Çok sayıda fidye yazılımı çetesi, kurban sistemlerde uç nokta tespitini ve yanıt çözümlerini devre dışı bırakan yükleri dağıtmalarına yardımcı olmak için Shanya adlı hizmet olarak paketleyici platformunu kullanıyor.
Paketleyici hizmetleri, siber suçlulara, yüklerini, bilinen güvenlik araçlarının ve antivirüs motorlarının çoğu tarafından tespit edilmekten kaçınmak amacıyla kötü amaçlı kodu gizleyecek şekilde paketlemeleri için özel araçlar sağlar.
Shanya paketleyici operasyonu 2024 sonlarında ortaya çıktı ve Sophos Security’nin telemetri verilerine göre Tunus, BAE, Kosta Rika, Nijerya ve Pakistan’da tespit edilen kötü amaçlı yazılım örnekleriyle popülerliği önemli ölçüde arttı.
Bunu kullandığı doğrulanan fidye yazılımı grupları arasında Medusa, Qilin, Crytox ve Akira yer alıyor; ikincisi paketleyici hizmetini en sık kullanan gruptur.
Kaynak: Sophos
Shanya nasıl çalışır?
Tehdit aktörleri kötü amaçlı yüklerini Shanya’ya gönderir ve hizmet, şifreleme ve sıkıştırma kullanarak özel bir paketleyiciye sahip “paketlenmiş” bir sürüm döndürür.
Hizmet, sonuçta ortaya çıkan yüklerin tekilliğini teşvik ederek, “belleğe standart olmayan modül yükleme, sistem yükleyici Stub benzersizleştirmesi üzerindeki sarmalayıcıyı” vurgulayarak “her müşteri, satın alma sırasında benzersiz bir şifreleme algoritmasına sahip kendi (nispeten) benzersiz saplamasını alır.”
Kaynak: Sophos
Yük, Windows DLL dosyasının bellek eşlemeli bir kopyasına eklenir ‘Shell32.dll.’ Bu DLL dosyasının geçerli görünen yürütülebilir bölümleri ve boyutu var ve yolu normal görünüyor, ancak şifresi çözülen veri, başlığının ve .text bölümünün üzerine yazılmış.
Yük, paketlenmiş dosyanın içinde şifrelenirken, hâlâ tamamen bellekteyken şifresi çözülür ve sıkıştırması açılır ve ardından ‘ dosyasına eklenir.Shell32.dll‘ Dosyayı kopyalayın, asla diske dokunmayın.
Sophos araştırmacıları, Shanya’nın uç nokta algılama ve yanıt (EDR) çözümleri için kontrolleri ‘RtlDeleteFonksiyonTablosu‘ işlevi geçersiz bir bağlamda.
Bu, kullanıcı modu hata ayıklayıcı altında çalışırken işlenmeyen bir istisnayı veya bir kilitlenmeyi tetikleyerek, yükün tam olarak yürütülmesinden önce otomatik analizi kesintiye uğratır.
EDR’leri devre dışı bırakma
Fidye yazılımı grupları genellikle saldırının veri hırsızlığı ve şifreleme aşamalarından önce hedef sistemde çalışan EDR araçlarını devre dışı bırakmaya çalışır.
Yürütme genellikle ‘ gibi yasal bir Windows çalıştırılabilir dosyasının birleştirilmesiyle DLL tarafından yükleme yoluyla gerçekleşir.rıza.exe‘ gibi Shanya dolu kötü amaçlı bir DLL ile msimg32.dll, version.dll, rtworkq.dllveya wmsgapi.dll.
Sophos’un analizine göre, EDR katili iki sürücüyü devre dışı bırakıyor: yasal olarak imzalanmış bir ThrottleStop.sys (rwdrv.sys) isteğe bağlı çekirdek belleği yazmayı sağlayan bir kusur içeren TechPowerUp’tan ve imzasız hlpdrv.sys.
İmzalı sürücü ayrıcalık yükseltme için kullanılırken, hlpdrv.sys Kullanıcı modundan alınan komutlara dayalı olarak güvenlik ürünlerini devre dışı bırakır.
Kullanıcı modu bileşeni, çalışan işlemleri ve kurulu hizmetleri sıralıyor, ardından sonuçları kapsamlı bir kodlanmış listedeki girişlerle karşılaştırıyor ve her eşleşme için kötü amaçlı çekirdek sürücüsüne bir “öldürme” komutu gönderiyor.
Kaynak: Sophos
EDR’yi devre dışı bırakmaya odaklanan fidye yazılımı operatörlerinin yanı sıra Sophos, CastleRAT kötü amaçlı yazılımını paketlemek için Shanya hizmetini kullanan yakın tarihli ClickFix kampanyalarını da gözlemledi.
Sophos, fidye yazılımı çetelerinin, EDR katillerini tespit edilmeden konuşlandırılmaya hazırlamak için genellikle paketleyici hizmetlerine güvendiğini belirtiyor.
Araştırmacılar, Shanya ile paketlenmiş bazı yüklerin ayrıntılı bir teknik analizini sunuyor.
Raporda ayrıca Shanya destekli kampanyalarla ilişkili risk göstergeleri (IoC’ler) de yer alıyor.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.