상세 컨텐츠

본문 제목

전문가들, 안티-분석 기능을 구현하는 Sage 랜섬웨어의 새로운 변종 발견

국내외 보안동향

by 알약(Alyac) 2017. 11. 2. 15:45

본문

Experts spotted a new strain of the Sage Ransomware that implements Anti-Analysis capabilities


보안 전문가들이 Sage 랜섬웨어의 새로운 변종을 발견했습니다. 이는 안티 분석 기능을 포함한 새로운 기능들을 포함하고 있었습니다.


Sage 2.0은 지난 12월 처음으로 발견 된 새로운 랜섬웨어이며, 악성 스팸메일을 통해 배포 되었습니다. 


Sage는 CryLocker 랜섬웨어의 변종으로 간주 되며, 지금은 Sundown과 RIG 익스플로잇 키트를 통해 배포 되고 있습니다.


이후 이 악성코드는 몇 달 동안 활동을 중단 했었으며, 악성 JavaScript파일을 첨부한 스팸 메일을 통해 배포 되었었습니다.


연구원들은 “새로운 Sage의 샘플을 발견했습니다. 이는 Sage 2.2인 것으로 보이나, 안티 분석 및 권한 상승 기능에 중점을 맞춘 기능들을 추가했습니다.”고 밝혔습니다.


Sage 랜섬웨어는 무기화 된 문서들을 통해 배포 되었는데, .info와 .top top-level 도메인(TLD)을 악용했습니다.


이 랜섬웨어는 피해자의 파일들을 암호화 하기 위해 ChaCha20 암호화 알고리즘을 구현했으며 벨라루스어, 카자흐어, 우즈벡어, 러시아어, 우크라이나어, 사하 및 라트비아어 키보드 배열을 사용하는 기기들은 감염 시키지 않았습니다.


공격자들은 랜섬노트를 최소 6개 언어로 번역해, 앞으로 더 많은 국가를 노릴 것이라 짐작 됩니다. 파일 복호화를 위해서는 TOR 브라우저를 통해 onion 사이트에 접속하여 $2000을 지불하고 “SAGE Decrypter software”를 구매해야합니다.


Sage 랜섬웨어가 일단 파일을 암호화 하면, 이는 .sage 확장자를 붙입니다.


연구원들은 악성코드 소스코드에서 암호화 된 문자열을 발견했으며, 이는 제작자가 코드를 난독화 시키려는 의도인 것으로 보입니다. 이는 Chacha20 암호를 사용해 암호화 되었으며, 전문가들은 모든 암호화 된 문자열은 하드코딩 된 복호화 키를 가진 것을 발견했습니다.


새로운 Sage 랜섬웨어는 여러 개의 안티-분석 관련 검사를 구현했습니다. 예를 들어, 이는 시스템의 모든 활성화 된 프로세스들을 열거하고, 각각의 모든 해시를 계산해 이를 하드코딩 된 블랙리스트 프로세스 리스트와 대조합니다.


이 랜섬웨어는 또한 실행 파일의 전체 경로를 검사해, 파일 명이나 경로 명이 랜섬웨어 샘플들을 분석할 때 흔히 사용 되는 경로인지 확인했습니다.


또한 컴퓨터와 사용자 이름을 샌드박싱 된 환경에서 사용 되는 이름의 리스트와 대조했습니다.


또한 이 랜섬웨어는 컴퓨터에서 안티바이러스 제품이 실행 되는지 확인했습니다. 이는 Service control Manager에서 실행 되는 서비스들을 열거함으로써 알아냅니다.


전문가들은 Sage의 변종이 이미 패치 된 윈도우 커널 취약점(CVE-2015-0057) 또는 eventvwr.exe를 악용하여 User Account Control(UAC)를 우회하기 위한 레지스트리 하이재킹을 실행하는 방식으로 권한을 상승시킬 수 있다는 것도 발견 하였습니다.




출처 :

http://securityaffairs.co/wordpress/65021/malware/sage-ransomware-anti-analysis.html

http://blog.fortinet.com/2017/10/29/evasive-sage-2-2-ransomware-variant-targets-more-countries

관련글 더보기

댓글 영역