Shanya 成为勒索软件团伙的顶级 EDR 杀毒工具

一种高度先进的“打包即服务”，称为 Shanya，也称为 VX 地穴，已成为勒索软件团伙寻求逃避安全工具的首选武器。

根据一个新研究Shanya 来自网络安全公司 Sophos，于 2024 年末首次在俄罗斯地下论坛上被发现。此后，它迅速受到 Akira、Medusa、Qilin 和 Cryptox 等主要勒索软件组织以及多个 ClickFix 分发活动的欢迎。

根据 Sophos Security 的遥测数据，最近的活动显示，包含 Shanya 的恶意软件出现在多个地区，包括阿联酋、突尼斯、哥斯达黎加、尼日利亚和巴基斯坦。

HeartCrypt 的新继承者

这些服务被宣传为恶意软件混淆和隐秘的高端解决方案，其广告是：

• .NET 恶意软件的 AMSI 绕过
• 非标模块加载
• UAC绕过
• 反虚拟机和反沙箱检测
• 本机和 32 位二进制文​​件的运行时保护

Sophos 研究人员证实，该工具很快取代了 HeartCrypt 等早期最受欢迎的工具，特别是在寻求可靠的端点检测工具 (EDR) 规避的群体中。 

山亚如何运作 

Shanya 的核心是将勒索软件有效负载转换为高度混淆的仅内存可执行文件，以绕过现代检测工具并为勒索软件部署做好准备。攻击者首先将恶意软件上传到 Shanya 打包程序即服务平台，该平台对有效负载进行加密并将其包装在自定义加载程序中。该加载程序旨在直接在内存中解密和执行恶意软件，避免传统防病毒工具可以检测到的任何磁盘工件。

Shanya 最危险的技术之一是内存中的 DLL 替换：加载程序创建合法 DLL（如 shell32.dll）的内存映射克隆，用解密的恶意有效负载覆盖其标头和代码部分，并以无害的文件名（如 msimg32.dll 或 wmp.dll）运行修改后的 DLL。

为了避免被研究人员和自动沙箱检测到，Shanya 结合了反虚拟机检查、垃圾代码、API 哈希和故意调用（例如无效的 RtlDeleteFunctionTable），这些调用会导致调试器崩溃，同时将关键配置数据隐藏在 Windows PEB 内的模糊结构内。

除了简单的混淆之外，Shanya 还部署了专用的内置 EDR（端点检测和响应）查杀模块 - 通常使用 DLL 侧面加载和自带漏洞驱动程序 (BYOVD) 攻击。它加载易受攻击的 ThrottleStop.sys 驱动程序以获得内核级权限，然后安装自定义恶意驱动程序 (hlpdrv.sys)，该驱动程序会禁用 EDR 进程、删除挂钩并关闭内核回调。

随着防御的降低，勒索软件攻击者几乎可以毫无阻力地部署其有效负载，这使得 Shanya 成为当今许多高影响力勒索软件活动的关键推动者。

为什么 Shanya 的进化很重要

研究人员警告说，Shanya 反映出网络犯罪生态系统正在发生的日益转变。攻击者现在可以依靠加壳即服务平台，为任何技能水平的攻击者提供即插即用的隐形、加密和反检测功能，而不是开发自己的复杂规避工具。

了解更多：新的“HybridPetya”勒索软件可以绕过 UEFI 安全启动

这极大地降低了进入门槛，使得缺乏经验的攻击者能够以与曾经为高级团体保留的相同隐蔽程度发起攻击。随着勒索软件运营商越来越多地购买和资助这些服务，像 Shanya 这样的工具预计将进一步发展，并且仍然对防御者构成持续的威胁。