看恶意软件Nitol如何使用新技术逃避沙盒检测

最新推荐文章于 2024-03-09 20:42:13 发布
最新推荐文章于 2024-03-09 20:42:13 发布
阅读量221 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/169832
版权

安全人员最近观察到,Nitol僵尸网络在利用基于宏的恶意文档发动分布式攻击时,使用了新的逃避技术。

恶意软件作者想尽各种办法以躲开沙盒检测的事情并不新鲜,但此次Nitol僵尸网络使用的技术,非常新奇和聪明。它们使用了宏编码的混淆技术和多阶段攻击方法论,以确保终端设备被入侵。

据研究人员分析,Nitol的这种基于宏的恶意文档发动的分布式攻击,加上了口令保护,可以完全绕过沙盒。因为,键入口令的过程比较复杂且需要用户的介入,而自动分析技术很难模仿这种操作。

此外,Nitol还使用了延迟执行来逃避检测,它的厉害之处在于,没有使用其他恶意软件惯用的睡眠或是暂停执行的方法,而是使用了“ping”工具来延迟执行:Nitol会启动“ping 8.8.8.8 -n 250”命令,并等待ping进程以完成执行。这个过程大约需要5分钟,足以绕过低阈值时间配置的沙盒。

本文转自d1net(转载)

