Persistencia por suscripción a eventos WMI.

Técnica de persistencia que registra un filtro y un consumidor permanentes de eventos WMI para que el código del atacante se ejecute cuando ocurra un evento del sistema. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.

Técnica de persistencia que registra un filtro y un consumidor permanentes de eventos WMI para que el código del atacante se ejecute cuando ocurra un evento del sistema.

La persistencia por eventos WMI (MITRE ATT&CK T1546.003) abusa de Windows Management Instrumentation creando un __EventFilter (consulta WQL con la condición de disparo), un __EventConsumer (la acción, típicamente CommandLineEventConsumer o ActiveScriptEventConsumer) y un __FilterToConsumerBinding que los enlaza. Una vez escrita en el namespace root\subscription, el servicio WMI ejecuta el consumidor en contexto SYSTEM cada vez que se cumple el filtro: al iniciar sesión, por temporizador, al arrancar un proceso, al insertar un USB, etc. Es una técnica sin fichero, persistente tras reinicio y muy usada por actores avanzados. Detección: habilitar WMI-Activity Operational/Trace, monitorizar Sysmon 19/20/21, hacer baseline de suscripciones. Endurecimiento: restringir permisos del namespace WMI y aplicar reglas ASR.

Las defensas contra Persistencia por suscripción a eventos WMI combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

Nombres alternativos comunes: Suscripción WMI permanente, Suscripción permanente a eventos.