• 欢迎访问安全专题网站,安全专题信息,安全专题教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入安全专题 QQ群
  • 安全专题现已支持滚动公告栏功能,兼容其他浏览器,看到的就是咯,在后台最新消息那里用li标签添加即可。
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏安全专题吧

看恶意软件Nitol如何使用新技术逃避沙盒检测

安全情报 网络收集 2年前 (2016-12-26) 247次浏览 0个评论

安全人员最近观察到,Nitol 僵尸网络在利用基于宏的恶意文档发动分布式攻击时,使用了新的逃避技术。

看恶意软件 Nitol 如何使用新技术逃避沙盒检测

恶意软件作者想尽各种办法以躲开沙盒检测的事情并不新鲜,但此次 Nitol 僵尸网络使用的技术,非常新奇和聪明。它们使用了宏编码的混淆技术和多阶段攻击方法论,以确保终端设备被入侵。

据研究人员分析,Nitol 的这种基于宏的恶意文档发动的分布式攻击,加上了口令保护,可以完全绕过沙盒。因为,键入口令的过程比较复杂且需要用户的介入,而自动分析技术很难模仿这种操作。

此外,Nitol 还使用了延迟执行来逃避检测,它的厉害之处在于,没有使用其他恶意软件惯用的睡眠或是暂停执行的方法,而是使用了“ping”工具来延迟执行:Nitol 会启动“ping 8.8.8.8 -n 250”命令,并等待 ping 进程以完成执行。这个过程大约需要 5 分钟,足以绕过低阈值时间配置的沙盒。

看恶意软件 Nitol 如何使用新技术逃避沙盒检测

ping 是一个再普通不过的命令,大多用于证实网络连接的有效性。然而,使用 ping 来延迟恶意软件的执行的确是一个新奇的技术。

 


Selinux 中国 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:看恶意软件 Nitol 如何使用新技术逃避沙盒检测
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址