Mã độc Shanya: EDR Killer cực nguy hiểm cho doanh nghiệp

Bối cảnh tội phạm mạng gần đây chứng kiến sự trỗi dậy mạnh mẽ của “Shanya,” một packer-as-a-service và EDR killer tiên tiến, hiện đang là công cụ chính cho các hoạt động ransomware quy mô lớn. Mã độc Shanya này đặc trưng bởi khả năng vô hiệu hóa các hệ thống bảo mật endpoint (EDR) trước khi triển khai tải trọng độc hại chính.

Nội dung

Sự Trỗi Dậy Mạnh Mẽ Của Mã Độc Shanya: Packer-as-a-Service Tiên Tiến

Kỹ Thuật Tấn Công Cốt Lõi và Khả Năng Né Tránh Phát Hiện của Mã Độc Shanya

Phương Pháp DLL Side-Loading

Chiến Thuật Bring Your Own Vulnerable Driver (BYOVD)

Cơ Chế Che Giấu và Chống Phân Tích Nâng Cao của Mã Độc Shanya

Khả Năng Chấm Dứt Tiến Trình và Kỹ Thuật Double Loading

Các Chỉ Số Kỹ Thuật (Technical Indicators)

Sự Trỗi Dậy Mạnh Mẽ Của Mã Độc Shanya: Packer-as-a-Service Tiên Tiến

Mã độc Shanya xuất hiện trên các diễn đàn ngầm vào cuối năm 2024 dưới biệt danh “VX Crypt.” Công cụ này được phát triển với mục tiêu rõ ràng là thay thế các đối thủ dẫn đầu thị trường trước đó, như HeartCrypt, bằng cách cung cấp một giải pháp đóng gói và né tránh phát hiện vượt trội.

Shanya đóng vai trò cầu nối quan trọng giữa giai đoạn truy cập ban đầu và triển khai tải trọng cuối cùng. Nó cung cấp cho kẻ tấn công một bộ công cụ chuyên biệt, được thiết kế để làm mù các hệ thống giám sát bảo mật. Điều này đảm bảo quá trình mã hóa dữ liệu hoặc các hành vi độc hại khác có thể diễn ra thành công mà không bị cản trở.

Kỹ Thuật Tấn Công Cốt Lõi và Khả Năng Né Tránh Phát Hiện của Mã Độc Shanya

Phương Pháp DLL Side-Loading

Mã độc Shanya hoạt động thông qua các kỹ thuật DLL side-loading tinh vi. Nó thường thỏa hiệp các tệp nhị phân hệ thống hợp pháp, ví dụ như consent.exe, để che giấu quá trình thực thi của mình. Bằng cách lạm dụng một DLL hợp pháp được yêu cầu bởi một ứng dụng đáng tin cậy, Shanya có thể thực thi mã độc trong một ngữ cảnh được tin cậy, gây khó khăn cho việc phát hiện dựa trên hành vi.

Chiến Thuật Bring Your Own Vulnerable Driver (BYOVD)

Một phần trung tâm trong phương pháp tấn công của mã độc Shanya là chiến thuật “Bring Your Own Vulnerable Driver” (BYOVD). Đây là một kỹ thuật tấn công mạng cho phép mã độc khai thác các lỗ hổng đã biết hoặc chưa biết trong các driver hợp pháp.

Cụ thể, bằng cách thả và khai thác các driver hợp pháp nhưng dễ bị tổn thương, đáng chú ý nhất là ThrottleStop.sys, mã độc Shanya giành được đặc quyền cấp kernel. Quyền truy cập cấp cao này là cực kỳ quan trọng, cho phép nó bỏ qua các hạn chế chế độ người dùng tiêu chuẩn.

Với quyền kernel, Shanya có khả năng trực tiếp tấn công các kernel callback được sử dụng bởi các nền tảng bảo vệ endpoint (EPP). Việc này dẫn đến việc vô hiệu hóa hoặc làm suy yếu đáng kể khả năng phòng thủ của hệ thống, biến Shanya thành một EDR killer hiệu quả.

Các nhà phân tích bảo mật của Sophos đã xác định sự gia tăng sử dụng của mã độc Shanya trong các chiến dịch toàn cầu. Họ đã liên kết nó với các họ ransomware nổi tiếng, bao gồm Akira, Medusa và Qilin. Điều này chứng tỏ Shanya là một phần không thể thiếu trong chuỗi tấn công của nhiều nhóm tội phạm mạng.

Sophos nhấn mạnh rằng Shanya không chỉ hoạt động như một packer bảo vệ thông thường, mà còn là một vũ khí tấn công chủ động. Nó được thiết kế để phá hủy có hệ thống các biện pháp phòng thủ của hệ thống trước khi tải trọng ransomware được giải mã và triển khai. Tham khảo thêm chi tiết kỹ thuật chuyên sâu về Shanya tại Sophos News.

