Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1382

Persistência por subscrição de eventos WMI

Revisado porCybersecurity entrepreneur & security researcher

O que é Persistência por subscrição de eventos WMI?

Persistência por subscrição de eventos WMITécnica de persistência que regista um filtro e um consumidor permanentes de eventos WMI para executar código do atacante quando ocorre um evento do sistema escolhido.


A persistência por eventos WMI (MITRE ATT&CK T1546.003) abusa do Windows Management Instrumentation criando um __EventFilter (consulta WQL com a condição de disparo), um __EventConsumer (ação, normalmente CommandLineEventConsumer ou ActiveScriptEventConsumer) e um __FilterToConsumerBinding que os liga. Uma vez gravados no namespace root\subscription, o serviço WMI executa o consumidor em contexto SYSTEM sempre que o filtro dispara: no logon, por temporizador, no arranque de um processo, ao inserir um USB, etc. É fileless, sobrevive a reinícios e é muito usada por atacantes avançados. Deteção: ativar WMI-Activity Operational/Trace, monitorizar Sysmon 19/20/21 e baseline de subscrições. Endurecimento: restringir permissões do namespace WMI e aplicar regras ASR.

Exemplos

  1. 01

    CommandLineEventConsumer que lança PowerShell quando o uptime ultrapassa 200 segundos após o arranque.

  2. 02

    ActiveScriptEventConsumer que executa VBScript malicioso a cada cinco minutos.

Perguntas frequentes

O que é Persistência por subscrição de eventos WMI?

Técnica de persistência que regista um filtro e um consumidor permanentes de eventos WMI para executar código do atacante quando ocorre um evento do sistema escolhido. Pertence à categoria Ataques e ameaças da cibersegurança.

O que significa Persistência por subscrição de eventos WMI?

Técnica de persistência que regista um filtro e um consumidor permanentes de eventos WMI para executar código do atacante quando ocorre um evento do sistema escolhido.

Como se defender contra Persistência por subscrição de eventos WMI?

As defesas contra Persistência por subscrição de eventos WMI costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para Persistência por subscrição de eventos WMI?

Nomes alternativos comuns: Subscrição WMI permanente, Subscrição permanente de eventos.

Termos relacionados

Ver também