7月新型勒索软件首个样本——Tycoon的分析测评

本文插图
黑莓的安全研究部门最近发现了一种新型勒索软件，攻击了欧洲一家教育机构。
与迄今为止发现的大多数勒索软件不同的是，这种新的勒索软件模块被编译成一种Java图像文件格式（JIMAGE）。 JIMAGE是一种存储自定义的JRE映像的文件格式，它的设计是为了在运行时被Java虚拟机（JVM）使用。
Tycoon是针对Windows和Linux的多平台Java勒索软件，至少从2019年12月开始就在野外被观察到。它以木马Java运行时环境（JRE）的形式部署，并利用晦涩的Java图像格式在安全环境中运行。
人们观察到Tycoon背后的攻击者利用高度定向的传递机制渗透到教育和软件行业的中小型公司和机构，在那里他们会对文件服务器加密并索要赎金。然而，由于公共RSA私钥的重用，在早期的变体中可以恢复数据而不需要支付。
发现过程
BlackBerry研究与情报小组与毕马威（KPMG）的UK Cyber Response Services合作，最近发现了一种用Java编写的新勒索软件。该勒索软件被部署在针对一个组织的有针对性的攻击中，该组织的系统管理员的域控制器和文件服务器受到攻击后，被锁定在他们的系统之外。在对受感染的系统进行取证调查之后，很明显，最初的入侵是通过面向互联网的RDP跳线服务器发生的。
下图说明了攻击者如何设法获得初始访问权并开始感染整个场所的系统：

本文插图
面向互联网的RDP服务器的事件后分析无法执行，因为它已被还原。但是，研究人员对受害设备的分析表明，攻击者使用的某些技术是异常且值得注意的：
1. 为了在受害者的设备上实现持久性，攻击者使用了一种称为“图像文件执行选项”（IFEO）注入的技术。IFEO设置存储在Windows注册表中。这些设置使开发人员可以选择在目标应用程序执行期间通过调试应用程序的附件来调试软件。
2. 然后，在操作系统的Microsoft Windows屏幕键盘（OSK）功能旁边执行后门操作：

本文插图
攻击者使用ProcessHacker实用程序禁用了组织的反恶意软件解决方案，并更改了Active Directory服务器的密码。这使受害者无法访问其系统。
大多数攻击者文件都带有时间戳，包括Java库和执行脚本，并且文件日期时间戳为2020年4月11日15:16:22：

本文插图
最后，攻击者执行了Java勒索软件模块，对所有文件服务器进行了加密，包括连接到网络的备份系统。
攻击过程
Tycoon勒索软件以ZIP存档的形式出现，其中包含Trojanized Java Runtime Environment（JRE）构建。该恶意软件被编译为Java映像文件（JIMAGE），位于构建目录中的libmodules 。
JIMAGE是一种特殊的文件格式，用于存储自定义JRE映像，该映像设计用于Java虚拟机（JVM）在运行时使用。它包含支持特定JRE构建的所有Java模块的资源和类文件。该格式最初是在Java版本9中引入的，并且记录很少。与流行的Java存档格式（JAR）不同， JIMAGE主要位于JDK内部，很少被开发人员使用：

本文插图
OpenJDK9 jimage实用程序可以提取和反编译Java图像文件：