黑莓研究與情報(bào)團(tuán)隊(duì)和畢馬威（KPMG）的英國(guó)網(wǎng)絡(luò)響應(yīng)服務(wù)團(tuán)隊(duì)報(bào)告說(shuō)：“ 威脅焦點(diǎn)：大亨勒索軟件針對(duì)教育和軟件行業(yè) ?！?該報(bào)告概述了“針對(duì)Windows和Linux的多平臺(tái)Java勒索軟件，至少?gòu)?019年12月開(kāi)始就在野外觀察到”，他們將其稱為“ Tycoon”。

該報(bào)告提供了有關(guān)如何執(zhí)行Tycoon勒索軟件的高級(jí)描述：“ Tycoon勒索軟件以ZIP存檔的形式出現(xiàn)，其中包含Trojanized Java Runtime Environment（JRE）構(gòu)建。 該惡意軟件被編譯為Java映像文件（JIMAGE），位于構(gòu)建目錄內(nèi)的lib \ modules?！?該報(bào)告描述了“稀疏記錄的” JIMAGE“文件格式的文件格式，該文件格式存儲(chǔ)了定制的JRE映像，該映像設(shè)計(jì)用于Java虛擬機(jī)（JVM）在運(yùn)行時(shí)使用?！?有關(guān)JIMAGE文件格式的其他高級(jí)概述，請(qǐng)參見(jiàn)《 JIMAGE – Java映像文件格式》 ， 《 Java 9中如何打包模塊》，《 Java 9中 的自定義運(yùn)行時(shí)映像》？ ， 那么什么是.jimage？ ， Alan Bateman的描述以及JDK 9 Java Platform Module System的 幻燈片49 。 JIMAGE格式是通過(guò)JDK 9模塊化 （ Project Jigsaw ）引入的。

Alan Bateman（ JEP 220 [“模塊化運(yùn)行時(shí)圖像”的所有者） 解釋了為什么很難找到有關(guān)JIMAGE格式的文檔：“故意不記錄該格式，最好假定它會(huì)隨著時(shí)間的推移而變化和發(fā)展。帶來(lái)新的優(yōu)化?！?jdk.jlink模塊文檔非常簡(jiǎn)短地提到了jimage命令行工具，并提到它被“用于檢查特定于JDK實(shí)現(xiàn)的容器文件中的類和資源”。 它還指出，有一個(gè)用于訪問(wèn)沒(méi)有API jimage ，這比該模塊的另外兩個(gè)工具（不同JLINK和JMOD ）。 同樣，沒(méi)有jimage了“關(guān)于刀具參考Java開(kāi)發(fā)工具包版本14工具產(chǎn)品規(guī)格 ，即使”頁(yè)面jlink ， jmod ，和許多其他工具功能在那里。

先前提到的報(bào)告指出：“勒索軟件是通過(guò)執(zhí)行shell腳本觸發(fā)的，該腳本使用java -m命令運(yùn)行惡意Java模塊的Main函數(shù)?！?該報(bào)告還談到了使用具有Windows注冊(cè)表的“ 圖像文件執(zhí)行選項(xiàng)注入”和隨后針對(duì)Windows和Linux的Tycoon：“惡意JRE版本包含此腳本的Windows和Linux版本。” 該報(bào)告還補(bǔ)充說(shuō)，Tycoon的“木馬Java運(yùn)行時(shí)環(huán)境（JRE）構(gòu)建文件”以ZIP文件的形式存在于lib/module 。

根據(jù)研究觀察，“大亨勒索軟件針對(duì)教育和軟件行業(yè) ”的“結(jié)論”部分得出了一些有趣的結(jié)論。 尤其值得一提的是，我讀到為什么他們相信大亨會(huì)發(fā)動(dòng)有針對(duì)性的攻擊，這很有趣。 作者還指出：“這是我們遇到的第一個(gè)示例，該示例專門濫用Java JIMAGE格式來(lái)創(chuàng)建自定義的惡意JRE構(gòu)建?！?

我建議直接閱讀“威脅重點(diǎn)：大亨勒索軟件針對(duì)教育和軟件行業(yè)”的報(bào)告，但是對(duì)于那些對(duì)摘要以及與本報(bào)告相關(guān)的其他意見(jiàn)感興趣的人，可能會(huì)感興趣。

• 基于Windows和Linux的新的基于Java的勒索軟件 （TechCrunch， TechCrunch ）
• 這種新的勒索軟件針對(duì)Windows和Linux PC進(jìn)行“獨(dú)特”攻擊 （ ZDNet ）
• 新發(fā)現(xiàn)的Tycoon勒索軟件利用晦澀的Java圖像格式 （ Silicon Angle ）
• 多平臺(tái)“大亨”勒索軟件使用罕見(jiàn)的Java圖像格式進(jìn)行規(guī)避 （ SecurityWeek ）
• 即將推出 一個(gè)新的Java勒索軟件系列 （ Cyber??Scoop ）

大亨的發(fā)現(xiàn)很可能比以往任何時(shí)候都對(duì)JIMAGE帶來(lái)更多的關(guān)注。

翻譯自: https://www.javacodegeeks.com/2020/06/tycoon-ransomware-targeting-javas-jimage-on-multiple-platforms.html

總結(jié)

以上是生活随笔為你收集整理的Tycoon：针对多种平台上的Java JIMAGE的勒索软件的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。