黑莓研究与情报团队和毕马威(KPMG)的英国网络响应服务团队报告说:“ 威胁焦点:大亨勒索软件针对教育和软件行业 。” 该报告概述了“针对Windows和Linux的多平台Java勒索软件,至少从2019年12月开始就在野外观察到”,他们将其称为“ Tycoon”。
该报告提供了有关如何执行Tycoon勒索软件的高级描述:“ Tycoon勒索软件以ZIP存档的形式出现,其中包含Trojanized Java Runtime Environment(JRE)构建。 该恶意软件被编译为Java映像文件(JIMAGE),位于构建目录内的lib \ modules。” 该报告描述了“稀疏记录的” JIMAGE“文件格式的文件格式,该文件格式存储了定制的JRE映像,该映像设计用于Java虚拟机(JVM)在运行时使用。” 有关JIMAGE文件格式的其他高级概述,请参见《 JIMAGE – Java映像文件格式》 , 《 Java 9中如何打包模块》,《 Java 9中 的自定义运行时映像》? , 那么什么是.jimage? , Alan Bateman的描述以及JDK 9 Java Platform Module System的 幻灯片49 。 JIMAGE格式是通过JDK 9模块化 ( Project Jigsaw )引入的。
Alan Bateman( JEP 220 [“模块化运行时图像”的所有者) 解释了为什么很难找到有关JIMAGE格式的文档:“故意不记录该格式,最好假定它会随着时间的推移而变化和发展。带来新的优化。” jdk.jlink模块文档非常简短地提到了jimage命令行工具,并提到它被“用于检查特定于JDK实现的容器文件中的类和资源”。 它还指出,有一个用于访问没有API jimage ,这比该模块的另外两个工具(不同JLINK和JMOD )。 同样,没有jimage了“关于刀具参考Java开发工具包版本14工具产品规格 ,即使”页面jlink , jmod ,和许多其他工具功能在那里。
先前提到的报告指出:“勒索软件是通过执行shell脚本触发的,该脚本使用java -m命令运行恶意Java模块的Main函数。” 该报告还谈到了使用具有Windows注册表的“ 图像文件执行选项注入”和随后针对Windows和Linux的Tycoon:“恶意JRE版本包含此脚本的Windows和Linux版本。” 该报告还补充说,Tycoon的“木马Java运行时环境(JRE)构建文件”以ZIP文件的形式存在于lib/module 。
根据研究观察,“大亨勒索软件针对教育和软件行业 ”的“结论”部分得出了一些有趣的结论。 尤其值得一提的是,我读到为什么他们相信大亨会发动有针对性的攻击,这很有趣。 作者还指出:“这是我们遇到的第一个示例,该示例专门滥用Java JIMAGE格式来创建自定义的恶意JRE构建。”
我建议直接阅读“威胁重点:大亨勒索软件针对教育和软件行业”的报告,但是对于那些对摘要以及与本报告相关的其他意见感兴趣的人,可能会感兴趣。
- 基于Windows和Linux的新的基于Java的勒索软件 (TechCrunch, TechCrunch )
- 这种新的勒索软件针对Windows和Linux PC进行“独特”攻击 ( ZDNet )
- 新发现的Tycoon勒索软件利用晦涩的Java图像格式 ( Silicon Angle )
- 多平台“大亨”勒索软件使用罕见的Java图像格式进行规避 ( SecurityWeek )
- 即将推出 一个新的Java勒索软件系列 ( CyberScoop )
大亨的发现很可能比以往任何时候都对JIMAGE带来更多的关注。
翻译自: https://www.javacodegeeks.com/2020/06/tycoon-ransomware-targeting-javas-jimage-on-multiple-platforms.html
)
)
