Sage Ransomware eskalerar privilegier och undviker analys

Computer Security News

Fortinet security experter varnade att de Sage ransomware har eskalerat sina privilegier och lagt till anti analysmöjligheter.

Även om hotet var mycket aktiv i början av detta år, har inte det visat någon signifikant aktivitet under de senaste sex månaderna.

I mars, säkerhet forskarna fann prover som liknar en version av salvia, dock att man hade en anti analys och privilege upptrappning kapacitet.

Sage ransomware distribueras via skräppost med skadlig JavaScript bilagor. Enligt experterna delar malware samma distributionsinfrastruktur för med Locky ransomware.

Forskarna märkte dessutom att hotet distribueras via dokumentfiler innehållande skadliga makron. Det utnyttjar .info och .de toppdomän (TLD) namn för malware leverans.

Den Sage ransomware används ChaCha20 krypteringsalgoritmen för att kryptera offrets filer och lägger .sage tillägget till dem. Malware undviker infekterar datorer som har de följande tangentbordslayouter: vitryska, Kazak, uzbekiska, ryska, ukrainska, Sacha och lettiska.

Analysen av Sages kod visar att de flesta strängar har krypterats i ett försök att dölja den illvillig beteenden. Enligt Fortinet, malware skaparna har använt av ChaCha20 chiffret för kryptering och alla krypterad sträng har sin egen hårdkodade dekrypteringsnyckeln.

Bortsett från ovan nämnda, salvia redan utför en mängd olika kontroller för att avgöra om det laddas i en sandlåda eller en virtuell dator för analys.

Ransomware räknar upp alla aktiva processer på datorn beräknar ett hash-värde för varenda en av dem och kontrollerar hashvärden mot en hårdkodad lista över svartlistade processer. Dessutom kontrollerar den fullständiga sökvägen till där malware körs och upphör om det innehåller strängar som prov, malw, prover, virus, {sampels MD5,} och {provers SHA1}.

Dessutom kontrollerar den nya varianten av Sage namnen på dator och användare att avgöra om de matchar en lista med namn som normalt används i sandlådan miljöer. Dessutom använder x86 instruktion CPUID att få processor info och jämför det med en lista över svartlistade CPU ID.

Förutom alla övriga funktioner hittills kontrollerar malware om ett antivirusprogram körs på datorn (genom att räkna upp de tjänster som körs under Service Control Manager) och kontrollerar det mot en uppsättning svartlistade MAC-adresser.

Experterna har också upptäckt att salvia är kapabel att upphöja sitt privilegium antingen genom att utnyttja en lappat Windows kernel sårbarhet (CVE-2015-0057) eller genom att missbruka eventvwr.exe och utföra registret kapning att kringgå kontroll av användarkonto (User Account Control).

Den Sage hotbrev har översatts till sex nya språk tyder på att ransomware skaparen kan rikta fler länder i framtiden.

För närvarande instrueras malware offren att komma åt en lök-webbplats i webbläsaren TOR och betala en $2000 lösen att köpa programvaran ”SAGE Decrypter” och släppa sina filer.


Leave a Reply

Your email address will not be published. Required fields are marked *