.png "Flu Project")
XML Reader
XML Reader
Versión: 0.1B
Objetivo: poder ejecutar instrucciones como si estuviéramos físicamente en la márquina remota. Además de este modo se puede saltar por defecto los Firewalls, ya que es tráfico saliente el que se genera y se realiza una petición a un servidor web por puerto 80.
Descripción: XML Reader es un módulo el cual permite a Flu, o al ejecutable de infección, cargar un fichero XML que se pide a través de una petición HTTP. Simplemente, este módulo realizará la petición a un servidor web que el atacante tiene en Internet o una máquina privada del atacante que contiene un servidor web. En este servidor web el atacante tendrá configurado un fichero XML con las órdenes a ejecutar en la máquina infectada.
La estructura del fichero XML es la siguiente:
- Raíz del documento, Instructions. Este bloque da comienzo al fichero XML y cierra el contenido del fichero. Dentro de este bloque nos encontramos con la versión del fichero XML, y la instrucción/es a ejecutar.
- Version. Esta etiqueta especifica el número de versión del documento. Esto es necesario porque Flu carga el fichero XML cada cierto intervalo de tiempo especificado en su código. Entonces, para que Flu no ejecute instrucciones pasadas, se da un tiempo al atacante para cambiar las órdenes ejecutadas por otras, y para que Flu detecte que el número de versión del fichero ha cambiado por lo que debe ejecutar las nuevas órdenes. Es necesario que sea el atacante el que cambie el número de versión para que Flu ejecute las nuevas órdenes.
- Instruction. Esta etiqueta especifica la instrucción a ejecutar. Puede haber más (muchas más) de una etiqueta Instruction. Esta etiqueta tiene 2 atributos, type y argumento, el primero alberga el comando a ejecutar en el equipo remoto, y el segundo, contiene los distintos argumentos que puede recibir el comando.
Ejemplo de fichero XML:
<?xml version="1.0"?> <instructions> <version num="12" /> <instruction type="arp" argumento="-a" /> <instruction type="cmd" argumento="/c ver" /> <instruction type="cmd" argumento="/c dir c:\Users" /> </instructions>
