【免杀实战】- 分析与利用360规则库复活国护钓鱼木马

admin 2024年9月19日15:55:07评论19 views字数 1582阅读5分16秒阅读模式

【免杀实战】- 分析与利用360规则库复活国护钓鱼木马

01

项目介绍

 

国护的样本分析,我已经发布在:【应急响应】 -  2024护网钓鱼样本分析 如果没有看过的师傅可以前往查看,其中提到了一个比较关键的地方

【免杀实战】- 分析与利用360规则库复活国护钓鱼木马

样本能够跑起来的原因是与ftp.exe是相关的,那么杀软对ftp.exe写一个拦截规则,让我们无法使用相应的进程执行进程需要的参数。那么就能比较轻松的对这个钓鱼样本进行拦截。(目前这个样本已经被拦截了,所以可以往下看看我是如何利用360规则进行绕过的)

【免杀实战】- 分析与利用360规则库复活国护钓鱼木马

02

项目测试

先看看效果。

【免杀实战】- 分析与利用360规则库复活国护钓鱼木马

C:WindowsSystem32ftp.exe -""s:__init__libgcc.dll

【免杀实战】- 分析与利用360规则库复活国护钓鱼木马

C:WindowsSystem32ftp.exe -s:__init__libgcc.dll

【免杀实战】- 分析与利用360规则库复活国护钓鱼木马

C:WindowsSystem32ftp.exe -s"":__init__libgcc.dll

【免杀实战】- 分析与利用360规则库复活国护钓鱼木马

在三个测试结果中,第3个成功上线,前面第1、2的测试中,会弹出ftp.exe的拦截告警。接下来给大家分享一下我是如何发现这个绕过手法的。

【免杀实战】- 分析与利用360规则库复活国护钓鱼木马

03

项目实战

从上文的测试结果中,我们确定了,他对ftp.exe进行了告警,那么就按照这个思路,打开CE (Cheat Engine),对360的规则进行查找。

【免杀实战】- 分析与利用360规则库复活国护钓鱼木马

目前来说,这个字符串我们不知道360是拿来干嘛的。出现了名称ftp.exe还有参数(-s:)
FN@=ftp.exe|IN=ftp.exe|CL@=-s:|RID=10001|IC=1|CQ=0,0|
我们现在需要拿到前面的标签对应的内容,才能更好的分析这个代码是什么意思,CE直接搜(FN=)

【免杀实战】- 分析与利用360规则库复活国护钓鱼木马

下面给出大部分的代码解析:
CQ=云引擎查询XX=特征码比较DLL_HIJACK=DLL劫持QUERY_WITH=上行查询报文IN=InternalName(内部名)SP=签名快速检查MD5=MD5SC=签名公司PV=产品版本PN=产品名LC=版权声明FV=文件版本FD=文件描述CN=公司名SI=大小ON=原始文件名FNS = 文件名列表LOLBin = 白利用拦截OSVER = 该规则生效的操作系统版本范围DCOMPARAM = 获取DCOM调用时RPC Buffer中的参数信息DCOM = DCOM调用接口名DCOMPORT = DCOM调用的函数序号GUID = 调用时传入的GUID值REG=注册表键值T5S=5秒内是否dll过检测TN=TMOD文件名PF=来源进程父进程文件名PA=程序参数CP=调用外部程序RID=强行修改规则IDAH=防黑加固PT=进程链DW=危险白进程EI=扩展信息CL=进程命令行比较FN=文件名NONE=啥都不是
对照一下这个表格,我们就能清楚的知道,360刚刚的那条字符串是什么内容:
FN@=ftp.exe|IN=ftp.exe|CL@=-s:|RID=10001|IC=1|CQ=0,0|
FN=文件名IN=InternalName(内部名)CL=进程命令行比较RID=强行修改规则IDIC=CQ=云引擎查询

从字面意思来看,好像对我们造成威胁的只有(CL=进程命令行比较),所以在上文的测试结果中,大家看出来了什么端倪了吗?按照我自身的猜测,(@)这个符号可能是强比较的意思?那么造成绕过的原因是不是就显而易见了?

方法不限,我从中还找到了能过QVM的其他办法。这个搜索字符串的思路并非我原创,对这个思路进行了一个创新。我也是将我学到的分享给大家,只是分享一个思路!!!

【免杀实战】- 分析与利用360规则库复活国护钓鱼木马

04

项目拓展

用不习惯CE的师傅,可以考虑一下火绒剑,接下来给大家演示一下如何使用火绒剑来实现以上的操作。

【免杀实战】- 分析与利用360规则库复活国护钓鱼木马

【免杀实战】- 分析与利用360规则库复活国护钓鱼木马

如何找到标签的对照表

【免杀实战】- 分析与利用360规则库复活国护钓鱼木马

【免杀实战】- 分析与利用360规则库复活国护钓鱼木马

    样本的复活,只需要修改快捷指令中的命令即可,过程比较有意思,各位师傅可以上手实操,没准可以发现新大陆。希望大家可以多多点赞,如果需要文中的工具以及样本或者遇到什么问题,均可在下方留言讨论。

原文始发于微信公众号(零攻防):【免杀实战】- 分析与利用360规则库复活国护钓鱼木马

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月19日15:55:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【免杀实战】- 分析与利用360规则库复活国护钓鱼木马http://cn-sec.com/archives/3170438.html

发表评论

匿名网友 填写信息