はじめに
複数のランサムウェア集団が、エンドポイント検出応答(EDR)ソリューションを無効化するペイロードを展開するために、「Shanya」と名付けられたパッカーアズアサービスプラットフォームを利用しています。パッカーサービスは、サイバー犯罪者がペイロードを難読化し、既知のセキュリティツールやアンチウイルスエンジンによる検出を回避するために特化したツールを提供します。
Shanyaパッカーの運用は2024年後半に登場し、チュニジア、UAE、コスタリカ、ナイジェリア、パキスタンなどで使用されているマルウェアサンプルが確認されるなど、急速に普及しています。Sophos Securityのテレメトリーデータによると、Medusa、Qilin、Crytox、Akiraなどのランサムウェアグループがこれを使用していることが確認されており、特にAkiraが最も頻繁に利用しています。
Shanyaの仕組み
脅威アクターは悪意のあるペイロードをShanyaに送信し、サービスはカスタムラッパー、暗号化、圧縮を適用した「パックされた」バージョンを返します。Shanyaは、その結果として得られるペイロードの特異性を強調しており、「非標準のモジュールメモリロード、システムローダーStubの独自化ラッパー」、そして「各顧客は購入時に独自の(比較的に)ユニークなスタブと独自の暗号化アルゴリズムを受け取る」と宣伝しています。
ペイロードは、Windows DLLファイル「shell32.dll」のメモリマップされたコピーに挿入されます。このDLLファイルは、有効に見える実行可能セクションとサイズを持ち、そのパスは正常に見えますが、ヘッダーと.textセクションは復号化されたペイロードで上書きされています。ペイロードはパックされたファイル内で暗号化されていますが、メモリ内で完全に復号化および解凍され、その後「shell32.dll」のコピーファイルに挿入され、ディスクに書き込まれることはありません。
Sophosの研究者によると、Shanyaは無効なコンテキストで「RtlDeleteFunctionTable」関数を呼び出すことにより、EDRソリューションのチェックを実行します。これにより、ユーザーモードデバッガー下で実行された場合に処理されない例外やクラッシュを引き起こし、ペイロードの完全な実行前に自動分析を妨害します。
EDR無効化の手口
ランサムウェアグループは、攻撃のデータ窃盗および暗号化段階の前に、ターゲットシステムで実行されているEDRツールを無効にしようとします。実行は通常、DLLサイドローディングを介して行われます。これは、正規のWindows実行可能ファイル(例:consent.exe)と、Shanyaでパックされた悪意のあるDLL(例:msimg32.dll、version.dll、rtworkq.dll、wmsgapi.dll)を組み合わせる手法です。
Sophosの分析によると、EDRキラーは2つのドライバーをドロップします:
- TechPowerUp製の正規に署名された
ThrottleStop.sys(rwdrv.sysにリネーム)で、任意のカーネルメモリ書き込みを可能にする脆弱性を含んでいます。これは特権昇格に使用されます。 - 未署名の
hlpdrv.sys。これはユーザーモードから受信したコマンドに基づいてセキュリティ製品を無効化します。
ユーザーモードコンポーネントは、実行中のプロセスとインストールされているサービスを列挙し、その結果を広範なハードコードされたリストのエントリと比較します。一致する各項目に対して、悪意のあるカーネルドライバーに「キル」コマンドを送信します。
Sophosの分析と対策
EDR無効化に焦点を当てたランサムウェアオペレーター以外にも、Sophosは最近のClickFixキャンペーンがCastleRATマルウェアをパックするためにShanyaサービスを利用していることも観測しています。ランサムウェア集団は、検出されずに展開されるEDRキラーを準備するために、パッカーサービスに依存することが多いとSophosは指摘しています。
Sophosの研究者たちは、Shanyaによってパックされたペイロードの詳細な技術分析を提供しています。このレポートには、Shanyaを利用したキャンペーンに関連する侵害指標(IoCs)も含まれています。