飞塔公司(Fortinet)发出警告称,今年年初浮出水面的Sage勒索软件新增反分析功能,以达到提权和逃避分析的目的。

这款恶意软件2017年初高度活跃,但过去六个月并未施展大动作。然而,安全研究人员近期发现的恶意样本与今年3月发现的Sage变种类似,但是,新样本功能更强大,新增反分析功能和提权功能。

Sage勒索软件传播途径

Sage通过带有恶意附件的垃圾电子邮件传播,且与Locky勒索软件共享相同的传播基础设施 。此外,Sage通过启用恶意宏的文档文件进行传播,还利用.info和.top顶级域名(TLD)名称传递恶意软件。

这款恶意软件使用ChaCha20加密算法加密受害者的文件,并附加.sage扩展名。Sage有哪些功能?

Fortinet还发现,Sage的代码显示,更多字符串经过加密处理试图隐藏恶意行为。恶意软件开发人员使用ChaCha20加密算法,并且每个加密的字符串均拥有自己的硬编解密密钥。

这款恶意软件还执行各种检查,以确定是否会被加载到沙盒或虚拟机环境进行分析。

Sage会枚举设备上的所有活动进程,计算每个进程的哈希值,然后对比黑名单进程的硬编列表检查哈希值。此外,Sage还会检查完整的执行路径,当发现诸如sample、malw、sampel、virus、{sample’s MD5}和 {samples’s SHA1}之类的字符串时,便会终止运行。

Sage新变种还会检查计算机和用户名,以此确定是否与沙盒环境中通常使用的名字一致。新变种还使用x86指令CPUID获取处理器信息,并与CPU黑名单ID列表进行对比。

更为重要的是,这款恶意软件会枚举服务控制管理器下运行的服务,检查计算机是否在运行反病毒软件。同时还会对比一组MAC黑名单地址进行检查。

Sage能利用已修复的Windows内核漏洞(CVE-2015-0057)或滥用eventvwr.exe并执行注册表劫持绕过用户帐户控制(UAC),从而达到提权的目的。

新变种在勒索信中新增六种语言,这说明开发人员今后可能会将目标瞄向更多国家。勒索信息引导受害者使用Tor浏览器访问一个匿名“洋葱”网站,并支付2000美元购买Sage解密软件。