De la primele programe din anii 1990 care încercau să mascheze codul până la servicii ce comercializează „ambalaje” pentru malware ca produse, tehnica de ascundere a payload-urilor a evoluat semnificativ. Recent, grupuri de ransomware precum Medusa, Qilin, Crytox și Akira au început să folosească o platformă numită Shanya pentru a împacheta programe malițioase capabile să dezactiveze soluțiile endpoint detection and response pe sisteme din Tunisia, Emiratele Arabe Unite, Costa Rica, Nigeria și Pakistan.
Shanya funcționează ca un packer-as-a-service: actorii rău intenționați trimit payload-ul, iar serviciul returnează o versiune „împachetată” cu un wrapper personalizat, aplicând criptare și compresie. Operatorii platformei promovează unicitatea fiecărui pachet, oferind clienților stub-uri relativ diferite și algoritmi de criptare variabili. Platforma a apărut la sfârșitul lui 2024 și, conform telemetriei Sophos, a câștigat rapid adepți în mediul infracțional; Akira pare a fi cel mai frecvent utilizator.
Metoda de livrare urmărește evitarea detectării pe disc. Payload-ul este inserat într-o copie mapată în memorie a fișierului Windows shell32.dll. Acest DLL păstrează secțiuni executabile și o dimensiune credibilă, însă header-ul și secțiunea .text sunt suprascrise cu payload-ul decriptat. Majoritatea codului rămâne în memorie: este decriptat și decompresat acolo, apoi injectat în copia din memorie a shell32.dll, fără a lăsa urme pe disc.
Pentru a împiedica analiza automată, Shanya folosește un truc particular: apelează funcția RtlDeleteFunctionTable într-un context invalid. Aceasta provoacă o excepție neașteptată sau un crash sub un debugger rulând în user-mode, blocând astfel analiza înainte ca payload-ul să ajungă la execuție completă. Scopul este să frâneze instrumentele de detecție care încearcă să studieze comportamentul acestuia.
După faza de livrare, atacatorii urmăresc dezactivarea soluțiilor EDR înainte de a fura date sau de a cripta fișiere. Execuția se realizează adesea prin DLL side-loading, combinând un executabil legitim, precum consent.exe, cu un DLL malițios ambalat cu Shanya, printre numele folosite se numără msimg32.dll, version.dll, rtworkq.dll sau wmsgapi.dll. Analiza Sophos indică faptul că pachetul EDR killer instalează două drivere: unul semnat, ThrottleStop.sys (cunoscut și ca rwdrv.sys) de la TechPowerUp, care conține o vulnerabilitate permițând scriere arbitrară în memoria kernel, și unul nesemnat, hlpdrv.sys.
Driverul semnat este folosit pentru escaladare de privilegii, iar hlpdrv.sys primește comenzi din modul user pentru a dezactiva produsele de securitate. Componenta user-mode scanează procesele și serviciile active, le compară cu o listă lungă hardcodate și trimite o comandă de tip kill către driverul malițios pentru fiecare potrivire. Această combinație de tehnici le permite atacatorilor să scoată din funcțiune protecțiile înainte de a-și continua acțiunile.
Pe lângă operațiunile care vizează EDR-uri, Sophos a observat și campanii ClickFix care folosesc Shanya pentru a ambala malware-ul CastleRAT. Cercetătorii au publicat o analiză tehnică detaliată a unor payload-uri create cu Shanya și au inclus indicatori de compromitere pentru a sprijini echipele de securitate în identificarea campaniilor asociate.
Shanya a apărut la sfârșitul anului 2024. Comerțul cu servicii care ascund cod malițios transformă tehnici cunoscute, precum packer-ele și DLL sideloading, într-un model ușor accesibil pentru actori diverși; asta înseamnă că vulnerabilitățile din drivere legitime, exemplul ThrottleStop.sys, și metodele de injecție în memorie devin instrumente reutilizabile pentru multiple grupuri. Ce măsuri ar trebui să prioritizeze organizațiile pentru a limita impactul unor astfel de scheme?
Fii primul care comentează