WMI 事件订阅持久化
WMI 事件订阅持久化 是什么?
WMI 事件订阅持久化一种持久化手法,注册永久 WMI 事件过滤器和消费者,使攻击者代码在指定系统事件发生时被触发。
WMI 事件订阅持久化(MITRE ATT&CK T1546.003)滥用 Windows Management Instrumentation,创建 __EventFilter(包含 WQL 触发条件的查询)、__EventConsumer(执行动作,常用 CommandLineEventConsumer 或 ActiveScriptEventConsumer),以及连接二者的 __FilterToConsumerBinding。一旦写入 root\subscription 命名空间,WMI 服务就会在 SYSTEM 上下文中按触发条件运行消费者,例如登录时、定时、进程启动或插入 USB 等。该技术无文件、跨重启,且被高水平攻击者广泛使用。检测:启用 WMI-Activity 运营/跟踪日志、监控 Sysmon 19/20/21 事件、为订阅建立基线;加固:限制 WMI 命名空间权限并启用 ASR 规则。
● 示例
- 01
CommandLineEventConsumer 在系统启动后运行时间超过 200 秒时启动 PowerShell。
- 02
ActiveScriptEventConsumer 每五分钟执行一次恶意 VBScript。
● 常见问题
WMI 事件订阅持久化 是什么?
一种持久化手法,注册永久 WMI 事件过滤器和消费者,使攻击者代码在指定系统事件发生时被触发。 它属于网络安全的 攻击与威胁 分类。
WMI 事件订阅持久化 是什么意思?
一种持久化手法,注册永久 WMI 事件过滤器和消费者,使攻击者代码在指定系统事件发生时被触发。
WMI 事件订阅持久化 是如何工作的?
WMI 事件订阅持久化(MITRE ATT&CK T1546.003)滥用 Windows Management Instrumentation,创建 __EventFilter(包含 WQL 触发条件的查询)、__EventConsumer(执行动作,常用 CommandLineEventConsumer 或 ActiveScriptEventConsumer),以及连接二者的 __FilterToConsumerBinding。一旦写入 root\subscription 命名空间,WMI 服务就会在 SYSTEM 上下文中按触发条件运行消费者,例如登录时、定时、进程启动或插入 USB 等。该技术无文件、跨重启,且被高水平攻击者广泛使用。检测:启用 WMI-Activity 运营/跟踪日志、监控 Sysmon 19/20/21 事件、为订阅建立基线;加固:限制 WMI 命名空间权限并启用 ASR 规则。
如何防御 WMI 事件订阅持久化?
针对 WMI 事件订阅持久化 的防御通常结合技术控制与运营实践,详见上方完整定义。
WMI 事件订阅持久化 还有哪些其他名称?
常见的别称包括: WMI 永久订阅, 永久事件订阅。
● 相关术语
- attacks№ 975
计划任务持久化
一种持久化与执行手法,攻击者创建或修改 Windows 计划任务,使载荷在登录、开机或定时等触发条件下运行。
- attacks№ 914
注册表 Run 键持久化
经典 Windows 持久化技术,在 Run 或 RunOnce 注册表项中添加条目,使二进制或脚本在每次用户登录时执行。
- attacks№ 200
COM 劫持
一种持久化技术,将 Windows 组件对象模型的 CLSID 查找重定向到攻击者代码,只要宿主进程实例化该对象就会执行。
- attacks№ 515
IFEO 注入
一种利用 Windows 注册表 Image File Execution Options 项的持久化与提权技术,只要目标可执行文件启动就会触发攻击者代码。
- attacks№ 054
AppInit_DLLs
Windows 早期持久化技术,通过滥用注册表值,将指定 DLL 加载到所有链接 user32.dll 的用户态进程中。
● 参见
- № 238cron 持久化
- № 608launchd 持久化