Anti-VM Technique with MSAcpi_ThermalZoneTemperature

Recientemente se ha dado a conocer un método de comprobación Anti-WM muy peculiar, aunque efectivo. La comprobación del parámetro de temperatura del Host. Para esto se utiliza WMI puntualmente la clase Win32_TemperatureProbe, el encabezado del objeto es el siguiente;

[Dynamic, Provider(“CIMWin32”), UUID(“{464FFABB-946F-11d2-AAE2-006008C78BC7}”), AMENDMENT]
class Win32_TemperatureProbe : CIM_TemperatureSensor
{

command: wmic /namespace:\\root\WMI path MSAcpi_ThermalZoneTemperature get CurrentTemperature

En los entornos virtuales este resultado va a diferir advirtiendo la imposibilidad de ejecutar la totalidad del comando.

Para conocer y leer todo el concepto puede acceder desde aquí la PoC y el código en PS lo podrán encontrar aquí

Estos comandos permiten ser ejecutado con técnicas combinadas de Ofuscación en Bas64 . (powershell ofuscados, inyectar las consultas WMI vía dll’s o LNK’s previa aperturas de conhost.exe o cmd.exe).

Existen excelente referencias de como utilizar estos modelos , en el blog de Mike F Robbins se pueden encontrar funciones simples en Base64. Adelantaremos en otras publicaciones ejemplos puntuales.

Autor: malwargsecurity

malwargsecurity un proyecto personal, sin fines de lucro y para la comunidad.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s