Persistência por subscrição de eventos WMI
O que é Persistência por subscrição de eventos WMI?
Persistência por subscrição de eventos WMITécnica de persistência que regista um filtro e um consumidor permanentes de eventos WMI para executar código do atacante quando ocorre um evento do sistema escolhido.
A persistência por eventos WMI (MITRE ATT&CK T1546.003) abusa do Windows Management Instrumentation criando um __EventFilter (consulta WQL com a condição de disparo), um __EventConsumer (ação, normalmente CommandLineEventConsumer ou ActiveScriptEventConsumer) e um __FilterToConsumerBinding que os liga. Uma vez gravados no namespace root\subscription, o serviço WMI executa o consumidor em contexto SYSTEM sempre que o filtro dispara: no logon, por temporizador, no arranque de um processo, ao inserir um USB, etc. É fileless, sobrevive a reinícios e é muito usada por atacantes avançados. Deteção: ativar WMI-Activity Operational/Trace, monitorizar Sysmon 19/20/21 e baseline de subscrições. Endurecimento: restringir permissões do namespace WMI e aplicar regras ASR.
● Exemplos
- 01
CommandLineEventConsumer que lança PowerShell quando o uptime ultrapassa 200 segundos após o arranque.
- 02
ActiveScriptEventConsumer que executa VBScript malicioso a cada cinco minutos.
● Perguntas frequentes
O que é Persistência por subscrição de eventos WMI?
Técnica de persistência que regista um filtro e um consumidor permanentes de eventos WMI para executar código do atacante quando ocorre um evento do sistema escolhido. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Persistência por subscrição de eventos WMI?
Técnica de persistência que regista um filtro e um consumidor permanentes de eventos WMI para executar código do atacante quando ocorre um evento do sistema escolhido.
Como funciona Persistência por subscrição de eventos WMI?
A persistência por eventos WMI (MITRE ATT&CK T1546.003) abusa do Windows Management Instrumentation criando um __EventFilter (consulta WQL com a condição de disparo), um __EventConsumer (ação, normalmente CommandLineEventConsumer ou ActiveScriptEventConsumer) e um __FilterToConsumerBinding que os liga. Uma vez gravados no namespace root\subscription, o serviço WMI executa o consumidor em contexto SYSTEM sempre que o filtro dispara: no logon, por temporizador, no arranque de um processo, ao inserir um USB, etc. É fileless, sobrevive a reinícios e é muito usada por atacantes avançados. Deteção: ativar WMI-Activity Operational/Trace, monitorizar Sysmon 19/20/21 e baseline de subscrições. Endurecimento: restringir permissões do namespace WMI e aplicar regras ASR.
Como se defender contra Persistência por subscrição de eventos WMI?
As defesas contra Persistência por subscrição de eventos WMI costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Persistência por subscrição de eventos WMI?
Nomes alternativos comuns: Subscrição WMI permanente, Subscrição permanente de eventos.
● Termos relacionados
- attacks№ 975
Persistência por tarefa agendada
Técnica de persistência e execução em que o atacante cria ou altera uma tarefa agendada do Windows para executar o seu payload com base num gatilho (logon, arranque, temporizador).
- attacks№ 914
Persistência por chave Run do registo
Técnica clássica de persistência do Windows que adiciona uma entrada numa chave Run ou RunOnce do registo para executar um binário ou script sempre que o utilizador inicia sessão.
- attacks№ 200
Sequestro COM
Técnica de persistência que redireciona a resolução de um CLSID do Component Object Model do Windows para código do atacante, executado sempre que o objeto é instanciado.
- attacks№ 515
Injeção IFEO
Técnica de persistência e elevação de privilégios que abusa da chave de registo Image File Execution Options do Windows para executar código quando um executável-alvo é iniciado.
- attacks№ 054
AppInit_DLLs
Técnica legada de persistência no Windows que abusa de um valor do registo para carregar uma DLL específica em todos os processos de utilizador que ligam ao user32.dll.