17 mar 2022

¿Qué es Hash Busting y por qué filtrar hashes de archivos no es buena idea?

Un Hash Buster (¿destructor de hash?) es utilizado para inyectar cadenas únicas de caracteres (o bits) en los mensajes de correo electrónico y archivos. Están diseñados para engañar a los filtros basados en hash, tales como los antispam y los antivirus.

El cálculo de un "hash" implica utilizar un algoritmo contra un conjunto de bits pero, si dicho contenido cambia, el hash ya no corresponde y, por lo tanto, cualquier herramienta que intente buscar un hash determinado no encontrará nada. Por ejemplo, es una práctica común usar SHA-256 para consultar una base de datos de conocimiento como VirusTotal para determinar si un archivo es malicioso o no, pero puede haber cientos o miles de variantes del "mismo" archivo (con al menos un bit modificado) con distinto SHA-256.

Las herramientas de hash buster agregan cadenas de caracteres diferentes en los correos electrónicos, para que cada correo electrónico se vea como un mensaje diferente. El filtro basado en hash considera que estos son únicos, mientras que sin el "destructor de hash", los correos electrónicos se identificarían como mensajes de spam.

De la misma manera, un hash buster agrega bits en archivos dañinos para que ciertos filtros antivirus, que realizan búsquedas rápida por hash, no tenga éxito. Entre las técnicas integradas en los módulos de las botnet también integran el hashbusting; al asegurarse de que el hash de cada archivo del mismo malware sea diferente en cada sistema que infecta, se vuelve más difícil identificarlo.

Por ejemplo, en el caso del malware/botnet Emotet suele ser más efectivo bloquear las direcciones IPs de los C&C, ya que puede haber miles de variantes (modificados por hash buster) del mismo malware pero probablemente los C&C sean pocos y sean más sencillo de bloquear a nivel de red.

Si bien es un método rápido y efectivo, si un malware utiliza esta técnica para modificar el hash de sus archivos, las herramientas de bloqueo no tendrán éxito. Por eso, las herramientas antivirus utilizan funciones de Fuzzy Hashing que "rompe" la relación entre una entidad y el hash. Al hacerlo, este método proporciona hashes similares cuando se le dan entradas similares. Fuzzy hashing es la clave para encontrar nuevo malware que se parece a "algo" que se haya visto anteriormente.

Fuente: Microsoft

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!