
        |
        Web App开发 安全 JavaScript
        WordPress建站之如何从恶意重定向恶意软件黑客攻击中恢复
        关于WordPress建站的问题,欢迎留言讨论,关注“六翼开源”专注WordPress建站服务。
        WordPress建站之如何从恶意重定向恶意软件黑客攻击中恢复