กลุ่มแรนซัมแวร์หลายกลุ่ม กำลังใช้แพลตฟอร์ม Packer-as-a-Service ที่ชื่อว่า Shanya เพื่อช่วยติดตั้งเพย์โหลดที่สามารถ disable การตรวจจับจาก endpoint detection and response บนระบบของเหยื่อ
Packer services กำลังถูกใช้เป็นเครื่องมือเฉพาะทางให้กับกลุ่มแรนซัมแวร์ เพื่อ packed payloads ของพวกเขา เพื่อซ่อนโค้ดอันตรายในการหลีกเลี่ยงการตรวจจับโดยเครื่องมือรักษาความปลอดภัย และโปรแกรมป้องกันมัลแวร์ส่วนใหญ่
ปฏิบัติการที่เกิดขึ้นจาก Shanya packer เกิดขึ้นในช่วงปลายปี 2024 และได้รับความนิยมเพิ่มขึ้นอย่างมาก โดยนักวิจัยพบตัวอย่างมัลแวร์ที่ใช้ packer นี้ในตูนิเซีย, สหรัฐอาหรับเอมิเรตส์, คอสตาริกา, ไนจีเรีย และปากีสถาน ตามข้อมูลจากระบบ telemetry data ของ Sophos Security
กลุ่ม ransomware ที่ได้รับการยืนยันว่าเคยใช้บริการดังกล่าว ได้แก่ Medusa, Qilin, Crytox และ Akira โดยกลุ่มหลังเป็นกลุ่มที่ใช้บริการ packer บ่อยที่สุด
วิธีการทำงานของ Shanya
ผู้โจมตีจะส่งเพย์โหลดที่เป็นอันตรายไปยัง Shanya และบริการจะส่งคืนเพย์โหลดเวอร์ชัน “packed” พร้อมด้วย custom wrapper โดยใช้การ encryption และการ compression
บริการนี้เน้นที่การโหลด non-standard module เข้าสู่ memory ผ่านการกำหนด system loaderStub โดยลูกค้าแต่ละรายจะได้รับ stub เฉพาะของตนเอง พร้อมอัลกอริทึมการ encryption
เพย์โหลดจะถูกแทรกเข้าไปใน memory-mapped copy ของไฟล์ DLL ของ Windows โดยไฟล์ DLL นี้มี sections และ size ของไฟล์ที่รันได้ซึ่งดูถูกต้องตามปกติ และ Path ของไฟล์ที่ก็ดูเหมือนจะปกติ แต่ส่วน header และส่วน .text ของไฟล์ถูกเขียนทับด้วยเพย์โหลดที่ถูก decrypted แล้ว
ในขณะที่เพย์โหลดถูก encrypted ภายในไฟล์ที่ packed ไว้ เพย์โหลดจะถูก decrypted และแตกไฟล์ในขณะที่ยังคงอยู่ใน memory ทั้งหมด จากนั้นจึงแทรกเข้าไปในไฟล์ copy ของ 'shell32.dll' โดยไม่มีการเขียนไฟล์ลงดิสก์
นักวิจัยของ Sophos พบว่า Shanya จะดำเนินการตรวจสอบ endpoint detection and response (EDR) โดยการเรียกใช้ฟังก์ชัน 'RtlDeleteFunctionTable'
การดำเนินการนี้จะทำให้เกิด unhandled exception หรือเกิดการ crash หากพบว่ามันกำลังทำงานภายใต้ user-mode debugger ซึ่งจะขัดขวางการวิเคราะห์อัตโนมัติก่อนที่จะดำเนินการเพย์โหลดอย่างเต็มรูปแบบ
การปิดใช้งาน EDR
กลุ่มแรนซัมแวร์มักพยายามปิดใช้งานเครื่องมือ EDR ที่ทำงานบนระบบเป้าหมายก่อนที่จะเกิดการขโมยข้อมูล และการเข้ารหัสในการโจมตี
การดำเนินการมักเกิดขึ้นผ่าน DLL side-loading โดยการรวมไฟล์ Windows executable ที่ถูกต้อง เช่น 'consent.exe' เข้ากับไฟล์ DLL อันตรายที่มาจาก Shanya-packed เช่น msimg32.dll, version.dll, rtworkq.dll หรือ wmsgapi.dll
จากการวิเคราะห์ของ Sophos พบว่า EDR Killer จะ drops ไดรเวอร์สองตัว ได้แก่ ThrottleStop.sys (rwdrv.sys) จาก TechPowerUp ที่ถูก signed อย่างถูกต้อง ซึ่งมีช่องโหว่ที่ทำให้สามารถเขียนข้อมูลใน kernel memory ได้ และ hlpdrv.sys ที่ไม่ได้ถูก signed
ไดรเวอร์ที่ถูก signed อย่างถูกต้องนี้จะใช้สำหรับการยกระดับสิทธิ์ ในขณะที่ hlpdrv.sys จะ disables การทำงานของ security products ตามคำสั่งที่ได้รับจาก user mode
โดย user mode component จะระบุรายการ processes และ services ที่กำลังทำงาน จากนั้นเปรียบเทียบผลลัพธ์กับรายการที่ระบุไว้ในฮาร์ดโค้ด และส่งคำสั่ง "kill" ไปยัง kernel driver ที่เป็นอันตรายสำหรับการ processes และ services ที่ตรงกัน
นอกจากกลุ่มแรนซัมแวร์ที่มุ่งเน้นการปิดใช้งาน EDR แล้ว Sophos ยังสังเกตเห็นแคมเปญ ClickFix ล่าสุดที่ใช้บริการ Shanya เพื่อ packed มัลแวร์ CastleRAT ไว้ด้วย
Sophos ระบุว่า กลุ่มแรนซัมแวร์มักใช้บริการ packer เพื่อเตรียม EDR Killer ให้พร้อมใช้งานโดยไม่ถูกตรวจพบ
นักวิจัยได้วิเคราะห์ทางเทคนิคโดยละเอียดเกี่ยวกับเพย์โหลดบางส่วนที่รวมไว้กับ Shanya โดยรายงานยังรวมถึง IoC ที่เกี่ยวข้องกับแคมเปญที่มีการใช้งานด้วย Shanya
IoCs
ที่มา: bleepingcomputer
You must be logged in to post a comment.