JavaScript 2
Node.js를 활용하는 Lu0Bot 악성코드

최근 SFX 압축 파일 형태로 유포되는 “Lu0Bot” 악성코드가 발견됐다. 해당 악성코드는 C&C 서버의 명령을 받아 동작하는 봇 악성코드이며, Node.js 인터프리터와 암호화된 JavaScript를 포함하고 있다. “Lu0Bot”을 실행하면, 스스로 압축을 해제 후 Node.js를 사용해 암호화된 JavaScript를 복호화 및 실행한다. Node.js는 플랫폼에 구애 받지 않고 JavaScript 코드를 실행할 수 있게 해주는 프로그램으로 다양한 기능을 지원하는 라이브러리를 내장하고 있기 때문에 “Lu0Bot”은 별도의 외부 소스 없이 다양한 동작을 수행할 수 있다. 다만, 현재 해당 악성코드는 PE 파일로 유포되고 있어 Windows에서만 실행되지만, Node.js의 활용은 Linux 등의 다른..
분석 정보/악성코드 분석 정보 2023.11.01

파일리스 공격 방식을 사용하는 DarkWatchman 악성코드

최근 자바스크립트로 작성한 "DarkWatchman" 악성코드가 발견됐다. 해당 악성코드는 공격자가 운영하는 C&C 서버에서 명령을 받아 사용자 PC를 조작하며, 키로거 악성코드를 실행해 사용자가 키보드로 입력한 값을 수집 및 공격자에게 전송한다. "DarkWatchman" 악성코드의 유포 및 실행 과정은 [그림 1]과 같이 진행한다. 1. 공격자는 악성파일을 첨부한 메일을 사용자에게 보내 첨부 파일의 다운로드를 유도한다. 2. 사용자가 첨부 파일을 다운로드 한 후, 압축을 해제하면 WinRAR SFX 형태의 압축 파일을 생성한다. 3. 압축 해제 후 생성한 실행 파일을 실행하면 자바스크립트로 작성한 “DarkWatchman” 악성코드를 실행한다. 4. “DarkWatchman” 악성코드는 키로거 파일의..
분석 정보/악성코드 분석 정보 2021.12.29
1
더보기

티스토리툴바