这是18年在360安全响应中心发布的 kill360 | 绕过360 | 干掉360 | 过360 漏洞,奖励了1K,时隔2年,留个纪念。
一、详细说明
在核晶防护下的360基本任何RING3下的程序都无法K掉,即使有,也会被拦截。但可通过运行伪造虚拟机白文件暂时关闭360核晶防护,再调用POSTTHREADMESSAGE对360产品每条线程发送WM_QUIT,使其强制关闭。
(当然在没有核晶防护的情况下,消息攻击可直接K掉,所以远控木马对于过360防护分级如下:1.过表面 2.过各种拦截 3.过网购 4.过核晶。在免杀论坛,非法贩卖其远控程序的制作者们都以360做为试金石。不同的等级对应不同的价格,从几千至几万不等,猖獗程度远超想象!)
1.1 小试牛刀
其重点在于如何进行伪造达到欺骗360关闭核晶防护,过程如下:
360在vmplayer.exe,vmware.exe,VBoxHeadless.exe,VirtualBox.exe等虚拟机文件时,会静默暂时关闭核晶防护,也就是自动适配。
问:我们直接把虚拟机白文件整合到木马的资源里,第一个释放运行不就可以让核晶防护关闭了吗?
答:当然没那么简单,无论是wvmare.exe还是VBoxHeadless.exe,这些虚拟机白文件 的 “单文件”会运行零点几秒就关闭了,所以我们还得想办法,能让360的核晶防护“持续性”关闭,这样可抽出时间供我们消息攻击使其彻底被KILL掉。
问:那我们伪造这类文件是否就可欺骗过360呢?
答:我们写个无限循环的程序,用来伪装虚拟机白文件vmplayer.exe,换资源及无效数字签名,运行后发现,确实被360识别了,但无实际效果,关闭弹窗后也无法像白文件一样关闭核晶防护。
问:那么,我们白虚拟机文件+伪造的文件一起运行呢?
答:不错!我们运行伪造的虚拟机文件,360核晶防护会提示,但不会关闭;再运行虚拟机白文件,360核晶防护关闭!白文件零点几秒退出后,360核晶防护不会开启,依然处于适配状态(暂时关闭状态)。
问:既然如此,那我们写入到木马里吧。
答:运行后发现360核晶防护却没有关闭,当运行虚拟机白文件时会对此程序的父进程进行判断,我们通过木马释放运行白文件,没有任何效果!
问:鼠标双击来运行程序的父进程都是explorer.exe,所以,我们通过explorer来运行不就好啦?
答:于是,在木马的资源里添加了个BAT批处理程序,通过调用explorer.exe来运行虚拟机白文件。
果然,又报拦截了!
不过,360能识别explorer.exe,我们发现资源管理器并没有数字签名,可能是其他的方式来识别的,那么我们用UPX压缩一下,改个名字,aa.exe,将其加入木马的资源里一起释放,在BAT里用aa.exe来运行我们的虚拟机白文件不就可以了吗?
start aa.exe VBoxHeadless.exe
果然不出预料,成功了!没有任何拦截,白文件成功运行,360核晶防护关闭,接下来的消息攻击成功的Kill了360。
(如果要兼容全系统,就在木马中加入不同系统的伪造资源管理器文件,根据判断而释放即可)
1.1.2 木马流程
(虚拟机白文件:vmplayer.exe,vmware.exe,VBoxHeadless.exe,VirtualBox.exe等)
1.2 后记
是一次与智者的博弈,感受到了360开发人员日夜劳作的艰辛与不易,开拓了我的思路,使逻辑思维都得到一个质的飞跃。感谢360的平台,让我有机会为网络安全贡献薄弱的力量。
二、漏洞证明
2.1 主要源码
2.2 下载
成品运行视频下载地址:
Comments | NOTHING