Закрепление через подписку WMI
Что такое Закрепление через подписку WMI?
Закрепление через подписку WMIТехника закрепления, регистрирующая постоянный WMI-фильтр и потребитель события, чтобы код злоумышленника запускался при выбранном системном событии.
Закрепление через подписку WMI (MITRE ATT&CK T1546.003) использует Windows Management Instrumentation: создаются __EventFilter (WQL-запрос с условием срабатывания), __EventConsumer (действие, обычно CommandLineEventConsumer или ActiveScriptEventConsumer) и связывающий их __FilterToConsumerBinding. После записи в пространство имён root\subscription служба WMI выполняет потребитель в контексте SYSTEM при каждом срабатывании фильтра — при входе, по таймеру, при запуске процесса, подключении USB и т. д. Техника бесфайловая, переживает перезагрузки и активно применяется продвинутыми группировками. Обнаружение: журналы WMI-Activity Operational/Trace, события Sysmon 19/20/21, базовая инвентаризация подписок. Усиление: ограничение прав пространства имён WMI и правила ASR.
● Примеры
- 01
CommandLineEventConsumer, запускающий PowerShell, когда время работы системы после загрузки превышает 200 секунд.
- 02
ActiveScriptEventConsumer, исполняющий вредоносный VBScript каждые пять минут.
● Частые вопросы
Что такое Закрепление через подписку WMI?
Техника закрепления, регистрирующая постоянный WMI-фильтр и потребитель события, чтобы код злоумышленника запускался при выбранном системном событии. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Закрепление через подписку WMI?
Техника закрепления, регистрирующая постоянный WMI-фильтр и потребитель события, чтобы код злоумышленника запускался при выбранном системном событии.
Как защититься от Закрепление через подписку WMI?
Защита от Закрепление через подписку WMI обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Закрепление через подписку WMI?
Распространённые альтернативные названия: Постоянная подписка WMI, Постоянная подписка на события.