weixin_34234721
关注
某后门病毒详细分析报告(1)——适合新手
weixin_43742894的博客
04-11 2410
0x00样本信息 样本名称:未知 样本家族:NITOL 样本类型:样本类型:远控后门木马 创建时间:星期二 11 十月 2016, 09:49:04 文件大小:21.00 KB (21504 bytes) MD5: 5B8BC92296C2FA60FECC6316AD73F1E2 SHA-1: 44B95162F85B81E71E5F2E7ABBC904A6339CE0AA 病毒行为:病毒...
网络安全之僵尸网络与蠕虫的学习笔记
升升的博客
06-17 2235
僵尸网络与蠕虫 ** 僵尸网络 ** 僵尸网络(Botnets)工作 僵尸网络(Botnets)这个名称本身是“robot”和“network”两个单词的混合。从广义上讲,僵尸网络: 一个用来实施网络犯罪的机器人网络。控制它们的网络罪犯被称为僵尸主人或机器人牧人(Botmaster)。 规模的重要性 为了建立一个僵尸网络,Botmaster需要尽可能多感染在线设备, 连接的机器人越多,僵尸网络就越大。僵尸网络越大,影响就越大。 僵尸网络感染 僵尸网络的创建通常不仅仅是为了攻击一台电脑,它们被设计用来感染数百
高级恶意软件是如何逃避“僵化沙箱”的?
weixin_34387284的博客
08-01 180
如今,用以对付高级恶意软件的沙箱技术已被恶意软件的作者利用。网络罪犯越来越多地使用这种技术来创造新技术逃避这种防御。 沙箱规避并不是一种新现象,其开始于恶意软件开始认识到自己正在一个沙箱中,并且要“睡眠”到超时。但是安全分析工具在检测“睡眠”时已经更为高效,所以恶意软件的作者正在创造新策略,例如用来感染微软办公文档中的恶意软件变种。再如,有的恶意软件...
恶意软件沙盒规避技术
qq_52380836的博客
08-29 1101
恶意软件沙盒技术目前广泛应用于网络安全的公司以及各类软件市场,沙盒可以探测到软件的各种行为,但是目前的沙盒技术面临着一种挑战,由很多恶意软件会对沙盒的部分属性进行探测,以判断自身是否运行在沙盒环境中,目前沙盒技术面对这种探测的应对方式是更改自身的部分属性将其设定为合理的值。随着沙盒系统的真实性不断提升,许多恶意软件作者开始寻求其他的系统特征来识别当前的环境。我们(指原文的作者)通过观察某些系统的属性值已经其痕迹设置了一个分类器,结果发现恶意软件的识别准确度达到了92.86%......
沙盒技术
似水流年
10-20 800
最近单位一直有病毒...忙的团团转都没有时间写blog了艾。第一听说沙盒是安装360安全浏览器后有一次无意间看到服务里有个360安全浏览器的沙盒服务....当时没有在意。后来在太平洋上看到沙盒3.4支持win7当时就觉的不对劲啊...仔细一看跟360的某些功能相似啊....恍然大悟.....后来在查原来kv2010和卡巴都利用了沙盒技术.......w7也支持沙盒并且可以吧想保存的数据
检查linux是否使用沙箱,一种基于容器的恶意代码检测沙盒系统及检测方法与流程...
weixin_32183107的博客
05-13 469
本发明属于信息安全技术领域,具体涉及一种基于容器的恶意代码检测沙盒系统及检测方法。背景技术:近些年来,恶意软件大量的使用了多重加密壳、驱动关联壳、变形壳等代码保护机制和多态和变形等新的技术,使传统的恶意代码静态分析技术遭到了严重的挑战。而基于沙盒技术的动态行为分析技术成为识别未知恶意代码,对抗高级持续性威胁(APT)的有效方法。现有的沙盒技术,一般分为两种:一种是基于Hook技术的沙盒。通过对内核...
花式反沙箱
moresec的博客
01-12 1641
目前沙箱正成为判断恶意威胁的一种最快速和最简单的方式,因此反沙箱检测在实战中发挥越来越重要的作用,无论是从反溯源还是延长加载器寿命的角度,反沙箱都是红蓝对抗中不可或缺的一环。我会着重讲解我觉得有趣的手法,当然有趣不等于实用,如果你分析过APT组织的样本,会发现那些原理简单且有效的方法会被更多的使用(比如主机名/用户名/进程黑名单,环境检测,用户交互检测等),这些方法往往都是复合使用的,因为很难有一种方法可以适用所有场景。出于学习的目的我们应该都了解一下。
Sumav:自动化恶意软件标签分配
可在www.sciencedirect.com上在线获取ScienceDirectICTExpress 8(2022)530www.elsevier.com/locate/icteSumav:完全自动化的恶意软件标签Sangwon Kima,Wookhyun Junga,KyungMin Leea,HyungGeun Ohb,Eui ...
恶意文件标签化的研究 Sumav
可在www.sciencedirect.com在线获取ScienceDirectICTExpress 8(2022)530www.elsevier.com/locate/icteSumav:完全自动化的恶意软件标签Sangwon Kima,Wookhyun Junga,KyungMin Leea,HyungGeun Ohb,Eui TakKima...
沙盒不再高端,Windows11将自带沙盒让程序检测更方便
par@ish的博客
06-03 3190
