BlackBerry安全研究单位与KPMG合作,最近发现了一个称为Tycoon的勒索软件,这个软件以木马化JRE(Java Runtime Environment)形式部署,研究人员提到,虽然Tycoon已经存在一段时间,但他们没有观察到大规模感染状况,代表其具有很高的针对性。
研究人员第一次在互联网上观察到Tycoon是在2019年12月,这是一个针对Windows和Linux的多平台勒索软件,其使用了特殊的Java镜像文件格式来规避侦测,并经高针对性的感染途径,渗透到中小型的教育组织和软件公司,借由加密文件服务器来要求被害企业支付赎金解密。
经分析,Tycoon通过暴露在互联网的RDP跳转服务器入侵企业网络,攻击者使用网络上的RDP服务器连接到系统,并且搜索目标,寻找管理员的凭证,接着安装黑客攻击服务并且禁用杀毒软件,在留下后门后便离开。之后攻击者会再次连接到RDP跳转服务器,并且把该服务器当作枢纽,横向地在网络中移动,连接到企业各系统,经过分析后,执行黑客攻击服务,并以批次档安装勒索软件,逐一感染企业网络中的服务器。
为了让恶意程序在受害者系统可长时间留存,攻击者使用了一种称为镜像文件劫持(Image File Execution Options,IFEO)注入的技术,IFEO设置会存储在Windows注册表中,原本是让开发者可以在执行主要应用程序的时候,能同时执行附加监控程序,来对主要应用程序进行调试,而黑客利用这个方式加载恶意程序,作为独立的程序执行。
攻击者还使用了黑客攻击工具禁用了企业网络的安全解决方案,并更改Active Directory服务器密码,让受害者无法访问系统,最后,攻击者执行了Java勒索软件模块,对所有文件服务器加密,包括连接到网络的备份系统。
Tycoon勒索软件是以ZIP文件的方式传播,其中包含了一个木马化的JRE,该恶意软件被编译成为Java镜像文件(JIMAGE),研究人员提到,JIMAGE是一种特殊的文件格式,用来存储自定义的JRE镜像文件,这个JRE镜像文件会在执行时给JVM使用,其包含了支持特定JRE构建程序的所有Java模块资源和类别文件。JIMAGE是在Java 9开始提供,不像是常用的JAR格式,JIMAGE通常用于JDK内部,相关的文件资源也很少,一般开发者很少使用。
勒索软件镜像文件解开后,里面包含命名为Tycoon的项目,研究人员提到,因为JRE包含了Windows和Linux版本,这代表Linux服务器也在锁定目标中。
勒索软件使用AES-256算法加密文件系统中的文件,并且以10 MB为单位加密成文件块,研究人员解释,勒索软件会跳过大文件,以求加速加密过程,更快地让整个系统无法使用。由于勒索软件使用非对称的RSA算法,对AES密钥进行加密,因此要解密文件,便需要攻击者的RSA私钥。虽然理论上可以破解1024位元RSA密钥,但需要用上非常大量的计算资源,目前也尚未有实现的例子。
不过,在网络论坛有一名受害者发布了一个RSA私钥,研究人员推测该私钥来自于支付赎金的受害者,所取得的解密密钥,而经过他们试验,该密钥可以破解最早版本的Tycoon勒索软件加密的部分文件,但在最新版本的Tycoon便已经失效。
发现Tycoon勒索软件的重要性在于,该恶意程序应用了非典型的黑客技术,研究人员提到,攻击者一直在寻找可以规避侦测的方法,而事实证明,这些恶意软件开始使用一些非传统的混淆技术,采用了不常见的程序语言以及资料格式,用Java和Go程序语言所撰写的勒索软件大幅增长,而Tycoon是他们发现第一个使用JIMAGE格式的恶意JRE程序。