勒索軟件團(tuán)伙濫用Shanya可執(zhí)行文件打包器隱匿EDR禁用工具

多個(gè)勒索軟件團(tuán)伙正借助一款名為Shanya的打包即服務(wù)平臺(tái)，為其惡意載荷進(jìn)行封裝，以便在受害設(shè)備上禁用終端檢測(cè)與響應(yīng)解決方案。

打包服務(wù)可為網(wǎng)絡(luò)犯罪分子提供專用工具，其核心作用是對(duì)惡意載荷進(jìn)行封裝處理，通過(guò)混淆惡意代碼的方式，規(guī)避多數(shù)主流安全工具及殺毒引擎的檢測(cè)。

據(jù)Sophos Security的遙測(cè)數(shù)據(jù)顯示，Shanya打包服務(wù)于2024年末開(kāi)始出現(xiàn)，此后使用率大幅攀升，采用該服務(wù)的惡意軟件樣本已在突尼斯、阿聯(lián)酋、哥斯達(dá)黎加、尼日利亞、巴基斯坦等國(guó)被監(jiān)測(cè)到。

目前已確認(rèn)使用該服務(wù)的勒索軟件團(tuán)伙包括Medusa、Qilin、Crytox及Akira，其中Akira是該打包服務(wù)的最頻繁使用者。

在勒索軟件攻擊中使用的Shanya打包器

Shanya打包服務(wù)的工作機(jī)制

威脅者需先將其惡意載荷提交至Shanya平臺(tái)，平臺(tái)會(huì)返回經(jīng)定制化封裝的“打包版”載荷，該過(guò)程會(huì)同時(shí)采用加密與壓縮技術(shù)。

該服務(wù)主打生成載荷的唯一性，其宣傳內(nèi)容強(qiáng)調(diào)自身具備非標(biāo)準(zhǔn)模塊內(nèi)存加載、系統(tǒng)加載器樁函數(shù)獨(dú)立封裝能力，且每位客戶在購(gòu)買后，均可獲得專屬（相對(duì)）獨(dú)立的樁函數(shù)及獨(dú)特的加密算法。

加載器中的垃圾代碼

具體來(lái)看，惡意載荷會(huì)被植入Windows系統(tǒng)DLL文件shell32.dll的內(nèi)存映射副本中。盡管該DLL文件的可執(zhí)行區(qū)段與文件大小看似合規(guī)，文件路徑也無(wú)異常，但其文件頭與.text區(qū)段已被解密后的惡意載荷覆蓋。

值得注意的是，載荷在打包文件內(nèi)處于加密狀態(tài)，而在執(zhí)行階段，它會(huì)在內(nèi)存中完成解密與解壓，隨后直接注入shell32.dll副本，全程不會(huì)寫入磁盤，以此降低被檢測(cè)的概率。

研究人員還發(fā)現(xiàn)，Shanya會(huì)通過(guò)在無(wú)效上下文下調(diào)用RtlDeleteFunctionTable函數(shù)，對(duì)終端檢測(cè)與響應(yīng)解決方案進(jìn)行探測(cè)。這一操作會(huì)在用戶態(tài)調(diào)試器環(huán)境中觸發(fā)未處理異常或程序崩潰，從而在載荷完全執(zhí)行前干擾自動(dòng)化分析流程。

對(duì)EDR系統(tǒng)的禁用流程

勒索軟件團(tuán)伙通常會(huì)在攻擊的數(shù)據(jù)竊取與加密階段前，先禁用目標(biāo)設(shè)備上運(yùn)行的EDR工具，其執(zhí)行流程一般通過(guò)DLL側(cè)加載實(shí)現(xiàn)：將合法Windows可執(zhí)行文件（如consent.exe）與經(jīng)Shanya打包的惡意DLL（如msimg32.dll、version.dll、rtworkq.dll或wmsgapi.dll）進(jìn)行組合加載。

根據(jù)Sophos的分析，這款EDR禁用工具會(huì)釋放兩款驅(qū)動(dòng)程序：

1.一款是由TechPowerUp簽名的合法驅(qū)動(dòng)ThrottleStop.sys（又稱rwdrv.sys），該驅(qū)動(dòng)存在可實(shí)現(xiàn)任意內(nèi)核內(nèi)存寫入的漏洞；

2.另一款是未簽名的hlpdrv.sys驅(qū)動(dòng)。其中，簽名驅(qū)動(dòng)用于實(shí)現(xiàn)權(quán)限提升，而hlpdrv.sys則會(huì)根據(jù)用戶態(tài)下發(fā)的指令，對(duì)各類安全產(chǎn)品實(shí)施禁用操作。其用戶態(tài)組件會(huì)先枚舉當(dāng)前運(yùn)行的進(jìn)程及已安裝的服務(wù)，再將結(jié)果與內(nèi)置的龐大硬編碼列表進(jìn)行比對(duì)，一旦匹配成功，便會(huì)向惡意內(nèi)核驅(qū)動(dòng)發(fā)送“終止”指令。

目標(biāo)服務(wù)的部分列表

除了專注于禁用EDR的勒索軟件操作者外，研究人員近期還監(jiān)測(cè)到ClickFix攻擊活動(dòng)也在利用Shanya服務(wù)對(duì)CastleRAT遠(yuǎn)控木馬進(jìn)行封裝。勒索軟件團(tuán)伙往往依賴打包服務(wù)來(lái)實(shí)現(xiàn)EDR禁用工具的隱蔽部署。

參考及來(lái)源：https://www.bleepingcomputer.com/news/security/ransomware-gangs-turn-to-shanya-exe-packer-to-hide-edr-killers/