新闻快讯
< >

​Sage勒索软件新变种:新增反分析和提权功能

E安全11月2日讯 飞塔公司(Fortinet)发出警告称,今年年初浮出水面的Sage勒索软件新增反分析功能,以达到提权和逃避分析的目的。

这款恶意软件2017年初高度活跃,但过去六个月并未施展大动作。然而,安全研究人员近期发现的恶意样本与今年3月发现的Sage变种类似,但是,新样本功能更强大,新增反分析功能和提权功能。

Sage勒索软件传播途径

Sage通过带有恶意附件的垃圾电子邮件传播,且与Locky勒索软件共享相同的传播基础设施 。此外,Sage通过启用恶意宏的文档文件进行传播,还利用.info和.top顶级域名(TLD)名称传递恶意软件。

这款恶意软件使用ChaCha20加密算法加密受害者的文件,并附加.sage扩展名。

Sage勒索软件新变种新增反分析功能-E安全

Sage有哪些功能?

Fortinet还发现,Sage的代码显示,更多字符串经过加密处理试图隐藏恶意行为。恶意软件开发人员使用ChaCha20加密算法,并且每个加密的字符串均拥有自己的硬编解密密钥。

这款恶意软件还执行各种检查,以确定是否会被加载到沙盒或虚拟机环境进行分析。

Sage会枚举设备上的所有活动进程,计算每个进程的哈希值,然后对比黑名单进程的硬编列表检查哈希值。此外,Sage还会检查完整的执行路径,当发现诸如sample、malw、sampel、virus、{sample’s MD5}和 {samples’s SHA1}之类的字符串时,便会终止运行。

Sage新变种还会检查计算机和用户名,以此确定是否与沙盒环境中通常使用的名字一致。新变种还使用x86指令CPUID获取处理器信息,并与CPU黑名单ID列表进行对比。

更为重要的是,这款恶意软件会枚举服务控制管理器下运行的服务,检查计算机是否在运行反病毒软件。同时还会对比一组MAC黑名单地址进行检查。

Sage能利用已修复的Windows内核漏洞(CVE-2015-0057)或滥用eventvwr.exe并执行注册表劫持绕过用户帐户控制(UAC),从而达到提权的目的。

新变种在勒索信中新增六种语言,这说明开发人员今后可能会将目标瞄向更多国家。勒索信息引导受害者使用Tor浏览器访问一个匿名“洋葱”网站,并支付2000美元购买Sage解密软件。

相关阅读:

勒索软件Locky再现新变种,使用扩展名.Asasin加密文件
Locky勒索软件传播新方式:关闭Word文档会感染电脑
【预警】Locky勒索软件新变种威胁Windows XP和Vista!
Locky勒索软件对美国政府雇员下手

勒索软件Matrix卷土重来,通过广告传播恶意代码掀起新一轮攻击浪潮。
研究发现:勒索软件市场正在呈爆炸式增长
警告:多国遭“坏兔子”(Bad Rabbit)勒索软件攻击【附攻击细节】

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。