0x00 写在前面的话
以前闲着没事的时候,就拿着手里的东西对着杀毒软件一阵捣鼓,搞了个贰叁伍控制系统开源在Gitee上,后面因为一些个人原因,被迫把仓库清空了。现在有了一定的基础,再次看着以前捣鼓的东西,不经意间觉得自己真的很傻,哈哈。
CSDN上面发了一篇文章,攻防对抗:如何巧妙复现360添加受信任文件,算是对曾经的天真想法做出的弥补。不过添加受信任文件的前提是要结束360的主动防御和主要进程,结束后替换自己的白名单文件就可以。现在已经有R3下结束360的办法,不过只支持部分系统。类似结束火绒的方法,360也同样适用。
现在大多数利用的是DLL劫持的方法,通俗的说就是白加黑,也就是行话中的多文件。除了部分已经被360云大脑定位的白文件,其他的其实都可以利用,不过有个前提条件,那就是行为分析。
0x01 云鉴分析和用户行为
这里呢我们就举360为例子吧。
静态查杀很容易,Pass掉云鉴定也不难
360的云安全计划,可以说是起到了极大的保护作用,他的触发机制非常的繁琐,所以R3上想要解决云鉴定的这种行为也是不是很简单。本机测试,一个接近10MB的文件,都被360上传,如果没有特殊的要求的话,没人会去做这么大的东西。不过我们可以站在靶机用户这边想一想:
现在我正在下载一个文件,按照网页上的描述他应该有什么什么功能,如果文件很小他又会怎么想?打开文件后啥都没有,它又会咋想?但凡有一点经验的人都会疯狂的用安全软件检测系统,除开那些只会开关机的人。
如果不是为了养鸡场,而是站在一个用户的方面去想这个问题,下载一个大文件也是理所应当。据我了解的,目前大部分养鸡的IP段都在广东一带,而大部分鸡基本上都是有公网ip的,(之前爆出的华为路由器端口漏洞除外)。大部分的用户都没有开通公网IP,上次我也打电话问过电信那边,开通需要用户确认并且承担相应的风险,一般没有人会干这种事,所以又何必要去追求文件大小和文件分布情况呢?
大多数人的了解也许都是被当年的某七和某特所影响,现在的某七坛主曾经在我这里拿过文件,基本上是搞不懂代码的,大部分的理解也只是限制与以前红客对于杀软的理解。
他们告诉你的免杀处理,无非就是区段处理和特征处理,关于行为的分析真的很少,毕竟有些东西当年为了拓展影响力和留一手,都将它简化成了通俗易懂的代码块,复制粘贴就完事了,类似于脚本小子这一类吧。
就像群里某个人用了我在gitee库上发布的bypass_inject,憨憨地告诉我你这个怎么运行不了,咋运行的时候被360报毒了。确实当时我的心中有一万只草拟吗路过,我给出的是动态行为分析绕过,你给我看个静态报毒啥意思,SDK都没有你编译啥?确实,这就有点像甲方和乙方,甲方想的是东,乙方做的西。
你给他解释,他也不会听得,要的就是个结果,确实,这就是现在社会的现状,这二十多年我还是算是懂了吧。
0x02 某产品的辛酸史
我就这样通俗的解释下吧,这里咱们以2345为例。
当年的2345还没有加入安全联盟的时候,其实就是被各大杀毒软件当做是病毒(Virus)的。当时2345的行为操作其实可以算得上是行内的顶尖高手,就连某快播都要礼让三分。绕过各大杀毒软件并且静默下载各种流氓软件,可以说是无恶不做,当时国内很多的远控样本基本上都是抄的2345和某快播的。
但是有一点,为什么没人去主动卸载他呢?有一点重要的原因,例如浏览器,虽然他要下载其他推广软件,但是我能用啊,而且还挺好用的,就和快播差不多。用户懒得卸载也有舍不得卸载,所以说后面杀软有了相应的拦截措施,也有很多用户没有卸载掉2345的其他软件。
现在2345的杀软的研究人员,据说是从哪个公司跳槽的,也不好说,毕竟后面2345自己搞了个杀软,学起了我们的马爸爸。
确实啊,只有当你真正的去编程,去了解这方面,你才会重新去理解它、认知他,更正自己的想法。
0x03 Bypass360主动防御
讲了这么多,下面我们在谈谈这次Bypass360的过程吧,后面会逐渐在Gitee和Github上面开源一些项目,多了不行,少了也不好,毕竟总有人会说三道四,牛头不对马嘴。就算是放出了R3下的方法,也总会有人拿着为啥360会报毒,毕竟他连行为拦截和静态查杀都分不清,又会有多少人会去用它的代码呢?除开浏览次数多的,少的也是能行的,比如我在谷歌上找的一点东西。
这段代码通过系统计划任务来绕过主动防御,这个行为目前是被允许的,并没有在拦截规则里(仅限于这段代码的方法)。
测试靶机在全程联网并且运行360云鉴的情况下,该段代码还处于白名单阶段,成功添加了系统计划任务,并且是以System身份添加,360的系统加速项也并没有屏蔽掉添加的计划任务。
经过测试后,全部Bypass
后面我会录一段视频给大伙们看看。
行话来讲,这段代码加进去后修改下YK样本就能做个单文件了,我也测试了一下,效果还不错。后面我会搞一个知识星球或者关注我们的公众号或者百家号即可,到时候加入进来的老铁们就可以看到这段代码的原貌了。
以上平台都是在WIN10 & VS2019 上实现的,所以如果要加到某些样本中,需要手动移植代码,并且适应高版本。
目前Gitee上有Inject_Bypass的仓库
https://gitee.com/emanong/bypass-av
有兴趣的可以看看,靶机系统为WIN10
目前代码我已经开源