【安全资讯】勒索软件团伙利用Shanya打包器隐藏EDR杀手工具

概要：

在网络安全攻防对抗日益激烈的背景下，勒索软件团伙正不断升级其攻击工具以规避检测。近期，Sophos安全研究人员发现，包括Medusa、Qilin在内的多个知名勒索软件组织开始广泛使用名为Shanya的“打包器即服务”平台，其主要目的是隐藏能够禁用端点检测与响应（EDR）解决方案的恶意载荷，为后续的数据窃取和加密活动铺平道路。这一趋势凸显了攻击者利用商业化攻击服务降低技术门槛、提升攻击成功率的严峻挑战。

主要内容：

Shanya打包器服务自2024年底出现后迅速流行，其运作模式类似于“软件即服务”。攻击者将恶意载荷提交给该平台，Shanya会返回一个经过自定义封装、使用加密和压缩处理的“打包”版本。该服务强调生成载荷的唯一性，为每个客户提供相对独特的存根和加密算法，从而有效规避基于特征码的安全检测。

从技术细节看，Shanya将加密后的载荷插入到Windows DLL文件‘shell32.dll’的内存映射副本中。该文件具有合法的可执行段和大小，路径也看似正常，但其头部和.text节已被解密后的载荷覆盖。关键之处在于，整个解密和注入过程完全在内存中完成，恶意代码从不接触磁盘，极大地增加了检测难度。

此外，Shanya会通过在不恰当的上下文中调用‘RtlDeleteFunctionTable’函数来检查是否存在EDR解决方案。当在用户模式调试器下运行时，这会触发未处理的异常或崩溃，从而在载荷完全执行前破坏自动化分析。勒索团伙通常通过DLL侧加载技术，将合法的Windows可执行文件（如‘consent.exe’）与Shanya打包的恶意DLL结合，来部署其EDR杀手工具。

根据Sophos的分析，这些EDR杀手会投放两个驱动程序：一个来自TechPowerUp的合法签名但存在缺陷的ThrottleStop.sys（可用于任意内核内存写入以实现权限提升），以及一个未签名的hlpdrv.sys。用户模式组件会枚举进程和服务，并与硬编码列表进行比对，然后向恶意内核驱动发送“终止”命令，从而系统性地禁用安全产品。除了勒索软件，Shanya服务也被用于打包CastleRAT等远控木马。