# EvilBunny > Tipo: **malware** · S0396 · [MITRE ATT&CK](https://attack.mitre.org/software/S0396) ## Descrição [[s0396-evilbunny|EvilBunny]] é uma amostra de malware escrita em C++ observada desde 2011, projetada para funcionar como plataforma de execução de scripts Lua. A escolha da linguagem Lua como motor de scripts é incomum no cenário de malware e confere ao EvilBunny flexibilidade operacional significativa - os operadores podem atualizar a lógica de ataque simplesmente enviando novos scripts Lua ao C2, sem necessidade de recompilação do binário principal. O EvilBunny realiza múltiplas verificações anti-sandbox antes de revelar sua funcionalidade: verifica o horário do sistema, processos em execução e utiliza chamadas de API nativa para detectar ambientes de análise (T1497.001, T1497.003). Após passar pelas verificações, o malware estabelece persistência via chaves de Run no registro e agenda tarefas para garantir reinício periódico. O C2 utiliza protocolos HTTP padrão para solicitar scripts Lua e enviar resultados de execução. O suporte à execução de scripts Lua, uso de WMI para reconhecimento e exploração de vulnerabilidades de cliente para execução inicial (T1203) fazem do EvilBunny uma plataforma de ataque versátil e adaptável. Embora menos documentado que outros malwares da mesma época, sua arquitetura modular baseada em scripts o torna relevante como exemplo de design orientado a flexibilidade operacional. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1106-native-api|T1106 - Native API]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1059-011-lua|T1059.011 - Lua]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] ## Detecção - Monitorar processos que carregam e executam scripts Lua (lua5x.dll, lua.exe) a partir de contextos não esperados - especialmente fora de aplicações de jogos ou desenvolvimento - Detectar verificações anti-sandbox: chamadas de API como `GetTickCount`, verificação de nome de usuário e hostname, e consultas de tempo do sistema por processos suspeitos (T1497.001, T1497.003) - Alertar sobre tarefas agendadas criadas por processos não-administrativos (T1053.005) combinadas com persistência no registro (T1547.001) - Monitorar exploits de cliente: abertura de documentos ou PDFs que lançam processos filho inesperados (T1203) - Analisar comunicação HTTP de processos não-navegador com User-Agents ou padrões de URI característicos de beaconing malicioso ## Relevância LATAM/Brasil O EvilBunny, embora mais antigo, exemplifica a categoria de malwares com motor de scripts embutido que continua relevante em variantes modernas. Ferramentas com capacidades similares (execução de scripts Lua, Powershell, Python) são utilizadas por múltiplos grupos ativos globalmente. No Brasil, a detecção de processos executando scripts de linguagens interpretadas em contextos incomuns é uma técnica de hunting relevante para qualquer SOC, independente do malware específico, dado que essa abordagem é adotada por grupos que operam na América Latina. ## Referências - [MITRE ATT&CK - S0396](https://attack.mitre.org/software/S0396)