安全人员最近观察到,nitol僵尸网络在利用基于宏的恶意文档发动分布式攻击时,使用了新的逃避技术。
恶意软件作者想尽各种办法以躲开沙盒检测的事情并不新鲜,但此次nitol僵尸网络使用的技术,非常新奇和聪明。它们使用了宏编码的混淆技术和多阶段攻击方法论,以确保终端设备被入侵。
据研究人员分析,nitol的这种基于宏的恶意文档发动的分布式攻击,加上了口令保护,可以完全绕过沙盒。因为,键入口令的过程比较复杂且需要用户的介入,而自动分析技术很难模仿这种操作。
此外,nitol还使用了延迟执行来逃避检测,它的厉害之处在于,没有使用其他恶意软件惯用的睡眠或是暂停执行的方法,而是使用了“ping”工具来延迟执行:nitol会启动“ping 8.8.8.8 -n 250”命令,并等待ping进程以完成执行。这个过程大约需要5分钟,足以绕过低阈值时间配置的沙盒。
本文转自d1net(转载)
![“云管边端”协同的边缘计算安全防护解决方案0 引 言1 5G 及边缘计算2 边缘计算面临的风险3 “云管边端”安全防护技术4 “云管边端”安全防护实践5 结 语[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)