Geng Ransomware beralih ke pengemas Shanya EXE untuk menyembunyikan pembunuh EDR

Beberapa geng ransomware menggunakan platform packer-as-a-service bernama Shanya untuk membantu mereka menyebarkan muatan yang menonaktifkan deteksi titik akhir dan solusi respons pada sistem korban.

Layanan pengemas menyediakan alat khusus bagi penjahat dunia maya untuk mengemas muatan mereka sedemikian rupa sehingga mengaburkan kode berbahaya untuk menghindari deteksi oleh sebagian besar alat keamanan dan mesin antivirus yang dikenal.

Operasi pengepakan Shanya muncul pada akhir tahun 2024 dan semakin populer secara signifikan, dengan sampel malware yang menggunakannya terlihat di Tunisia, UEA, Kosta Rika, Nigeria, dan Pakistan, berdasarkan data telemetri dari Sophos Security.

Di antara kelompok ransomware yang dikonfirmasi telah menggunakannya adalah Medusa, Qilin, Crytox, dan Akira, dan Akira adalah kelompok yang paling sering menggunakan layanan pengepakan.

Bagaimana Shanya bekerja

Pelaku ancaman mengirimkan muatan berbahaya mereka ke Shanya, dan layanan tersebut mengembalikan versi “paket” dengan pembungkus khusus, menggunakan enkripsi dan kompresi.

Layanan ini mempromosikan singularitas payload yang dihasilkan, menyoroti “modul non-standar yang dimuat ke dalam memori, membungkus unikisasi loaderStub sistem,” dengan “setiap pelanggan menerima stub unik mereka sendiri (yang relatif) dengan algoritma enkripsi unik pada saat pembelian.”

Payload dimasukkan ke dalam salinan file DLL Windows yang dipetakan memori ‘shell32.dll.’ File DLL ini memiliki bagian dan ukuran yang tampak valid dan dapat dieksekusi, dan jalurnya tampak normal, namun bagian header dan .text-nya telah ditimpa dengan payload yang didekripsi.

Meskipun payload dienkripsi di dalam file yang dikemas, payload tersebut didekripsi dan didekompresi saat masih seluruhnya berada di memori, dan kemudian dimasukkan ke dalam ‘shell32.dll‘ salin file, jangan pernah menyentuh disk.

Sophos ditemukan peneliti bahwa Shanya melakukan pemeriksaan untuk solusi deteksi dan respons titik akhir (EDR) dengan memanggil ‘RtlDeleteFunctionTable‘ berfungsi dalam konteks yang tidak valid.

Hal ini memicu pengecualian yang tidak tertangani atau error saat dijalankan dalam debugger mode pengguna, sehingga mengganggu analisis otomatis sebelum payload dieksekusi secara penuh.

Menonaktifkan EDR

Kelompok Ransomware biasanya berusaha menonaktifkan alat EDR yang berjalan pada sistem target sebelum tahap pencurian data dan enkripsi serangan.

Eksekusi biasanya terjadi melalui pemuatan samping DLL, menggabungkan eksekusi Windows yang sah seperti ‘persetujuan.exe‘ dengan DLL berbahaya yang dikemas Shanya msimg32.dll, versi.dll, rtworkq.dllatau wmsgapi.dll.

Menurut analisis dari Sophos, pembunuh EDR menjatuhkan dua driver: ThrottleStop.sys yang ditandatangani secara sah (rwdrv.sys) dari TechPowerUp, yang berisi cacat yang memungkinkan penulisan memori kernel sewenang-wenang, dan unsigned hlpdrv.sys.

Driver yang ditandatangani digunakan untuk peningkatan hak istimewa, sementara hlpdrv.sys menonaktifkan produk keamanan berdasarkan perintah yang diterima dari mode pengguna.

Komponen mode pengguna menghitung proses yang berjalan dan layanan yang diinstal, kemudian membandingkan hasilnya dengan entri dalam daftar hardcoded yang ekstensif, mengirimkan perintah “kill” ke driver kernel jahat untuk setiap kecocokan.

Selain operator ransomware yang berfokus pada penonaktifan EDR, Sophos juga mengamati kampanye ClickFix baru-baru ini yang menggunakan layanan Shanya untuk mengemas malware CastleRAT.

Sophos mencatat bahwa geng ransomware sering kali mengandalkan layanan pengepakan untuk mempersiapkan pembunuh EDR agar dapat dikerahkan tanpa terdeteksi.

Para peneliti memberikan analisis teknis terperinci dari beberapa muatan yang dikemas bersama Shanya.

Laporan tersebut juga memuat indikator kompromi (IoCs) yang terkait dengan kampanye yang didukung Shanya.