服务器360提权是攻击者利用360安全软件组件漏洞或配置缺陷,获取服务器更高权限的高危行为,其本质是权限提升(Privilege Escalation)攻击,常导致整机沦陷、数据泄露甚至被植入持久化后门,据2026年国家互联网应急中心(CNCERT)通报,约17%的服务器入侵事件起始于第三方安全软件提权漏洞,其中360相关组件占比达32%,本文从原理、典型路径、防御策略三方面,提供可落地的实战级防护方案。
360提权为何高发?三大核心漏洞类型
-
驱动层漏洞(高危)
360部分旧版驱动(如360sd.sys、360ps.sys)存在未签名或逻辑缺陷,攻击者可构造恶意IOCTL请求,实现内核任意写,从而加载恶意驱动提权至SYSTEM权限。
▶ 典型版本:360安全卫士 ≤ 13.5、360杀毒 ≤ 6.0
▶ 修复建议:立即升级至最新版,禁用非必要驱动;通过注册表路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360将Start值设为4(禁用) -
服务提权漏洞(中高危)
360服务(如360Tray.exe、360Safe.exe)以SYSTEM权限运行,但部分服务存在命令注入或路径遍历缺陷。- 服务启动参数未校验,可注入恶意参数
- 临时文件路径使用
%TEMP%,攻击者可预创建符号链接劫持
▶ 修复建议:最小权限运行服务;使用Process Monitor监控服务启动参数;部署应用白名单(如AppLocker)
-
UAC绕过(中危)
360组件(如360zip、360sd.exe)曾存在MS15-002同源策略绕过漏洞(CVE-2015-2504),可触发UAC弹窗欺骗用户点击,实现提权。
▶ 修复建议:强制启用UAC(注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA=1);禁用“管理员批准模式”下的第三方提权白名单
攻击者常用提权路径(实战复现)
-
路径1:利用360驱动漏洞提权
① 上传提权EXP(如360sd.sys提权POC) ② 执行:sc create malicious_svc binPath= "C:\evil.exe" type= kernel ③ 启动服务:sc start malicious_svc → 获得SYSTEM权限Shell
-
路径2:服务参数注入
① 识别360服务:wmic service where "name like '%360%'" get name,pathname ② 发现服务启动参数含用户输入(如360Tray.exe /path=%USERPROFILE%) ③ 在%USERPROFILE%下预创建evil.exe ④ 重启服务:net stop 360Tray && net start 360Tray → evil.exe以SYSTEM权限执行
-
路径3:利用计划任务劫持
360组件常注册计划任务(如360SafeScan),若任务执行路径为可写目录(如C:\ProgramData\360\),攻击者可替换任务脚本实现提权。
▶ 验证命令:schtasks /query /tn "360" /v
▶ 修复:将任务执行目录权限收窄为SYSTEM:Full + Administrators:Read & Execute
系统级防御四步法(权威机构推荐方案)
-
立即执行
- 卸载非必要360组件(尤其360zip、360sd.exe)
- 运行
sigcheck -u C:\Windows\System32\drivers\360.sys检查驱动签名状态
-
权限加固
- 对
C:\ProgramData\360目录移除“Users”写权限 - 使用
icacls C:\ProgramData\360 /inheritance:r /grant:r SYSTEM:(F) Administrators:(RX)
- 对
-
行为监控
- 部署EDR(如腾讯御点、奇安信天擎),重点监控:
svchost.exe -k netsvcs启动新服务wmic process call create调用sc create指令执行
- 部署EDR(如腾讯御点、奇安信天擎),重点监控:
-
纵深防御
- 启用Windows Defender Application Control(WDAC)
- 部署网络层防护:在防火墙阻断
.360.cn的出站连接(除必要更新外)
应急响应:发现提权后如何处置?
- 立即隔离主机(断网/禁用网卡)
- 提取内存镜像(使用WinPmem)分析提权进程树
- 检查注册表启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - 清理后门:删除异常计划任务、服务、驱动
- 重装系统前必须备份日志:
wevtutil qe System /c:10 /rd:true /f:text > system.log
相关问答
Q:企业内网必须使用360产品,如何避免提权风险?
A:采用“最小化安装”策略仅保留核心杀毒模块,禁用所有附加组件(如浏览器防护、网盾);通过组策略(GPO)强制更新至最新版,并启用“服务隔离”功能(360企业版支持)。
Q:如何检测服务器是否已被360提权攻击?
A:重点排查以下指标:
① 存在未签名驱动(sigcheck -a)
② 360Safe.exe进程创建子进程(如cmd.exe)
③ 计划任务中存在360前缀且执行路径含用户目录
您是否经历过服务器提权事件?欢迎在评论区分享您的应急处置经验!
首发原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/176280.html
