Persistance par souscription d'événement WMI.

Technique de persistance qui enregistre un filtre et un consommateur d'événements WMI permanents pour exécuter du code attaquant lors d'un événement système choisi. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.

Technique de persistance qui enregistre un filtre et un consommateur d'événements WMI permanents pour exécuter du code attaquant lors d'un événement système choisi.

La persistance par souscription WMI (MITRE ATT&CK T1546.003) abuse de Windows Management Instrumentation en créant un __EventFilter (requête WQL définissant la condition de déclenchement), un __EventConsumer (l'action, typiquement CommandLineEventConsumer ou ActiveScriptEventConsumer) et un __FilterToConsumerBinding reliant les deux. Une fois écrite dans l'espace de noms root\subscription, le service WMI exécute le consommateur en contexte SYSTEM dès que le filtre se déclenche : à l'ouverture de session, par minuterie, au lancement d'un processus, à l'insertion d'une clé USB, etc. La technique est fileless, persiste aux redémarrages et est très utilisée par les attaquants avancés. Détection : activer les logs WMI-Activity, surveiller Sysmon 19/20/21, baseline des souscriptions. Durcissement : restreindre les permissions du namespace WMI et appliquer les règles ASR.

Les défenses contre Persistance par souscription d'événement WMI combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Souscription WMI permanente, Souscription d'événement permanente.