Gelişen siber tehdit ortamında, fidye yazılımı çeteleri, kötü niyetli kodlarını gizlemek için giderek daha yenilikçi yöntemler kullanıyor. Özellikle, Shanya adlı bir paketleme hizmetinin yükselişi dikkat çekiyor. Bu platform, kötü amaçlı yazılımların hedef sistemlerdeki endpoint detection and response (EDR) çözümlerini devre dışı bırakmasına yardımcı oluyor.
Shanya Nedir?
Shanya, 2024 yılının sonlarında ortaya çıkan bir “paketleme hizmeti”dir. Bu hizmet, siber suçlulara, kötü niyetli yazılımlarını özel araçlarla paketleme imkanı sağlamaktadır. Shanya’nın paketleme süreci, zararlı kodları gizleyerek tanınmamalarını sağlıyor ve böylece güvenlik sistemleri tarafından tespit edilme olasılığını azaltıyor.
Sophos Güvenlik’inin telemetri verilerine göre, Shanya kullanılarak üretilen kötü amaçlı yazılım örnekleri, Tunus, Birleşik Arap Emirlikleri, Kosta Rika, Nijerya ve Pakistan gibi birçok ülkede göze çarpmaktadır. Medusa, Qilin, Crytox ve Akira gibi fidye yazılımı grupları, Shanya’nın sunduğu bu hizmetten yararlanmaktadır ve özellikle Akira, bu hizmeti en çok kullanan grup olarak öne çıkmaktadır.
Shanya Nasıl Çalışır?
Tehdit aktörleri, kötü niyetli yüklerini Shanya’ya gönderdiklerinde, hizmet, bu yükleri özel bir sarma işlemi ile “paketler”. Bu süreç, şifreleme ve sıkıştırma tekniklerini içerir. Shanya, her müşteriye kendi “unik” (eşsiz) şifreleme algoritmasını sağladığı için, üretilen yüklerin belirginliği artırılmaktadır.
Bu paketlenmiş yükler, ‘shell32.dll’ gibi Windows DLL dosyalarına entegre edilir. Bu dosya, normal bir görünüm sunmasına rağmen, yükün başlığı ve .text bölümü değiştirilerek zararlı kodun yerleştirilmesi sağlanır. Böylece, yük disk üzerinden geçmeden, sadece bellekte şifrelenip çözülerek çalıştırılır.
EDR’leri Devre Dışı Bırakmak
Fidye yazılımı grupları, saldırının veri hırsızlığı ve şifreleme aşamalarına geçmeden önce EDR araçlarını devre dışı bırakmayı hedefler. Bu genellikle, ‘consent.exe’ gibi meşru Windows yürütücüleri ile Shanya ile paketlenmiş zararlı DLL’lerin bir araya getirilmesi yoluyla gerçekleştirilir.
Sophos’un analizine göre, bu EDR katilleri iki sürücüyü etkili bir şekilde kullanır: Biri, TechPowerUp’tan alınan ve kernel bellek yazılımında hatalar barındıran meşru bir sürücü olan ThrottleStop.sys, diğeri ise güvenlik ürünlerini devre dışı bırakan unsigned ‘hlpdrv.sys’ sürücüsüdür. Kullanıcı modundaki bileşen, çalışan süreçleri ve kurulu hizmetleri listeleyerek, bunları hardcoded (sabit kodlanmış) bir liste ile karşılaştırır ve eşleşen her birine “katlet” komutu gönderir.
Kaynak: Sophos
Sonuç
Shanya’nın kullanımı, fidye yazılımı çeteleri için alarm verici bir durumdur. Bu tür hizmetlerin yaygınlaşması, siber güvenlik uzmanlarını, yeni tehditlere karşı sürekli olarak gözlem yapmaya ve önlem almaya sevk ediyor. Sophos’un hazırladığı rapor, Shanya ile paketlenmiş bazı yüklerin teknik analizini ve olası tehlikeleri içermektedir.
Siber güvenlik alanında sürekli bir savunma ve güncellemeler yapmanın gerekliliği, bu tür yenilikçi tehditlerin ışığında daha da netlik kazanıyor.
