WMI 事件订阅持久化
WMI 事件订阅持久化 是什么?
WMI 事件订阅持久化一种持久化手法,注册永久 WMI 事件过滤器和消费者,使攻击者代码在指定系统事件发生时被触发。
WMI 事件订阅持久化(MITRE ATT&CK T1546.003)滥用 Windows Management Instrumentation,创建 __EventFilter(包含 WQL 触发条件的查询)、__EventConsumer(执行动作,常用 CommandLineEventConsumer 或 ActiveScriptEventConsumer),以及连接二者的 __FilterToConsumerBinding。一旦写入 root\subscription 命名空间,WMI 服务就会在 SYSTEM 上下文中按触发条件运行消费者,例如登录时、定时、进程启动或插入 USB 等。该技术无文件、跨重启,且被高水平攻击者广泛使用。检测:启用 WMI-Activity 运营/跟踪日志、监控 Sysmon 19/20/21 事件、为订阅建立基线;加固:限制 WMI 命名空间权限并启用 ASR 规则。
● 示例
- 01
CommandLineEventConsumer 在系统启动后运行时间超过 200 秒时启动 PowerShell。
- 02
ActiveScriptEventConsumer 每五分钟执行一次恶意 VBScript。
● 常见问题
WMI 事件订阅持久化 是什么?
一种持久化手法,注册永久 WMI 事件过滤器和消费者,使攻击者代码在指定系统事件发生时被触发。 它属于网络安全的 攻击与威胁 分类。
WMI 事件订阅持久化 是什么意思?
一种持久化手法,注册永久 WMI 事件过滤器和消费者,使攻击者代码在指定系统事件发生时被触发。
如何防御 WMI 事件订阅持久化?
针对 WMI 事件订阅持久化 的防御通常结合技术控制与运营实践,详见上方完整定义。
WMI 事件订阅持久化 还有哪些其他名称?
常见的别称包括: WMI 永久订阅, 永久事件订阅。