Çok sayıda fidye yazılımı çetesi, kurban sistemlerde uç nokta tespitini ve yanıt çözümlerini devre dışı bırakan yükleri dağıtmalarına yardımcı olmak için Shanya adlı hizmet olarak paketleyici platformunu kullanıyor.
Paketleyici hizmetleri, siber suçlulara, yüklerini, bilinen güvenlik araçlarının ve antivirüs motorlarının çoğu tarafından tespit edilmekten kaçınmak amacıyla kötü amaçlı kodu gizleyecek şekilde paketlemeleri için özel araçlar sağlar.
Shanya paketleyici operasyonu 2024 sonlarında ortaya çıktı ve Sophos Security'nin telemetri verilerine göre Tunus, BAE, Kosta Rika, Nijerya ve Pakistan'da tespit edilen kötü amaçlı yazılım örnekleriyle popülerliği önemli ölçüde arttı.
Bunu kullandığı doğrulanan fidye yazılımı grupları arasında Medusa, Qilin, Crytox ve Akira yer alıyor; ikincisi, paketleyici hizmetini en sık kullanan gruptur.
Tehdit aktörleri kötü amaçlı yüklerini Shanya'ya gönderir ve hizmet, şifreleme ve sıkıştırma kullanarak özel bir paketleyiciye sahip "paketlenmiş" bir sürüm döndürür.
Hizmet, sonuçta ortaya çıkan yüklerin tekilliğini teşvik ederek, "belleğe standart olmayan modül yükleme, sistem yükleyici Stub benzersizleştirmesi üzerindeki sarmalayıcıyı" vurgulayarak "her müşteri, satın alma sırasında benzersiz bir şifreleme algoritmasına sahip kendi (nispeten) benzersiz saplamasını alır."
Yük, Windows DLL dosyası 'shell32.dll'nin bellek eşlemeli bir kopyasına eklenir. Bu DLL dosyası, geçerli görünen yürütülebilir bölümlere ve boyuta sahiptir ve yolu normal görünür, ancak şifresi çözülen veri, başlık ve .text bölümünün üzerine yazılmıştır.
Yük, paketlenmiş dosyanın içinde şifrelenirken, tamamı bellekteyken şifresi çözülür ve sıkıştırılmış hali açılır ve ardından diske asla dokunulmadan 'shell32.dll' kopya dosyasına eklenir.
Sophos araştırmacıları, Shanya'nın geçersiz bir bağlamda 'RtlDeleteFunctionTable' işlevini çağırarak uç nokta algılama ve yanıt (EDR) çözümleri için kontroller gerçekleştirdiğini buldu.
Bu, kullanıcı modu hata ayıklayıcı altında çalışırken işlenmeyen bir istisnayı veya bir kilitlenmeyi tetikleyerek, yükün tam olarak yürütülmesinden önce otomatik analizi kesintiye uğratır.
Fidye yazılımı grupları genellikle saldırının veri hırsızlığı ve şifreleme aşamalarından önce hedef sistemde çalışan EDR araçlarını devre dışı bırakmaya çalışır.
Yürütme genellikle 'consent.exe' gibi yasal bir Windows yürütülebilir dosyasını msimg32.dll, version.dll, rtworkq.dll veya wmsgapi.dll gibi Shanya paketli kötü amaçlı bir DLL dosyasıyla birleştiren DLL yandan yükleme yoluyla gerçekleşir.
Sophos'un analizine göre, EDR katili iki sürücüyü devre dışı bırakıyor: TechPowerUp'tan gelen ve keyfi çekirdek belleği yazmayı sağlayan bir kusur içeren yasal olarak imzalanmış bir ThrottleStop.sys (rwdrv.sys) ve imzasız hlpdrv.sys.
İmzalı sürücü ayrıcalık yükseltme için kullanılırken hlpdrv.sys, kullanıcı modundan alınan komutlara göre güvenlik ürünlerini devre dışı bırakır.
Kullanıcı modu bileşeni, çalışan işlemleri ve kurulu hizmetleri sıralıyor, ardından sonuçları kapsamlı bir kodlanmış listedeki girişlerle karşılaştırıyor ve her eşleşme için kötü amaçlı çekirdek sürücüsüne bir "öldürme" komutu gönderiyor.
EDR'yi devre dışı bırakmaya odaklanan fidye yazılımı operatörlerinin yanı sıra Sophos, CastleRAT kötü amaçlı yazılımını paketlemek için Shanya hizmetini kullanan yakın tarihli ClickFix kampanyalarını da gözlemledi.
Sophos, fidye yazılımı çetelerinin, EDR katillerini tespit edilmeden konuşlandırılmaya hazırlamak için genellikle paketleyici hizmetlerine güvendiğini belirtiyor.
Araştırmacılar, Shanya ile paketlenmiş bazı yüklerin ayrıntılı bir teknik analizini sunuyor.
Raporda ayrıca Shanya destekli kampanyalarla ilişkili risk göstergeleri (IoC'ler) de yer alıyor.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Fidye yazılımı IAB, kötü amaçlı yazılımların gizlice yürütülmesi için EDR'yi kötüye kullanıyor
FinCEN, fidye yazılımı çetelerinin 2022'den 2024'e kadar 2,1 milyar dolardan fazla gasp yaptığını söylüyor
İlaç firması Inotiv, fidye yazılımı saldırısından sonra veri ihlalini açıkladı
Japon bira devi Asahi, veri ihlalinin 1,5 milyon kişiyi etkilediğini söyledi
Bulmacanın Parçalarını Birleştirme: Qilin Fidye Yazılımı Araştırması
Kaynak: Bleeping Computer