Fareit恶意软件又出躲避检测新方法

浮尘

思科安全专家Talos团队发现了Fareit信息窃取器的一个新品种，在进行每次攻击的时候它都会使用一个不同的哈希文件以避免AV检测。

Fareit恶意软件的发展历程

他们已经发现了Fareit恶意软件的新菌株。自2012年起Fareit就是一个信息窃取软件，它通常被用来破坏计算机并下载其他恶意软件然后感染系统。正如研究人员解释的那样：Fareit，它最初只是用来下载恶意软件，不过现在已经发展成了专门从事数据泄露的工具，并主要从受害者的浏览器中获取解压密码。

2013年5月，印度政务网站被黑，Fareit就被用作是水坑式攻击中的一个下载器。2015年4月，菲德利斯网络安全公司的安全专家发现变种的Pushdo僵尸网络已经感染了超过50个国家。这个僵尸网络每天可以发送77亿封垃圾邮件。其中被感染最多的地区是印度、印度尼西亚、土耳其和越南，最新版本的Pushdo僵尸网络会被用来传播恶意软件，包括Fareit数据窃取器、Cutwail垃圾邮件恶意软件、网银木马Dyre和Zeus。

今年年初，网络犯罪者更改了DNS条目，以便将受害者重定向到隐藏了Fareit恶意软件的网站上。

Fareit的新版本

Fareit恶意软件的新版本可以在文件名不变的情况下更改文件哈希。恶意软件的作者实现这个功能以避免防病毒软件的检测。

Cisco Talos发布的博客文章中写到：

“这使得检测软件很难跟踪到它们。很多检测工具都依赖于基于散列的搜索和相关算法。有趣的是，他们经常重复使用相同的文件名，却只能确保大多数样品有一个独特的哈希值。”“一个可能的原因就是他们用来下载其他恶意程序文件或模块（如cclub02.exe）的机制需要固定的名字或路径（如http：//IP/cclub02.exe），但是其不足够灵活以应付受害者产生的即时生成的文件名，”
当然，这是猜测。

专家注意到通过在他们的客户网络中打开以下网址可以看到一个可疑的可执行下载文件：

http://89.144.2.119/cclub02.exe
http://89.144.2.115/cclub02.exe
思科的安全产品记录了2455 个Fareit样品，但只有其中的23个有着相同的哈希值。详细分析这些数据后他们注意到，这种情况相当于将C&C服务器定位于89.144.2.119。

“有趣的是其中许多样品试图下载那些文件名和前面讨论过的相似的文件。这表明黑客试图确保在每次攻击时，他们的样品是唯一的，从而绕过哈希和基于签名的检测方法。”
检查下来发现这些和感染有关的IP地址主要出现在美国、乌克兰和中国。

专家们解释说， Fareit样品在VirusTotal上的检测率很低，大多数感染了恶意软件的二进制文件检测率平均大约是4/56。安全专家收集的证据证明Fareit活动是单一组织发动的。奇怪的是，尽管犯罪分子努力用不同的哈希产生的恶意软件，但是却依然重复使用相同或相似的文件名。

perble

感谢楼主的分享~

perble

学习学习技术，加油！

Micah

学习学习技术，加油！

wanmznh

支持中国红客联盟(ihonker.org)

H.U.C-麦麦

支持中国红客联盟(ihonker.org)

ruguoruo

学习学习技术，加油！

asion

感谢楼主的分享~

fireworld

支持中国红客联盟(ihonker.org)

Jack-5

支持中国红客联盟(ihonker.org)