T1047
مدیریت ابزار ویندوز
Windows Management Instrumentationتوضیحات
مهاجمان از Windows Management Instrumentation (WMI) برای اجرای کد مخرب سوءاستفاده میکنند. WMI یک زیرساخت مدیریتی ویندوز است که میتواند برای اجرای دستورات، ایجاد پایداری و حرکت جانبی استفاده شود. WMI به صورت پیشفرض در ویندوز وجود دارد و اغلب توسط ابزارهای مدیریتی قانونی استفاده میشود.
روشهای شناسایی
نظارت بر فراخوانیهای WMI و ایجاد فرآیندهای جدید از طریق WMI. بررسی لاگهای WMI. شناسایی اشتراکهای WMI مشکوک. تحلیل ترافیک شبکه WMI.
روشهای مقابله
محدود کردن دسترسی به WMI. غیرفعال کردن WMI در صورت عدم نیاز. نظارت بر فعالیتهای WMI. استفاده از Windows Firewall برای محدود کردن WMI از راه دور. پیادهسازی حداقل سطح دسترسی.