金融后门Carbanak源代码于VirusTotal上存在近两年而未被发现

资安业者FireEye准备陆续公布遭到FIN7骇客集团所利用的金融后门程式Carbanak的功能与设计，同时透露Carbanak早在2017年4月就被上传到恶意程式分析网站VirusTotal，却直至去年10月才被该公司的研究人员发现。

FIN7为来自东欧的骇客集团，它是全球迄今最危险也最会赚钱的骇客集团，利用所开发的Carbanak后门程式渗透全球的金融与银行机构，攻击范围覆盖全球逾40个国家，包括台湾在内，估计造成金融产业逾10亿欧元的损失。

欧洲刑警组织于2018年3月在西班牙逮到FIN7集团的首脑，美国则在同年3月逮捕了3名隶属于FIN7集团的乌克兰骇客，摧毁此一恶名昭彰的骇客集团。

有趣的是，FIN7所打造的Carbanak源代码早在2017年4月就被上传到VirusTotal，却一直未被发现。VirusTotal是个免费的恶意软件分析平台，全球资安人员可上传恶意档案进行分析，也能自该平台存取各种档案，然而，庞大的资安社群却未能辨识Carbanak。

一来可能是因为Carbanak的作者只用"bot"来称呼它，二来每周有数百万个档案被上传到VirusTotal，而且也要有一定的程度才能辨识出Carbanak。

不论如何，FireEye在找到并分析该后门程式的源代码之后，确认它就是Carbanak，并计划分成四梯次发表分析结果。

在FireEye已披露的分析报告中显示，以俄文撰写的Carbanak的档案大小为20MB，内含755个档案及10万行程式，有39个二进制档案。它在与远端C&C服务器交流时，采用更多元与灵活的方式，还能侦测及绕过系统上所安装的防毒软件，此外，Carbanak的源代码中含有多种攻击程式、密码及多个C&C服务器。