ShanyaはPaaSで提供されています。
通常のITの領域でPaaSという場合、それは、Platform as a Serviceのことを意味します。
しかしここでは異なります。
PaaSは、Packer as a Serviceです。
これは、マルウェア開発者が、作成したマルウェアをアンチウイルスソフトに検出されないようにする際に使用するPackerを提供するサービスを指します。
「Packer」とは、本来の実行ファイル(ペイロード)を圧縮・暗号化し、実行時に展開させることで、署名ベースの検出を回避する技術です。
Packerは、マルウェア難読化ツールで、サイバー犯罪のツールキットの一部として使われています。
この領域では従来HeartCryptというものが知られていました。
Shanyaは、このHeartCryptを利用している層を順次置き換えるようなことになりつつあるモノの一つとなっています。
Shanyaはどういったものでしょうか。
- クリーンなカーネルドライバーを足回りにする
まずは環境に持ち込む際に、このマルウェアコードは、クリーンなカーネルドライバーと、署名されていない悪意のあるカーネルドライバーを標的の環境にドロップします。
そして正規のドライバーが利用できる状態になると、それを使って悪意のあるドライバーは書き込みを実施できる状態になります。
獲得した権限を使用し、マルウェアのコードは、その動作環境にあるセキュリティ機構を提供するプロセスを停止したりサービスを終了させたりします。 - ジャンクコードで回避する
初期に動作するローダーコードにも回避策が組み込まれています。
ローダーコードは複雑に難読化されていて、先頭に近い部分には相当量のジャンクコードが挿入された状態に構成されています。
自動的に分析を行う機構を解析者が利用している場合、解析対象範囲から悪意あるコードの部分が逃れきれるようにすることを狙った構造と考えられます。 - デバッガ利用の回避
解析者はマルウェアを解析しようとする際に、デバッガを利用します。
デバッガを利用する際にデバッガが利用されようとしていることを検出すると、マルウェアは元の無害な状態として動作するように動作を変更します。
デバッガの利用の方式によっては、マルウェアコードはクラッシュを誘発するように動作することにより、ペイロードの動作を把握されることを回避しようともします。 - shell32.dllが多い
shell32.dllはWindows環境で利用されるコンポーネントで、Windows Shellの汎用DLLです。
Windowsのグラフィカルシェルを機能させるための基本的な機能とリソースを含んでいます。
このため、普通にWindowsが動作している環境では、複数がメモリに展開された状態で動作することになります。
このPackerにより細工された機構は、メモリ上にshell32.dllを追加的に展開し、そのメモリに展開された内容を置き換えるような形式で悪意あるコードをメモリに配置します。
これにより、一見悪意あるコードが新たに読み込まれた状態となっていることが判別しにくいようにすることができています。
いろいろな領域で、分業化が進んでいます。
それは通常の業界だけではなく、脅威犯罪の領域でも同じです。
Shanyaは、PaaS(Packerのほうです)として提供されています。
いくつもの要素が専門的に継続的に提供される状態になってきていますので、これらのサービスを使用することにより、専門外の分野があったとしても全体的に高度なマルウェアを構成することが可能になってきています。
LLMを手元の情報をもとに利用するといった環境とあわせると、作りたいものを想像さえできれば、実現に際し、専門的な知識をあまり必要とすることなく高度なマルウェアを構成してしまうこともできそうです。
Inside Shanya, a packer-as-a-service fueling modern attacks
https://news.sophos.com/en-us/2025/12/06/inside-shanya-a-packer-as-a-service-fueling-modern-attacks/
| この記事をシェア |
|
|---|
