360你TMD是不是有内部人员又给木马过白了？

vm001

样本连接
https://bbs.kafan.cn/forum.php?m ... &page=1#pid42450166
从帖子里提出的白+黑远控木马，说是白+黑，可exe也不能算纯白的，看下面运行截图dll也在白名单吧。。




手动进入网购模式，360既没提示QQNetBar.exe可疑进程在运行，也没提示这个QQNetBar.exe（所谓的白进程）被（wxmsw28u_gcc_cb.dll）劫持。。。
敢说不在你的白名单？


可能有人说如果在白名单为啥样本贴里360会拦截启动项？
这里有必要说一下，360拦截启动项的标准是，操作进程非白（比如这个qqwb_protect.exe）或者启动项对应目标非白（比如这个QQNetBar.exe）这俩个条件有一个符合就会拦截

下面我们继续测试
将qqwb_protect.exe（真的白程序）改名为QQNetBar.exe
执行qqwb_protect.exe拦截启动项


这里其实启动项对应的QQNetBar.exe实际为改了名的白程序qqwb_protect.exe
由此判断360是将qqwb_protect.exe这个有签名的白程序置灰了

下来我们来验证下，将qqwb_protect.exe和必须程序common.dll（也是白的）复制到桌面运行，还是可拦截



那下来我们做最后一步验证，正常情况下360为了避免误报，如果一个白程序操作写入启动项，并且启动项对应文件也是白的或者不存在就会放过启动项，那么下来我们验证当启动项对应文件不存在时候360是否拦截，测试结果是拦截了


为啥启动项对应文件不存在会拦截？只有一个解释就是360将qqwb_protect.exe这个有签名的白程序置灰了，所以出现了原帖中360拦截了木马可疑操作，而通过这个测试可看出来，真正的木马被360给加入了白名单。。

MMP啊

大明湖畔的乾隆

@360主动防御       蓝了没有？

vm001

@360主动防御
你们内部人员谁给加白的，希望严肃处理，好好一个防御全面的360就给这样的人渣污染了

温馨小屋

360给这种奇怪的东西加白已经不是第一次了，这怕是团队决策的结果。。。

wheyu。。。

我也帮忙 @360主动防御    可别自爆啊

360主动防御

我们核实一下
这种一定不是被放白的，应该是被白利用了，反病毒的工程师正在核实

wowocock

白利用而已，N年前我就科普过这类东西了。
https://user.qzone.qq.com/37803144/blog/1368066638
https://user.qzone.qq.com/37803144/blog/1368429157
https://user.qzone.qq.com/37803144/blog/1368598437

wowocock

更别说驱动级别的白利用更是爽，过各种安全软件，随意进内核，在最新的WIN10 X64下不用任何签名，任意进入内核执行。不过微软的内核隔离的确可以解决一部分这种问题。

vm001

360主动防御 发表于 2018-8-16 09:58
我们核实一下
这种一定不是被放白的，应该是被白利用了，反病毒的工程师正在核实

就是白利用网购模式正常情况下也能识别，现在你们拉黑了，我改了下dll的MD5，这不识别了


正在QQ上和你们的大佬360safe-fbd测试这个问题

360主动防御

vm001 发表于 2018-8-16 10:38
就是白利用网购模式正常情况下也能识别，现在你们拉黑了，我改了下dll的MD5，这不识别了

问题1：wxmsw28u_gcc_cb.dll是真正的木马程序，它是不在白名单里的，这个dll从一出现就一直是灰的，直到被拉黑

问题2：QQNetBar.exe和qqwb_protect.exe这两个文件一直都是白的，也没有被置灰的情况

问题3：网购模式下我们本地测试，木马dll未置黑的情况下还是能正常弹窗（这里的未置黑的意思就是把dll的md5改了让它成了个灰的）

问题4：qqwb_protect.exe修改启动项会被拦截，拦截原因不是因为他没有被置灰。这个程序一直都是白的，拦截是云规则做的