金融后门Carbanak源码于VirusTotal上存在近两年而未被发现

安全企业FireEye准备陆续公布遭到FIN7黑客集团所利用的金融后门程序Carbanak的功能与设计,同时透露Carbanak早在2017年4月就被上传到恶意程序分析网站VirusTotal,却直至去年10月才被该公司的研究人员发现。

FIN7为来自东欧的黑客集团,它是全球迄今最危险也最会赚钱的黑客集团,利用所开发的Carbanak后门程序渗透全球的金融与银行机构,攻击范围覆盖全球超过40个国家,包括台湾在内,估计造成金融产业超过10亿欧元的损失。

欧洲刑警组织于2018年3月在西班牙逮到FIN7集团的首脑,美国则在同年3月逮捕了3名隶属于FIN7集团的乌克兰黑客,摧毁该恶名昭彰的黑客集团。

有趣的是,FIN7所打造的Carbanak源码早在2017年4月就被上传到VirusTotal,却一直未被发现。VirusTotal是个免费的恶意软件分析平台,全球安全人员可上传恶意文件进行分析,也能自该平台访问各种文件,然而,庞大的安全社群却未能识别Carbanak。

一来可能是因为Carbanak的作者只用”bot”来称呼它,二来每周有数百万个文件被上传到VirusTotal,而且也要有一定的程度才能识别出Carbanak。

不论如何,FireEye在找到并分析该后门程序的源码之后,确认它就是Carbanak,并计划分成四梯次发布分析结果。

在FireEye已披露的分析报告中显示,以俄文撰写的Carbanak的文件大小为20MB,内置755个文件及10万行程序,有39个二进制文件。它在与远程C&C服务器交流时,采用更多样与灵活的方式,还能侦测及绕过系统上所安装的杀毒软件,此外,Carbanak的源码中含有多种攻击程序、密码及多个C&C服务器。