Un Hash Buster (¿destructor de hash?) es utilizado para inyectar cadenas únicas de caracteres (o bits) en los mensajes de correo electrónico y archivos. Están diseñados para engañar a los filtros basados en hash, tales como los antispam y los antivirus.

El cálculo de un "hash" implica utilizar un algoritmo contra un conjunto de bits pero, si dicho contenido cambia, el hash ya no corresponde y, por lo tanto, cualquier herramienta que intente buscar un hash determinado no encontrará nada. Por ejemplo, es una práctica común usar SHA-256 para consultar una base de datos de conocimiento como VirusTotal para determinar si un archivo es malicioso o no, pero puede haber cientos o miles de variantes del mismo archivo con distinto SHA-256.

Las herramientas de hash buster agregan cadenas de caracteres diferentes en los correos electrónicos, para que cada correo electrónico se vea como un mensaje diferente. El filtro basado en hash considera que estos son únicos, mientras que sin el "destructor de hash", los correos electrónicos se identificarían como mensajes de spam.

De la misma manera, un hash buster agrega bits en archivos dañinos para que ciertos filtros antivirus, que realizan búsquedas rápida por hash, no tenga éxito. Entre las técnicas integradas en los módulos de las botnet también está el hashbusting; al asegurarse de que el hash de cada archivo del mismo malware sea diferente en cada sistema que infecta, se vuelve más difícil identificarlo.

Por ejemplo, en el caso del malware/botnet Emotet suele ser más efectivo bloquear las direcciones IPs de los C&C, ya que puede haber miles de variantes (modificados por hash buster) del mismo malware pero probablemente los C&C sean pocos y sean más sencillo de bloquear a nivel de red.

Si bien es un método rápido y efectivo, si un malware utiliza esta técnica para modificar el hash de sus archivos, las herramientas de bloqueo no tendrán éxito. Por eso, las herramientas antivirus utilizan funciones de Fuzzy Hashing que "rompe" la relación entre una entidad y el hash. Al hacerlo, este método proporciona hashes resultantes similares cuando se le dan entradas similares. Fuzzy hashing es la clave para encontrar nuevo malware que se parece a "algo" que se haya visto anteriormente.

Fuente: Microsoft