Egyedi csomagolás, rejtett kód
A Shanya működése pofonegyszerű: a támadók feltöltik a káros kódjukat, amit a szolgáltatás visszaad egy sajátos, titkosított burokban. Mindenki egyedi algoritmust és stubot kap, így nehezen azonosítható a fertőzés. A trükk lényege, hogy a vírus bekerül egy Windows DLL-fájl (shell32.dll) memóriába másolt példányába, amelyen látszólag nincs semmi gyanús, hiszen az állományméret és elérési út is teljesen normálisnak tűnik, de a fejléc és a .text szekció már a támadók kódját tartalmazza.
EDR-ellenes támadótechnika
A csomagolt kártevő a memóriába töltve fejti ki hatását, de a lemezen nem jelenik meg, ezért különösen nehéz felismerni. A Shanya az EDR-rendszerek megkerüléséhez egy trükkös módszert is használ: hibás kontextusban hívja meg a RtlDeleteFunctionTable funkciót, így felborítja az automatikus elemzést és megnehezíti a minták vizsgálatát.
Szofisztikált jogosultságemelés
A támadók hagyományosan azt szeretnék, hogy a célpont rendszerén futó EDR teljesen le legyen tiltva, mielőtt adatokat lopnának vagy titkosítanának. Ehhez kombinált támadást vetnek be: egy legitim Windows-programhoz fércelik hozzá a Shanyával csomagolt kártékony DLL-t, majd két illesztőprogramot is telepítenek. Az egyik egy valóban aláírt ThrottleStop.sys, amely kihasználható hibát tartalmaz és lehetőséget ad a kernelmemória írására, a másik egy kártékony hlpdrv.sys, amely a biztonsági szoftverek leállítására alkalmas.
Nemcsak zsarolóvírusok
A Sophos kutatása szerint a Shanyát már nemcsak a Medusa, Qilin, Crytox vagy Akira csoportok használják; újabban a ClickFix kampányokban a CastleRAT kártevőt is ezzel csomagolják. Egyre több támadásban fordul elő, hogy a támadók kész megoldásokat vásárolnak az EDR elleni védelem megkerülésére, így a Shanya valódi aranybánya a kiberbűnözőknek. A jelentés részletes technikai elemzést és aktív támadásokhoz köthető, kompromittálódásra utaló indikátorokat is tartalmaz.
