Geng Ransomware Gunakan Shanya EXE Packer untuk Sembunyikan EDR Killers
Sejumlah geng ransomware kini memanfaatkan layanan packer-as-a-service bernama Shanya untuk menyebarkan payload berbahaya yang dirancang menonaktifkan solusi endpoint detection and response (EDR) pada sistem korban. Teknik ini membuat kode jahat lebih sulit dideteksi oleh perangkat keamanan maupun mesin antivirus.
Popularitas Shanya
Operasi Shanya muncul pada akhir 2024 dan dengan cepat meningkat popularitasnya. Berdasarkan data telemetri Sophos Security, sampel malware yang menggunakan Shanya telah terdeteksi di Tunisia, Uni Emirat Arab, Kosta Rika, Nigeria, dan Pakistan. Beberapa geng ransomware yang diketahui memanfaatkan layanan ini antara lain Medusa, Qilin, Crytox, dan Akira, dengan Akira tercatat sebagai pengguna paling aktif.
Cara Kerja Shanya
Penyerang mengirimkan payload berbahaya ke Shanya, lalu menerima versi “packed” dengan wrapper khusus berbasis enkripsi dan kompresi. Payload kemudian dimasukkan ke salinan memory-mapped dari file Windows DLL shell32.dll. Meski tampak normal, bagian header dan .text telah ditimpa dengan payload terdekripsi. Proses ini berlangsung sepenuhnya di memori tanpa menyentuh disk, sehingga sulit dianalisis.
Shanya juga melakukan pemeriksaan terhadap solusi EDR dengan memanggil fungsi RtlDeleteFunctionTable dalam konteks tidak valid. Hal ini memicu exception atau crash saat dijalankan di debugger mode pengguna, sehingga mengganggu analisis otomatis.
Teknik Menonaktifkan EDR
Ransomware biasanya menonaktifkan EDR sebelum tahap pencurian data dan enkripsi. Eksekusi dilakukan melalui DLL side-loading, menggabungkan executable sah Windows seperti consent.exe dengan DLL berbahaya yang telah dipaketkan Shanya, misalnya msimg32.dll, version.dll, rtworkq.dll, atau wmsgapi.dll.
Analisis Sophos menemukan bahwa EDR killer menjatuhkan dua driver:
- ThrottleStop.sys (rwdrv.sys): driver sah dari TechPowerUp yang memiliki celah untuk menulis memori kernel secara arbitrer, digunakan untuk eskalasi hak istimewa.
- hlpdrv.sys: driver tidak ditandatangani yang menonaktifkan produk keamanan berdasarkan perintah dari mode pengguna.
Komponen user-mode kemudian memindai proses dan layanan yang berjalan, membandingkannya dengan daftar hardcoded, lalu mengirim perintah “kill” ke driver berbahaya untuk setiap target yang cocok.
Kampanye Lain
Selain geng ransomware, Sophos juga mengamati kampanye ClickFix yang menggunakan Shanya untuk memaketkan malware CastleRAT. Hal ini menegaskan bahwa layanan packer seperti Shanya semakin menjadi pilihan utama bagi pelaku ancaman untuk menyembunyikan EDR killers dan melancarkan serangan tanpa terdeteksi.
