Recientemente se ha dado a conocer un método de comprobación Anti-WM muy peculiar, aunque efectivo. La comprobación del parámetro de temperatura del Host. Para esto se utiliza WMI puntualmente la clase Win32_TemperatureProbe, el encabezado del objeto es el siguiente;
[Dynamic, Provider(«CIMWin32»), UUID(«{464FFABB-946F-11d2-AAE2-006008C78BC7}»), AMENDMENT]
class Win32_TemperatureProbe : CIM_TemperatureSensor
{
En los entornos virtuales este resultado va a diferir advirtiendo la imposibilidad de ejecutar la totalidad del comando.
Para conocer y leer todo el concepto puede acceder desde aquí la PoC y el código en PS lo podrán encontrar aquí
Estos comandos permiten ser ejecutado con técnicas combinadas de Ofuscación en Bas64 . (powershell ofuscados, inyectar las consultas WMI vía dll’s o LNK’s previa aperturas de conhost.exe o cmd.exe).
Existen excelente referencias de como utilizar estos modelos , en el blog de Mike F Robbins se pueden encontrar funciones simples en Base64. Adelantaremos en otras publicaciones ejemplos puntuales.
MalwArgSecurity 