勒索軟件團伙濫用Shanya可執行文件打包器隱匿EDR禁用工具

多個勒索軟件團伙正借助一款名為Shanya的打包即服務平臺，為其惡意載荷進行封裝，以便在受害設備上禁用終端檢測與響應解決方案。

打包服務可為網絡犯罪分子提供專用工具，其核心作用是對惡意載荷進行封裝處理，通過混淆惡意代碼的方式，規避多數主流安全工具及殺毒引擎的檢測。

據Sophos Security的遙測數據顯示，Shanya打包服務于2024年末開始出現，此后使用率大幅攀升，采用該服務的惡意軟件樣本已在突尼斯、阿聯酋、哥斯達黎加、尼日利亞、巴基斯坦等國被監測到。

目前已確認使用該服務的勒索軟件團伙包括Medusa、Qilin、Crytox及Akira，其中Akira是該打包服務的最頻繁使用者。

在勒索軟件攻擊中使用的Shanya打包器

Shanya打包服務的工作機制

威脅者需先將其惡意載荷提交至Shanya平臺，平臺會返回經定制化封裝的“打包版”載荷，該過程會同時采用加密與壓縮技術。

該服務主打生成載荷的唯一性，其宣傳內容強調自身具備非標準模塊內存加載、系統加載器樁函數獨立封裝能力，且每位客戶在購買后，均可獲得專屬（相對）獨立的樁函數及獨特的加密算法。

加載器中的垃圾代碼

具體來看，惡意載荷會被植入Windows系統DLL文件shell32.dll的內存映射副本中。盡管該DLL文件的可執行區段與文件大小看似合規，文件路徑也無異常，但其文件頭與.text區段已被解密后的惡意載荷覆蓋。

值得注意的是，載荷在打包文件內處于加密狀態，而在執行階段，它會在內存中完成解密與解壓，隨后直接注入shell32.dll副本，全程不會寫入磁盤，以此降低被檢測的概率。

研究人員還發現，Shanya會通過在無效上下文下調用RtlDeleteFunctionTable函數，對終端檢測與響應解決方案進行探測。這一操作會在用戶態調試器環境中觸發未處理異常或程序崩潰，從而在載荷完全執行前干擾自動化分析流程。

對EDR系統的禁用流程

勒索軟件團伙通常會在攻擊的數據竊取與加密階段前，先禁用目標設備上運行的EDR工具，其執行流程一般通過DLL側加載實現：將合法Windows可執行文件（如consent.exe）與經Shanya打包的惡意DLL（如msimg32.dll、version.dll、rtworkq.dll或wmsgapi.dll）進行組合加載。

根據Sophos的分析，這款EDR禁用工具會釋放兩款驅動程序：

1.一款是由TechPowerUp簽名的合法驅動ThrottleStop.sys（又稱rwdrv.sys），該驅動存在可實現任意內核內存寫入的漏洞；

2.另一款是未簽名的hlpdrv.sys驅動。其中，簽名驅動用于實現權限提升，而hlpdrv.sys則會根據用戶態下發的指令，對各類安全產品實施禁用操作。其用戶態組件會先枚舉當前運行的進程及已安裝的服務，再將結果與內置的龐大硬編碼列表進行比對，一旦匹配成功，便會向惡意內核驅動發送“終止”指令。

目標服務的部分列表

除了專注于禁用EDR的勒索軟件操作者外，研究人員近期還監測到ClickFix攻擊活動也在利用Shanya服務對CastleRAT遠控木馬進行封裝。勒索軟件團伙往往依賴打包服務來實現EDR禁用工具的隱蔽部署。

參考及來源：https://www.bleepingcomputer.com/news/security/ransomware-gangs-turn-to-shanya-exe-packer-to-hide-edr-killers/