研究人员发现以少见Java格式开发的新勒索软件Tycoon

BlackBerry安全研究单位与KPMG合作，最近发现了一个称为Tycoon的勒索软件，这个软件以木马化JRE（Java Runtime Environment）形式部署，研究人员提到，虽然Tycoon已经存在一段时间，但他们没有观察到大规模感染状况，代表其具有很高的针对性。

研究人员第一次在互联网上观察到Tycoon是在2019年12月，这是一个针对Windows和Linux的多平台勒索软件，其使用了特殊的Java镜像文件格式来规避侦测，并经高针对性的感染途径，渗透到中小型的教育组织和软件公司，借由加密文件服务器来要求被害企业支付赎金解密。

经分析，Tycoon通过暴露在互联网的RDP跳转服务器入侵企业网络，攻击者使用网络上的RDP服务器连接到系统，并且搜索目标，寻找管理员的凭证，接着安装黑客攻击服务并且禁用杀毒软件，在留下后门后便离开。之后攻击者会再次连接到RDP跳转服务器，并且把该服务器当作枢纽，横向地在网络中移动，连接到企业各系统，经过分析后，执行黑客攻击服务，并以批次档安装勒索软件，逐一感染企业网络中的服务器。

为了让恶意程序在受害者系统可长时间留存，攻击者使用了一种称为镜像文件劫持（Image File Execution Options，IFEO）注入的技术，IFEO设置会存储在Windows注册表中，原本是让开发者可以在执行主要应用程序的时候，能同时执行附加监控程序，来对主要应用程序进行调试，而黑客利用这个方式加载恶意程序，作为独立的程序执行。

攻击者还使用了黑客攻击工具禁用了企业网络的安全解决方案，并更改Active Directory服务器密码，让受害者无法访问系统，最后，攻击者执行了Java勒索软件模块，对所有文件服务器加密，包括连接到网络的备份系统。

Tycoon勒索软件是以ZIP文件的方式传播，其中包含了一个木马化的JRE，该恶意软件被编译成为Java镜像文件（JIMAGE），研究人员提到，JIMAGE是一种特殊的文件格式，用来存储自定义的JRE镜像文件，这个JRE镜像文件会在执行时给JVM使用，其包含了支持特定JRE构建程序的所有Java模块资源和类别文件。JIMAGE是在Java 9开始提供，不像是常用的JAR格式，JIMAGE通常用于JDK内部，相关的文件资源也很少，一般开发者很少使用。

勒索软件镜像文件解开后，里面包含命名为Tycoon的项目，研究人员提到，因为JRE包含了Windows和Linux版本，这代表Linux服务器也在锁定目标中。

勒索软件使用AES-256算法加密文件系统中的文件，并且以10 MB为单位加密成文件块，研究人员解释，勒索软件会跳过大文件，以求加速加密过程，更快地让整个系统无法使用。由于勒索软件使用非对称的RSA算法，对AES密钥进行加密，因此要解密文件，便需要攻击者的RSA私钥。虽然理论上可以破解1024位元RSA密钥，但需要用上非常大量的计算资源，目前也尚未有实现的例子。

不过，在网络论坛有一名受害者发布了一个RSA私钥，研究人员推测该私钥来自于支付赎金的受害者，所取得的解密密钥，而经过他们试验，该密钥可以破解最早版本的Tycoon勒索软件加密的部分文件，但在最新版本的Tycoon便已经失效。

发现Tycoon勒索软件的重要性在于，该恶意程序应用了非典型的黑客技术，研究人员提到，攻击者一直在寻找可以规避侦测的方法，而事实证明，这些恶意软件开始使用一些非传统的混淆技术，采用了不常见的程序语言以及资料格式，用Java和Go程序语言所撰写的勒索软件大幅增长，而Tycoon是他们发现第一个使用JIMAGE格式的恶意JRE程序。