Закрепление через подписку WMI
Что такое Закрепление через подписку WMI?
Закрепление через подписку WMIТехника закрепления, регистрирующая постоянный WMI-фильтр и потребитель события, чтобы код злоумышленника запускался при выбранном системном событии.
Закрепление через подписку WMI (MITRE ATT&CK T1546.003) использует Windows Management Instrumentation: создаются __EventFilter (WQL-запрос с условием срабатывания), __EventConsumer (действие, обычно CommandLineEventConsumer или ActiveScriptEventConsumer) и связывающий их __FilterToConsumerBinding. После записи в пространство имён root\subscription служба WMI выполняет потребитель в контексте SYSTEM при каждом срабатывании фильтра — при входе, по таймеру, при запуске процесса, подключении USB и т. д. Техника бесфайловая, переживает перезагрузки и активно применяется продвинутыми группировками. Обнаружение: журналы WMI-Activity Operational/Trace, события Sysmon 19/20/21, базовая инвентаризация подписок. Усиление: ограничение прав пространства имён WMI и правила ASR.
● Примеры
- 01
CommandLineEventConsumer, запускающий PowerShell, когда время работы системы после загрузки превышает 200 секунд.
- 02
ActiveScriptEventConsumer, исполняющий вредоносный VBScript каждые пять минут.
● Частые вопросы
Что такое Закрепление через подписку WMI?
Техника закрепления, регистрирующая постоянный WMI-фильтр и потребитель события, чтобы код злоумышленника запускался при выбранном системном событии. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Закрепление через подписку WMI?
Техника закрепления, регистрирующая постоянный WMI-фильтр и потребитель события, чтобы код злоумышленника запускался при выбранном системном событии.
Как работает Закрепление через подписку WMI?
Закрепление через подписку WMI (MITRE ATT&CK T1546.003) использует Windows Management Instrumentation: создаются __EventFilter (WQL-запрос с условием срабатывания), __EventConsumer (действие, обычно CommandLineEventConsumer или ActiveScriptEventConsumer) и связывающий их __FilterToConsumerBinding. После записи в пространство имён root\subscription служба WMI выполняет потребитель в контексте SYSTEM при каждом срабатывании фильтра — при входе, по таймеру, при запуске процесса, подключении USB и т. д. Техника бесфайловая, переживает перезагрузки и активно применяется продвинутыми группировками. Обнаружение: журналы WMI-Activity Operational/Trace, события Sysmon 19/20/21, базовая инвентаризация подписок. Усиление: ограничение прав пространства имён WMI и правила ASR.
Как защититься от Закрепление через подписку WMI?
Защита от Закрепление через подписку WMI обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Закрепление через подписку WMI?
Распространённые альтернативные названия: Постоянная подписка WMI, Постоянная подписка на события.
● Связанные термины
- attacks№ 975
Закрепление через запланированные задания
Техника закрепления и исполнения, при которой злоумышленник создаёт или изменяет запланированное задание Windows для запуска пейлоада по триггеру (вход, загрузка, таймер).
- attacks№ 914
Закрепление через раздел Run реестра
Классическая техника закрепления в Windows, добавляющая запись в раздел реестра Run или RunOnce для запуска бинарника или скрипта при каждом входе пользователя.
- attacks№ 200
Перехват COM
Техника закрепления, перенаправляющая разрешение CLSID Windows Component Object Model на код злоумышленника, который выполняется при каждой инстанциации объекта.
- attacks№ 515
Внедрение через IFEO
Техника закрепления и повышения привилегий, использующая раздел реестра Image File Execution Options для запуска кода злоумышленника при старте целевого исполняемого файла.
- attacks№ 054
AppInit_DLLs
Устаревшая техника закрепления в Windows, использующая значение реестра для загрузки указанной DLL в каждый пользовательский процесс, связанный с user32.dll.