PowerShell ayuda a la interacción y consultas mediante WMI. Es por esto, que Flu puede aprovecharse de este hecho para obtener información interesante de una máquina Windows 7 infectada con el troyano. Además, se ha podido comprobar que en máquinas con Windows 8 también es totalmente funcional, por lo que la nueva generación de sistemas operativos Microsoft también tendrán a este simpático troyano educativo en sus interiores...
En primer lugar, vemos que máquinas se encuentran conectadas al panel de administración de Flu. En la imagen se puede visualizar como se encuentra una máquina conectada al panel.
Abrimos la shell dirigida a ese equipo y vamos a indicarle que queremos utilizar una powershell para lanzar las órdenes que nosotros queramos. Utilizaremos cmdlets de PowerShell que son utilizados para el manejo de WMI. En la siguiente imagen se puede visualizar como se obtienen datos de la BIOS de la máquina víctima. En este caso, la máquina víctima es una virtual box, por lo que Flu está siendo ejecutado en una máquina virtual. Otra manera de visualizar si es una máquina virtual, sería listando los procesos y buscar el proceso clásico de las virtual box, vmware, etc.
También, podemos obtener información sobre el equipo de la víctima a través de la siguiente consulta WMI, con la que, entre otras cosas, se puede obtener el dominio del equipo, el fabricante, el usuario primario, memoria física del equipo, etcétera.
También se puede obtener una lista de revisiones instaladas en el equipo. Este comando es interesante para visualizar como el usuario está cuidando la seguridad del equipo y si el sistema operativo se encuentra actualizado o no.
Seguiremos contando más acciones que realizar desde la shell dirigida o global de Flu. La posibilidad de que Flu utilice PowerShell, que posiblemente es la línea de comandos más avanzada del mundo, ayuda a este troyano a multiplicar su potencial.
No hay comentarios:
Publicar un comentario