按 Enter 到主內容區
新北市政府警察局刑事警察大隊
  • 友善列印
  • 回上一頁
  • 推到:facebook

研究人員發現以少見Java格式開發之新勒索軟體Tycoon

  • 發布日期:109-06-20
  • 發布單位:刑事警察大隊

參考網站:
行政院國家資通安全會報技術服務中心  研究人員發現以少見Java格式開發之新勒索軟體Tycoon
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16415
資安研究單位BlackBerry發現新型態勒索軟體Tycoon,該軟體以木馬化JAVA執行環境(Java Runtime Environment, JRE)形式部署,研究人員指出Tycoon已存在一段時間,目前並未觀察到大規模感染狀況,表示其具有高度針對性。

研究人員於2019年12月第一次發現Tycoon勒索軟體,其使用特殊Java映像檔格式規避偵測,透過高度針對性之感染途徑,滲透至中小型教育單位與軟體公司,藉由加密檔案伺服器要求受駭單位支付贖金以解密。

Tycoon勒索軟體被編譯成Java映像檔JIMAGE,並以ZIP檔案形式散布。JIMAGE係Java 9起提供之特殊檔案格式,用來儲存自定義之JRE,並於執行時提供予JVM使用,包含支援特定JRE建置程式所需之Java模組資源與類別檔案。JIMAGE不同於常見之檔案格式JAR檔,通常使用於JDK內部,不僅相關文件資源較少,一般開發者亦較少使用。

Tycoon勒索軟體之所以重要,係因該惡意程式應用非典型之駭客技術,顯示駭客為規避偵測,開始採用非傳統之混淆技術,亦使用不常見之程式語言及資料格式開發惡意程式,如使用Java或Go程式語言撰寫之勒索軟體大幅成長,而Tycoon為目前發現第一個使用JIMAGE格式之惡意JRE程式。