安全人員最近觀察到，Nitol僵尸網(wǎng)絡(luò)在利用基于宏的惡意文檔發(fā)動分布式攻擊時，使用了新的逃避技術(shù)。

惡意軟件作者想盡各種辦法以躲開沙盒檢測的事情并不新鮮，但此次Nitol僵尸網(wǎng)絡(luò)使用的技術(shù)，非常新奇和聰明。它們使用了宏編碼的混淆技術(shù)和多階段攻擊方法論，以確保終端設(shè)備被入侵。

據(jù)研究人員分析，Nitol的這種基于宏的惡意文檔發(fā)動的分布式攻擊，加上了口令保護(hù)，可以完全繞過沙盒。因?yàn)椋I入口令的過程比較復(fù)雜且需要用戶的介入，而自動分析技術(shù)很難模仿這種操作。

此外，Nitol還使用了延遲執(zhí)行來逃避檢測，它的厲害之處在于，沒有使用其他惡意軟件慣用的睡眠或是暫停執(zhí)行的方法，而是使用了“ping”工具來延遲執(zhí)行：Nitol會啟動“ping 8.8.8.8 -n 250”命令，并等待ping進(jìn)程以完成執(zhí)行。這個過程大約需要5分鐘，足以繞過低閾值時間配置的沙盒。