WMI-Event-Subscription-Persistenz
Was ist WMI-Event-Subscription-Persistenz?
WMI-Event-Subscription-PersistenzPersistenztechnik, die einen permanenten WMI-Event-Filter und -Consumer registriert, sodass Angreifercode bei einem definierten Systemereignis ausgeführt wird.
WMI-Event-Subscription-Persistenz (MITRE ATT&CK T1546.003) missbraucht Windows Management Instrumentation: Erstellt werden ein __EventFilter (WQL-Abfrage als Triggerbedingung), ein __EventConsumer (die Aktion, meist CommandLineEventConsumer oder ActiveScriptEventConsumer) sowie ein __FilterToConsumerBinding. Im Namespace root\subscription gespeichert, führt der WMI-Dienst den Consumer im SYSTEM-Kontext aus, sobald der Filter zutrifft – beim Logon, per Timer, bei Prozessstart, beim Einstecken eines USB-Sticks usw. Die Technik ist fileless, übersteht Neustarts und wird von versierten Angreifern intensiv genutzt. Detektion: WMI-Activity Operational/Trace aktivieren, Sysmon 19/20/21 überwachen, Subscriptions baselinen. Härtung: WMI-Namespace-Rechte einschränken, ASR-Regeln nutzen.
● Beispiele
- 01
CommandLineEventConsumer startet PowerShell, sobald die Systemlaufzeit nach Boot 200 Sekunden überschreitet.
- 02
ActiveScriptEventConsumer führt alle fünf Minuten ein bösartiges VBScript aus.
● Häufige Fragen
Was ist WMI-Event-Subscription-Persistenz?
Persistenztechnik, die einen permanenten WMI-Event-Filter und -Consumer registriert, sodass Angreifercode bei einem definierten Systemereignis ausgeführt wird. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet WMI-Event-Subscription-Persistenz?
Persistenztechnik, die einen permanenten WMI-Event-Filter und -Consumer registriert, sodass Angreifercode bei einem definierten Systemereignis ausgeführt wird.
Wie funktioniert WMI-Event-Subscription-Persistenz?
WMI-Event-Subscription-Persistenz (MITRE ATT&CK T1546.003) missbraucht Windows Management Instrumentation: Erstellt werden ein __EventFilter (WQL-Abfrage als Triggerbedingung), ein __EventConsumer (die Aktion, meist CommandLineEventConsumer oder ActiveScriptEventConsumer) sowie ein __FilterToConsumerBinding. Im Namespace root\subscription gespeichert, führt der WMI-Dienst den Consumer im SYSTEM-Kontext aus, sobald der Filter zutrifft – beim Logon, per Timer, bei Prozessstart, beim Einstecken eines USB-Sticks usw. Die Technik ist fileless, übersteht Neustarts und wird von versierten Angreifern intensiv genutzt. Detektion: WMI-Activity Operational/Trace aktivieren, Sysmon 19/20/21 überwachen, Subscriptions baselinen. Härtung: WMI-Namespace-Rechte einschränken, ASR-Regeln nutzen.
Wie schützt man sich gegen WMI-Event-Subscription-Persistenz?
Schutzmaßnahmen gegen WMI-Event-Subscription-Persistenz kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für WMI-Event-Subscription-Persistenz?
Übliche alternative Bezeichnungen: Permanente WMI-Subscription, Permanente Event-Subscription.
● Verwandte Begriffe
- attacks№ 975
Geplante-Aufgaben-Persistenz
Persistenz- und Ausführungstechnik, bei der ein Angreifer eine Windows-Aufgabenplanungs-Aufgabe anlegt oder ändert, um sein Payload bei Logon, Boot oder Timer auszuführen.
- attacks№ 914
Run-Schlüssel-Persistenz
Klassische Windows-Persistenztechnik, die einen Eintrag unter einem Run- oder RunOnce-Registry-Schlüssel anlegt, damit ein Binary oder Skript bei jedem Logon ausgeführt wird.
- attacks№ 200
COM-Hijacking
Persistenztechnik, die die CLSID-Auflösung des Windows Component Object Model auf Angreifercode umleitet und diesen bei jeder Objektinstanziierung ausführt.
- attacks№ 515
IFEO-Injection
Persistenz- und Privilegieneskalationstechnik, die den Windows-Registry-Schlüssel Image File Execution Options missbraucht, um beim Start eines Ziel-Executables Angreifercode auszuführen.
- attacks№ 054
AppInit_DLLs
Legacy-Windows-Persistenztechnik, die einen Registry-Wert missbraucht, damit eine angegebene DLL in jeden Benutzerprozess geladen wird, der user32.dll bindet.
● Siehe auch
- № 238Cron-Persistenz
- № 608launchd-Persistenz