攻击描述
近期国外攻击者在出售一款名为“BunnyLoader”的恶意软件即服务(Malware-as-a-Service, MaaS)。山石网科情报中心获取了一批恶意样本,分析发现BunnyLoader可窃取包括加密货币钱包地址在内的敏感信息,以及下载执行其他恶意负载,并且攻击者在不断更新提供新的恶意功能。
简要分析
恶意样本启动后首先修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中创建一个名为“Spyware_Blocker”的新注册表项,值为BunnyLoader文件路径,以此来实现持久化。
接下来执行反虚拟机、反沙箱技术。例如检测是否加载了某些沙箱模块、是否存在docker容器或用户名是否为常见沙箱用户名。若检测到沙箱或虚拟机则恶意软件会终止活动。
然后恶意软件将收集受害者主机信息(ip、主机名、操作系统等)并携带这些信息向C2服务器发起GET请求,请求头中user agent为“BunnyLoader”。受害者主机将被注册到C2服务器。
注册完成后BunnyLoader可从C2处接收命令执行任务。目前有以下一些功能:
(1)下载执行二阶段payload,一般为其他木马程序;
(2)窃取敏感信息,如浏览器凭证、VPN、加密货币钱包信息等;
(3)按键记录;
(4)远程命令执行;
(5)修改替换加密货币钱包地址等。
BunnyLoader使用powershell命令将收集的信息文件压缩为zip文档。然后使用curl将zip文档发送至C2服务器。
处置建议
用户可以利用其C2和AV防护模块来提高网络安全,从而降低潜在风险。为确保最佳保护,用户应及时升级特征库,确保其包含最新安全特征信息。
失陷指标
bbf53c2f20ac95a3bc18ea7575f2344b
dbf727e1effc3631ae634d95a0d88bf3
37[.]139[.]129[.]145转载来源:https://www.ctfiot.com/142036.html
图片来源网络目标可联系删除
