安全人員最近觀察到,nitol殭屍網路在利用基於巨集的惡意文件發動分布式攻擊時,使用了新的逃避技術。
惡意軟體作者想盡各種辦法以躲開沙盒檢測的事情並不新鮮,但此次nitol殭屍網路使用的技術,非常新奇和聰明。它們使用了巨集編碼的混淆技術和多階段攻擊方**,以確保終端裝置被入侵。
據研究人員分析,nitol的這種基於巨集的惡意文件發動的分布式攻擊,加上了口令保護,可以完全繞過沙盒。因為,鍵入口令的過程比較複雜且需要使用者的介入,而自動分析技術很難模仿這種操作。
此外,nitol還使用了延遲執行來逃避檢測,它的厲害之處在於,沒有使用其他惡意軟體慣用的睡眠或是暫停執行的方法,而是使用了「ping」工具來延遲執行:nitol會啟動「ping 8.8.8.8 -n 250」命令,並等待ping程序以完成執行。這個過程大約需要5分鐘,足以繞過低閾值時間配置的沙盒。
OS X那些事 惡意軟體是如何啟動的?
vvun91e0n 2015 12 23 11 13 前幾日,看了乙份報告,是美國網路安全公司bit9發布的 2015 the most prolific year for os x malware 報告主要的內容就是說說2015年os x平台惡意軟體的情況。bit9的研究團隊進行了10周的分析研究...
企業如何抵禦利用DNS隧道的惡意軟體?
惡意軟體編寫者開始使用dns請求進行資料滲透,那麼,這些攻擊的工作原理是什麼,以及抵禦它們的最佳做法有哪些?nick lewis 多年來,高階攻擊者一直在利用dns隧道 icmp隧道等進行資料滲透。基於他們取得的成功,很多其他攻擊者也開始採用這種技術,讓這種技術逐漸普遍。dns通常也被允許出站連線到...
企業如何抵禦利用DNS隧道的惡意軟體
惡意軟體編寫者開始使用dns請求進行資料滲透,那麼,這些攻擊的工作原理是什麼,以及抵禦它們的最佳做法有哪些?nick lewis 多年來,高階攻擊者一直在利用dns隧道 icmp隧道等進行資料滲透。基於他們取得的成功,很多其他攻擊者也開始採用這種技術,讓這種技術逐漸普遍。dns通常也被允許出站連線到...