本文講的是看惡意軟體Nitol如何使用新技術逃避沙盒檢測,安全人員最近觀察到,Nitol僵屍網絡在利用基于宏的惡意文檔發動分布式攻擊時,使用了新的逃避技術。
惡意軟體作者想盡各種辦法以躲開沙盒檢測的事情并不新鮮,但此次Nitol僵屍網絡使用的技術,非常新奇和聰明。它們使用了宏編碼的混淆技術和多階段攻擊方法論,以確定終端裝置被入侵。
據研究人員分析,Nitol的這種基于宏的惡意文檔發動的分布式攻擊,加上了密碼保護,可以完全繞過沙盒。因為,鍵入密碼的過程比較複雜且需要使用者的介入,而自動分析技術很難模仿這種操作。
此外,Nitol還使用了延遲執行來逃避檢測,它的厲害之處在于,沒有使用其他惡意軟體慣用的睡眠或是暫停執行的方法,而是使用了“ping”工具來延遲執行:Nitol會啟動“ping 8.8.8.8 -n 250”指令,并等待ping程序以完成執行。這個過程大約需要5分鐘,足以繞過低門檻值時間配置的沙盒。
ping是一個再普通不過的指令,大多用于證明網絡連接配接的有效性。然而,使用ping來延遲惡意軟體的執行的确是一個新奇的技術。
原文釋出時間為:十月 26, 2016
本文作者:nana
本文來自雲栖社群合作夥伴安全牛,了解相關資訊可以關注安全牛。