查看: 8059|回复: 28
收起左侧

[砖头] 360你TMD是不是有内部人员又给木马过白了?

[复制链接]
vm001
发表于 2018-8-16 08:19:02 | 显示全部楼层 |阅读模式
本帖最后由 vm001 于 2018-8-16 08:54 编辑

样本连接
https://bbs.kafan.cn/forum.php?m ... &page=1#pid42450166
从帖子里提出的白+黑远控木马,说是白+黑,可exe也不能算纯白的,看下面运行截图dll也在白名单吧。。




手动进入网购模式,360既没提示QQNetBar.exe可疑进程在运行,也没提示这个QQNetBar.exe(所谓的白进程)被(wxmsw28u_gcc_cb.dll)劫持。。。
敢说不在你的白名单?


可能有人说如果在白名单为啥样本贴里360会拦截启动项?
这里有必要说一下,360拦截启动项的标准是,操作进程非白(比如这个qqwb_protect.exe)或者启动项对应目标非白(比如这个QQNetBar.exe)这俩个条件有一个符合就会拦截

下面我们继续测试
将qqwb_protect.exe(真的白程序)改名为QQNetBar.exe
执行qqwb_protect.exe拦截启动项


这里其实启动项对应的QQNetBar.exe实际为改了名的白程序qqwb_protect.exe
由此判断360是将qqwb_protect.exe这个有签名的白程序置灰了

下来我们来验证下,将qqwb_protect.exe和必须程序common.dll(也是白的)复制到桌面运行,还是可拦截



那下来我们做最后一步验证,正常情况下360为了避免误报,如果一个白程序操作写入启动项,并且启动项对应文件也是白的或者不存在就会放过启动项,那么下来我们验证当启动项对应文件不存在时候360是否拦截,测试结果是拦截了


为啥启动项对应文件不存在会拦截?只有一个解释就是360将qqwb_protect.exe这个有签名的白程序置灰了,所以出现了原帖中360拦截了木马可疑操作,而通过这个测试可看出来,真正的木马被360给加入了白名单。。

MMP啊

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
大明湖畔的乾隆
发表于 2018-8-16 08:38:02 来自手机 | 显示全部楼层
@360主动防御       蓝了没有?
vm001
 楼主| 发表于 2018-8-16 09:00:37 | 显示全部楼层
@360主动防御
你们内部人员谁给加白的,希望严肃处理,好好一个防御全面的360就给这样的人渣污染了
温馨小屋
头像被屏蔽
发表于 2018-8-16 09:39:21 | 显示全部楼层
360给这种奇怪的东西加白已经不是第一次了,这怕是团队决策的结果。。。
wheyu。。。
发表于 2018-8-16 09:39:21 | 显示全部楼层
我也帮忙 @360主动防御    可别自爆啊
360主动防御
发表于 2018-8-16 09:58:35 | 显示全部楼层
本帖最后由 360主动防御 于 2018-8-16 10:12 编辑

我们核实一下
这种一定不是被放白的,应该是被白利用了,反病毒的工程师正在核实
wowocock
发表于 2018-8-16 10:34:10 | 显示全部楼层
更别说驱动级别的白利用更是爽,过各种安全软件,随意进内核,在最新的WIN10 X64下不用任何签名,任意进入内核执行。不过微软的内核隔离的确可以解决一部分这种问题。
vm001
 楼主| 发表于 2018-8-16 10:38:33 | 显示全部楼层
本帖最后由 vm001 于 2018-8-16 10:39 编辑
360主动防御 发表于 2018-8-16 09:58
我们核实一下
这种一定不是被放白的,应该是被白利用了,反病毒的工程师正在核实

就是白利用网购模式正常情况下也能识别,现在你们拉黑了,我改了下dll的MD5,这不识别了


正在QQ上和你们的大佬360safe-fbd测试这个问题

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
360主动防御
发表于 2018-8-16 10:47:58 | 显示全部楼层
vm001 发表于 2018-8-16 10:38
就是白利用网购模式正常情况下也能识别,现在你们拉黑了,我改了下dll的MD5,这不识别了

问题1:wxmsw28u_gcc_cb.dll是真正的木马程序,它是不在白名单里的,这个dll从一出现就一直是灰的,直到被拉黑

问题2:QQNetBar.exe和qqwb_protect.exe这两个文件一直都是白的,也没有被置灰的情况

问题3:网购模式下我们本地测试,木马dll未置黑的情况下还是能正常弹窗(这里的未置黑的意思就是把dll的md5改了让它成了个灰的)

问题4:qqwb_protect.exe修改启动项会被拦截,拦截原因不是因为他没有被置灰。这个程序一直都是白的,拦截是云规则做的

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 23:55 , Processed in 0.133372 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表