T1546.003

اشتراک رویداد WMI

Windows Management Instrumentation Event Subscription

توضیحات

مهاجمان از اشتراک رویداد WMI برای اجرای کد مخرب در پاسخ به رویدادهای سیستم استفاده می‌کنند. WMI Event Subscription شامل سه کامپوننت است: EventFilter، EventConsumer و FilterToConsumerBinding. این تکنیک می‌تواند برای اجرای کد بدون فایل (fileless) استفاده شود.

روش‌های شناسایی

نظارت بر ایجاد WMI Event Subscription. بررسی EventFilter و EventConsumer‌های موجود. شناسایی اشتراک‌های WMI مشکوک. تحلیل لاگ‌های WMI.

روش‌های مقابله

نظارت بر WMI Event Subscription. محدود کردن دسترسی به WMI. بررسی منظم اشتراک‌های WMI. استفاده از Windows Defender. پیاده‌سازی حداقل سطح دسترسی.

تکنیک اصلی

T1546Event Triggered Execution

اجرای مبتنی بر رویداد

مهاجمان مکانیزم‌های اجرای مبتنی بر رویداد را برای ایجاد پایداری پیکربندی می‌کنند. این تکنیک شامل تغییر تنظیماتی است که باعث می‌شود کد مخرب در پاسخ به رویدادهای خاص سیستم اجرا شود. رویدادهایی مانند ورود کاربر، تغییر فایل یا رویدادهای WMI می‌توانند اجرای کد مخرب را آغاز کنند.

سایر زیرتکنیک‌ها (3)

T1546.008 · ویژگی‌های دسترسی‌پذیری T1546.011 · Application Shimming T1546.015 · ربودن Component Object Model