Quá trình này tạo ra một môi trường không có khả năng phòng thủ. Trong môi trường này, các quy trình mã hóa có thể chạy không bị gián đoạn, đảm bảo tỷ lệ thành công cao cho kẻ tấn công. Tính năng kép này đã làm cho Shanya đặc biệt phổ biến trong các cuộc tấn công có mục tiêu.

Cơ Chế Che Giấu và Chống Phân Tích Nâng Cao của Mã Độc Shanya

Kiến trúc kỹ thuật của mã độc Shanya cho thấy sự phụ thuộc nặng nề vào các kỹ thuật obfuscation (làm rối mã) và cơ chế chống phân tích nâng cao để tránh bị phát hiện bởi các công cụ bảo mật và các nhà nghiên cứu.

Loader ban đầu của mã độc được bão hòa với “junk code” (mã rác). Mục đích là làm gián đoạn và gây khó khăn cho các nỗ lực kỹ thuật đảo ngược, khiến việc phân tích tĩnh trở nên tốn thời gian và phức tạp hơn.

Để né tránh phát hiện sâu hơn từ các trình gỡ lỗi, mã độc chủ động gọi hàm RtlDeleteFunctionTable với các ngữ cảnh không hợp lệ. Hành động này được thiết kế để làm sập (crash) trình gỡ lỗi, ngăn cản nhà phân tích theo dõi luồng thực thi của mã độc.

Ngoài ra, Shanya còn che giấu dữ liệu cấu hình quan trọng của mình trong Process Environment Block (PEB). Cụ thể, nó sử dụng trường GdiHandleBuffer làm một kho lưu trữ bí mật cho các con trỏ API và các tham số thực thi. Phương pháp này đảm bảo rằng các thông số quan trọng của mã độc vẫn ẩn khỏi các trình quét bộ nhớ tiêu chuẩn, đây là một thách thức lớn đối với việc phát hiện.

Khả Năng Chấm Dứt Tiến Trình và Kỹ Thuật Double Loading

Một đặc điểm nổi bật khác của mã độc Shanya là khả năng chấm dứt tiến trình một cách tàn nhẫn và hiệu quả. Khi driver kernel của mã độc hoạt động và giành được quyền ưu tiên, thành phần chế độ người dùng sẽ bắt đầu quét các dịch vụ đang hoạt động dựa trên một danh sách mục tiêu định trước.

Mã độc Shanya lặp lại qua các dịch vụ này, gửi hướng dẫn trực tiếp đến driver kernel (được xác định là hlpdrv.sys) để buộc chúng phải chấm dứt. Việc này bao gồm cả các dịch vụ bảo mật hoặc các ứng dụng quan trọng, làm suy yếu nghiêm trọng khả năng phục hồi của hệ thống. Đây là một kỹ thuật tấn công mạng rất nguy hiểm, phá vỡ hoạt động bình thường của hệ thống.

Mã độc cũng sử dụng một kỹ thuật “double loading” (tải kép) độc đáo. Nó tải một thể hiện thứ hai của một DLL hệ thống hợp pháp, chẳng hạn như shell32.dll, và sau đó ghi đè tiêu đề của nó bằng tải trọng đã được giải mã của chính mã độc.

Sự tích hợp liền mạch này vào các không gian bộ nhớ hợp pháp, thường sử dụng các tên ngụy trang như mustard64.dll, là minh chứng cho các chiến thuật né tránh tiên tiến. Những chiến thuật này khiến mã độc Shanya trở thành một mối đe dọa nghiêm trọng, đòi hỏi các giải pháp bảo mật phải đối phó với những lỗ hổng zero-day hoặc các khai thác tinh vi, không chỉ dựa vào các dấu hiệu truyền thống.

Các Chỉ Số Kỹ Thuật (Technical Indicators)

Dựa trên phân tích về mã độc Shanya, các chỉ số kỹ thuật sau có thể giúp các chuyên gia bảo mật phát hiện và ứng phó với mối đe dọa này:

Driver hợp pháp bị lạm dụng cho BYOVD: ThrottleStop.sys (kiểm tra hành vi bất thường hoặc phiên bản lỗi thời).
DLL hệ thống bị side-load: consent.exe (kiểm tra các DLL lạ được tải cùng).
Driver kernel do mã độc triển khai: hlpdrv.sys (kiểm tra sự tồn tại và hành vi của driver này).
DLL được sử dụng cho “double loading”: shell32.dll (kiểm tra tính toàn vẹn của tiêu đề), mustard64.dll (kiểm tra sự tồn tại của file này trong bộ nhớ hoặc trên đĩa).
Hành vi chống phân tích: Phát hiện các cuộc gọi RtlDeleteFunctionTable với ngữ cảnh không hợp lệ trong quá trình phân tích mã động.
Ẩn cấu hình: Giám sát việc sử dụng Process Environment Block (PEB) và trường GdiHandleBuffer cho mục đích lưu trữ dữ liệu không chuẩn.
Các họ ransomware liên quan: Akira, Medusa, Qilin (kiểm tra các dấu hiệu liên quan đến các họ ransomware này).