飛塔公司(Fortinet)發(fā)出警告稱,今年年初浮出水面的Sage勒索軟件新增反分析功能,以達(dá)到提權(quán)和逃避分析的目的。
這款惡意軟件2017年初高度活躍,但過去六個(gè)月并未施展大動(dòng)作。然而,安全研究人員近期發(fā)現(xiàn)的惡意樣本與今年3月發(fā)現(xiàn)的Sage變種類似,但是,新樣本功能更強(qiáng)大,新增反分析功能和提權(quán)功能。
Sage勒索軟件傳播途徑
Sage通過帶有惡意附件的垃圾電子郵件傳播,且與Locky勒索軟件共享相同的傳播基礎(chǔ)設(shè)施 。此外,Sage通過啟用惡意宏的文檔文件進(jìn)行傳播,還利用.info和.top頂級(jí)域名(TLD)名稱傳遞惡意軟件。
這款惡意軟件使用ChaCha20加密算法加密受害者的文件,并附加.sage擴(kuò)展名。
Sage勒索軟件新變種新增反分析功能-E安全
Sage有哪些功能?
Fortinet還發(fā)現(xiàn),Sage的代碼顯示,更多字符串經(jīng)過加密處理試圖隱藏惡意行為。惡意軟件開發(fā)人員使用ChaCha20加密算法,并且每個(gè)加密的字符串均擁有自己的硬編解密密鑰。
這款惡意軟件還執(zhí)行各種檢查,以確定是否會(huì)被加載到沙盒或虛擬機(jī)環(huán)境進(jìn)行分析。
Sage會(huì)枚舉設(shè)備上的所有活動(dòng)進(jìn)程,計(jì)算每個(gè)進(jìn)程的哈希值,然后對(duì)比黑名單進(jìn)程的硬編列表檢查哈希值。此外,Sage還會(huì)檢查完整的執(zhí)行路徑,當(dāng)發(fā)現(xiàn)諸如sample、malw、sampel、virus、{sample’s MD5}和 {samples’s SHA1}之類的字符串時(shí),便會(huì)終止運(yùn)行。
Sage新變種還會(huì)檢查計(jì)算機(jī)和用戶名,以此確定是否與沙盒環(huán)境中通常使用的名字一致。新變種還使用x86指令CPUID獲取處理器信息,并與CPU黑名單ID列表進(jìn)行對(duì)比。
更為重要的是,這款惡意軟件會(huì)枚舉服務(wù)控制管理器下運(yùn)行的服務(wù),檢查計(jì)算機(jī)是否在運(yùn)行反病毒軟件。同時(shí)還會(huì)對(duì)比一組MAC黑名單地址進(jìn)行檢查。
Sage能利用已修復(fù)的Windows內(nèi)核漏洞(CVE-2015-0057)或?yàn)E用eventvwr.exe并執(zhí)行注冊(cè)表劫持繞過用戶帳戶控制(UAC),從而達(dá)到提權(quán)的目的。
新變種在勒索信中新增六種語言,這說明開發(fā)人員今后可能會(huì)將目標(biāo)瞄向更多國家。勒索信息引導(dǎo)受害者使用Tor瀏覽器訪問一個(gè)匿名“洋蔥”網(wǎng)站,并支付2000美元購買Sage解密軟件。
京公網(wǎng)安備 11010502049343號(hào)