Windows 沙盒提供了轻型桌面环境,可以安全地在隔离状态下运行应用程序。安装在 Windows 沙盒环境下的软件保持“沙盒”状态,并且与主机分开运行。沙盒是临时的。当关闭沙盒后,系统将删除所有软件和文件以及状态。每次使用时,都需要重新建立沙盒实例。但请注意,自 Windows 11 版本 22H2 起,数据将通过从虚拟化环境内启动的重启而持久保存,这对于安装需要操作系统重新启动的应用程序非常有用。安装在主机上的软件和应用程序不会直接出现在沙盒中。
深信服僵尸网络查杀工具
11-12
深信服僵尸网络查杀工具 深信服僵尸网络查杀工具 深信服僵尸网络查杀工具
sandboxie逆向源码
06-10
沙箱 sandboxie 3.4.0 源码
沙盒检查
02-13
沙盒检查 使用构建的GitHub应用,Mike North的github应用沙盒用于检查 设置 # Install dependencies npm install # Run the bot npm start 贡献 如果您对如何改进沙盒检查有建议,或者想报告错误,请打开一个问题! 我们将竭尽所能。 有关更多信息,请参阅《 。 执照 :copyright:2020 Mike North
5款免费检测恶意软件的云沙箱推荐
IT教育任姐姐的博客
06-09 3336
Yomi The Malware Hunter需要用户在完成注册后才能使用文件上传和检测功能,它可以检测目前大多数的恶意软件威胁,并提供全面的静态分析、行为分析和网络分析服务。为了更好的防护恶意软件,避免由恶意软件造成的危害,必须对恶意软件进行分析,以了解恶意软件的类型、性质和攻击方法。该工具将许多分析工作都通过自动化方式去实现,因此对于刚接触网络安全分析的用户来说,这是一款非常不错的入门级工具,不需要专业的安全知识积累就可以快速地上手应用。
Linux DDOS病毒手动查杀
一叶知秋
11-30 1232
1、 执行指令:rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab; 删除 /etc/cron.hourly/gcc.sh 2、查看进程:top,找出所有无序10位随机名称的进程PID 3、对所有病毒进程执行指令:kill -STOP {PID} 4、查找并删除以下文件夹中的病毒文件(文件名称也是无序10位随机名称) /etc/init.d...
通过ACPI检测沙箱-反虚拟机
最新发布
weixin_50217210的博客
03-09 433
ACPI 表示高级配置和电源管理接口(Advanced Configuration and Power Management Interface),对于Windows2000,ACPI定义了Windows2000、BIOS和系统硬件之间的新型工作接口。这些新接口包括允许Windows 2000控制电源管理和设备配置的机制。很好的是,ACPI可以通过R3的 NtQuerySystemInformation 拿得到。我们本次介绍的是一个新技术,让我们编写代码,获取虚拟机与物理机之间的差异。这个POC检测什么?
恶意软件沙盒规避技术与原理详解
07-01 1239
随着黑客正在实施最新技术来绕过防护,网络攻击正变得越来越复杂。勒索软件和0 day供击是过去几年中最普遍的威胁,如今逃避沙盒恶意软件将成为网络攻击者未来的主要武器。 沙盒技术被广泛用于恶意软件检测和预防,因此,黑客一直寻找方法让他们的恶意软件沙盒中保持不活动状态。这样,逃避沙箱的恶意软件可以绕过保护并执行恶意代码,而不会被现代网络安全解决方案检测到。 在本文中,我们描述了恶意软件用来避免沙箱分析的技术,并说明了用于检测逃避沙箱的恶意软件的现有方法。本文对于正在开发网络安全解决方案的开发人员很有
沙盒(沙箱)测试
热门推荐
沉觞的博客
06-22 1万+
沙盒(沙箱)测试沙盒的概念沙盒环境沙盒测试 沙盒的概念 有时沙盒也叫沙箱,英文sandbox。在计算机领域指一种虚拟技术,且多用于计算机安全技术。其原理是通过重定向技术,把程序生成和修改的文件定向到自身文件夹中。当某个程序试图发挥作用时,安全软件可以先让它在沙盒中运行,如果含有恶意行为,则禁止程序的进一步运行,而这不会对系统造成任何危害。 沙盒是在受限的安全环境中运行应用程序的一种做法,这种做法是要限制授予应用程序的代码访问权限。 沙盒环境 沙盒环境又称测试环境和开发环境,是提供给开发者开发和测试用的环境。
蚂蚁金服沙盒测试支付
XyWang95的博客
12-05 2745
首先去蚂蚁金服开放者平台     登录进入管理平台 点击进入 配置密钥的时候需要使用工具生成密钥详情查看 https://docs.open.alipay.com/291/105971 手机下载沙盒钱包 配置完成后下载php SDK demo  进入 https://docs.open.alipay.com/54/103419
虚拟机的检测与反检测学习报告
weixin_45788869的博客
03-18 950
成果: 1、实现了通过特权指令in,检测虚拟机。 2、实现了绕过上述检测。通过修改虚拟机配置文件,关闭特权指令。 经验: 1、测试了利用IDT检测虚拟机。(失败) 2、测试了利用LDT检测虚拟机。(失败) 3、测试了利用GDT检测虚拟机。(失败) 4、测试了利用STR检测虚拟机。(失败) 5、测试了利用时间差检测虚拟机。(失败) 6、知晓了注册表检测虚拟机的方法。(未测试) 7、知晓了在C++中嵌入汇编代码。以及汇编的字符赋值方式。 8、知晓了administrator不是windows 最高权限,syst
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值