Sage Ransomware meningkat hak istimewa dan Evades analisis

Computer Security News

Pakar keamanan Fortinet memperingatkan bahwa Sage ransomware telah meningkat hak dan menambahkan kemampuan anti-analisis.

Meskipun ancaman sangat aktif pada awal tahun ini, itu belum menunjukkan aktivitas yang signifikan selama enam bulan terakhir.

Pada bulan Maret, para peneliti keamanan menemukan sampel yang menyerupai sebuah versi Sage, namun, yang satu memiliki kemampuan eskalasi anti-analisis dan hak istimewa.

Sage ransomware didistribusikan melalui email spam dengan berbahaya lampiran JavaScript. Menurut para ahli, malware saham infrastruktur distribusi yang sama dengan Locky ransomware.

Selain itu, para peneliti melihat bahwa ancaman yang didistribusikan melalui file dokumen berisi makro berbahaya. ReadyBoost nama top-level domain (TLD) .info dan .top untuk pengiriman malware.

Sage ransomware menggunakan algoritma enkripsi ChaCha20 untuk mengenkripsi file korban dan menambah ekstensi .sage kepada mereka. Malware menghindari menginfeksi komputer yang memiliki layout keyboard berikut: Belarusia, Kazak, Uzbekistan, Rusia, Ukraina, Sakha, dan Latvia.

Analisis kode Sang resi yang menunjukkan bahwa kebanyakan string telah dienkripsi dalam upaya untuk menyembunyikan perilaku berbahaya. Menurut Fortinet, pencipta malware telah menggunakan ChaCha20 cipher untuk enkripsi dan setiap string yang terenkripsi telah kunci dekripsi keras-kode sendiri.

Selain dari yang disebutkan di atas, Sage sudah melakukan berbagai pemeriksaan untuk menentukan jika itu sedang dimuat ke bak pasir atau mesin virtual untuk analisis.

Ransomware enumerates semua proses aktif pada PC, menghitung hash untuk setiap satu dari mereka, dan memeriksa hash terhadap hardcoded daftar proses yang bermasalah/blacklist. Selain itu, memeriksa path lengkap dari mana malware mengeksekusi dan berakhir jika ia termasuk string seperti malw, sampel sampel, virus, {sampel MD5} dan {sampel di SHA1}.

Selain itu, varian terbaru dari Sage memeriksa nama komputer dan pengguna untuk menentukan apakah mereka cocok dengan daftar nama biasanya digunakan dalam lingkungan sandbox. Selain itu, menggunakan x86 instruksi CPUID untuk mendapatkan info prosesor dan membandingkannya dengan daftar hitam id CPU.

Terlepas dari semua fungsi-fungsi lain sejauh ini, perangkat perusak memeriksa apakah antivirus berjalan pada komputer (oleh enumerasi layanan yang berjalan di bawah kontrol Manajer Layanan) dan cek itu terhadap satu set daftar alamat MAC.

Para ahli juga menemukan bahwa Sage mampu mengangkat hak istimewa yang baik oleh mengeksploitasi kerentanan kernel Windows patch (CVE-2015-0057) atau oleh menyalahgunakan eventvwr.exe dan melakukan pembajakan registri untuk mem-bypass User Account Control (UAC).

Catatan Sage tebusan telah diterjemahkan ke dalam enam bahasa baru yang menyarankan bahwa pencipta ransomware mungkin menargetkan negara-negara lain di masa depan.

Saat ini, korban malware diperintahkan untuk mengakses situs bawang yang menggunakan TOR browser dan untuk membayar uang tebusan sejumlah $2000 untuk membeli “perangkat lunak SAGE Decrypter” dan melepaskan file mereka.


Leave a Reply

Your email address will not be published. Required fields are marked *