Shanya 打包程序於 2024 年底出現，並迅速成長。多個勒索軟體團夥正在使用名為 Shanya 的打包即服務平台來幫助他們部署有效載荷，從而禁用受害者係統上的端點檢測和回應解決方案。根據 Sophos Security 的遙測數據，在突尼斯、阿聯酋、哥斯大黎加、奈及利亞和巴基斯坦都發現了使用該程式的惡意軟體樣本。

Shanya 的出現標誌著惡意軟體產業供應鏈的進一步成熟，它作為一種「打包即服務」（Packer-as-a-Service）的模式，使得缺乏高階編碼能力的勒索軟體團夥也能輕易地獲得能夠規避現代 EDR 系統的工具。這種服務極大地降低了發動複雜網路攻擊的技術門檻。

 

Shanya 的反分析與 EDR 規避機制

勒索軟體組織通常會在攻擊的資料竊取和加密階段之前，試圖停用目標系統上執行的 EDR 工具。Shanya 在這方面表現出高度的複雜性。

Sophos 研究人員發現，Shanya 透過在無效情境中呼叫「RtlDeleteFunctionTable」函數來執行端點偵測和回應 (EDR) 解決方案的檢查。在使用者模式偵錯器下運行時，這會觸發未處理的異常或崩潰，從而在有效載荷完全執行之前中斷自動分析。

RtlDeleteFunctionTable 函數通常用於進程清理或特定系統操作。在惡意軟體中，這種不當或「無效情境」的呼叫是一種常見的反分析（Anti-Analysis）技術。它旨在檢測其運行環境是否為沙盒（Sandbox）或安全分析師正在使用的偵錯器（Debugger）。如果惡意軟體偵測到自己在受控的分析環境中，它就會故意崩潰或停止執行，從而挫敗安全團隊對其有效載荷（Payload）的靜態或動態分析。

 

部署 EDR 殺手與核心記憶體攻擊

根據 Sophos 的分析，EDR 殺手會刪除兩個驅動程式：一個是來自 TechPowerUp 的合法簽署的 ThrottleStop.sys (rwdrv.sys)，其中包含一個允許任意核心記憶體寫入的缺陷；另一個是未簽署的 hlpdrv.sys。

這種攻擊模式利用了所謂的 「自帶易受攻擊驅動程式」（Bring Your Own Vulnerable Driver, BYOVD）技術。攻擊者利用一個帶有合法數位簽名、但存在已知漏洞的驅動程式（例如 ThrottleStop.sys），載入到作業系統的核心層級。一旦進入核心層，攻擊者即可利用該驅動程式的缺陷獲得「任意核心記憶體寫入」的最高權限。這項能力允許攻擊者直接禁用或修改運行在核心層級的 EDR 解決方案，徹底癱瘓系統的防禦能力，為後續的數據竊取和加密掃清道路。

 

攻擊載荷的擴散與影響

除了專注於停用 EDR 的勒索軟體營運商之外，Sophos 還觀察到最近的 ClickFix 活動利用 Shanya 服務來打包 CastleRAT 惡意軟體。

這表明 Shanya 服務的目標客戶群不僅限於勒索軟體團夥，還包括各種惡意軟體操作者，例如執行遠端存取木馬（RAT）或信息竊取工具的組織。這種服務化趨勢，加上 Shanya 打包程式的高效規避能力，使得網路攻擊變得更難追蹤和防禦，對全球企業的端點安全構成了嚴峻的挑戰。

註：
打包服務為網路犯罪分子提供專門的工具，以混淆惡意程式碼的方式打包其有效載荷，從而逃避大多數已知安全工具和防毒引擎的偵測。

資料來源：https://www.bleepingcomputer.com/news/security/ransomware-gangs-turn-to-shanya-exe-packer-to-hide-edr-killers/