Техника на mitre.org

T1546.003: Подписка на события WMI

Злоумышленники могут закрепиться в системе и повысить свои привилегии путем запуска вредоносного содержимого через подписку на события инструментария управления Windows (WMI). WMI можно использовать для установки фильтров, поставщиков и потребителей событий и создания связей между ними, чтобы при наступлении определенного события выполнялся определенный код. Примеры событий, на которые можно подписаться: заданное время на часах машины, вход пользователя в систему, истечение определенного времени непрерывной работы компьютера.

Злоумышленники могут использовать возможности WMI для подписки на событие, чтобы при наступлении этого события выполнялся определенный код для закрепления в системе. Кроме того, с помощью программы mofcomp.exe злоумышленники могут компилировать сценарии WMI в файлы формата MOF (Managed Object Format), которые могут быть использованы для создания вредоносной подписки.

В WMI выполнение действий по наступлению события реализовано через процесс WMI Provider Host (WmiPrvSe.exe) и поэтому может производиться с повышением привилегий до уровня SYSTEM.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_lateral_movement: PT-CR-1095: LiquidSnake_WMI_EventFilter: Обнаружено удаленное использование утилиты LiquidSnake для вредоносных действий с подписками WMI и выполнения кода hacking_tools: PT-CR-2449: WMEye_Event_Filter_Creation: Создан фильтр событий WMI и запущен процесс MSBuild.exe для возможного выполнения полезной нагрузки, записанной в файл с помощью созданного фильтра событий. Это может указывать на использование утилиты WMEye, которая позволяет горизонтально перемещаться на другие узлы инфраструктуры и удаленно выполнять произвольный код hacking_tools: PT-CR-2450: WMEye_Execution: Возможное использование утилиты WMEye, чтобы удаленно выполнить произвольный код и переместиться горизонтально. Утилита WMEye создает фильтр событий WMI, чтобы записать полезную нагрузку в файл и выполнить ее с помощью процесса MSBuild.exe mitre_attck_persistence: PT-CR-2773: WMI_Subscription_Execution: Сработала подписка на событие инструментария управления Windows (WMI). Такая подписка может инициировать выполнение вредоносного кода, что позволит злоумышленникам закрепиться в системе или повысить привилегии mitre_attck_persistence: PT-CR-272: WMI_Subscriptions: Попытка создать или изменить подписки на события инструментария управления Windows (WMI). Такие подписки могут инициировать выполнение вредоносного кода, что позволит злоумышленникам закрепиться в системе или повысить привилегии mitre_attck_persistence: PT-CR-1096: Deserialization_Payload_WMI_Subscription: Обнаружено использование полезной нагрузки в событиях создания подписок WMI mitre_attck_persistence: PT-CR-2774: WMI_Subscription_Creation: Создана подписка на событие инструментария управления Windows (WMI). Такая подписка может инициировать выполнение вредоносного кода, что позволит злоумышленникам закрепиться в системе или повысить привилегии

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для закрепления в системе через WMI, например командлета PowerShell Register-WmiEvent.

IDDS0005Источник и компонент данныхИнструментарий управления Windows (WMI): Создание WMIОписание

Отслеживайте записи подписки на события WMI, сравнивая текущие подписки на события WMI с известными надежными подписками для каждого узла. Кроме того, для обнаружения изменений в WMI, указывающих на попытки закрепления в системе, можно использовать такие инструменты, как Sysinternals Autoruns . Отслеживайте создание новых событий WMI EventFilter, EventConsumer и FilterToConsumerBinding. В Windows 10 при появлении новых событий EventFilterToConsumerBinding регистрируется событие с идентификатором 5861.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте файлы Managed Object Format (MOF), хранящиеся за пределами папки WBEM, указанной в ключе реестра HKLM\SOFTWARE\Microsoft\WBEM. Подавляющее большинство легитимных файлов MOF хранится в этой папке. Злоумышленники могут создавать измененные файлы MOF, чтобы избежать обнаружения через подписки на события инструментария управления Windows (WMI).

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов в результате выполнения подписок (то есть процессов, порождаемых WmiPrvSe.exe).

Примечание. Для настройки оповещений о процессах, запущенных в результате выполнения подписок на события WMI, можно использовать фильтрацию по событиям Windows с идентификатором 4688 (создание нового процесса) и событиям Sysmon с идентификатором 1 (создание процесса), порожденным процессом WmiPrvSe.exe.

Отслеживайте запуск mofcomp.exe в качестве дочернего процесса подозрительной оболочки или утилиты выполнения сценариев (\powershell.exe или \cmd.exe) или с подозрительным путем в командной строке, например %temp%. Злоумышленники могут использовать mofcomp.exe для компиляции модифицированных MOF-файлов с целью создания вредоносных подписок на события WMI.

Меры противодействия

IDM1040НазваниеПредотвращение некорректного поведенияОписание

Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы предотвратить использование WMI вредоносными программами для закрепления в системе.

IDM1018НазваниеУправление учетными записямиОписание

По умолчанию только администраторы могут использовать удаленное подключение с помощью WMI. Установите ограничения для других пользователей, которые могут использовать подключение, или заблокируйте удаленное подключение к WMI для всех пользователей.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Не допускайте дублирования учетных данных администраторов и привилегированных учетных записей в разных системах.