اشتراک رویداد WMI
Windows Management Instrumentation Event Subscriptionتوضیحات
مهاجمان از اشتراک رویداد WMI برای اجرای کد مخرب در پاسخ به رویدادهای سیستم استفاده میکنند. WMI Event Subscription شامل سه کامپوننت است: EventFilter، EventConsumer و FilterToConsumerBinding. این تکنیک میتواند برای اجرای کد بدون فایل (fileless) استفاده شود.
روشهای شناسایی
نظارت بر ایجاد WMI Event Subscription. بررسی EventFilter و EventConsumerهای موجود. شناسایی اشتراکهای WMI مشکوک. تحلیل لاگهای WMI.
روشهای مقابله
نظارت بر WMI Event Subscription. محدود کردن دسترسی به WMI. بررسی منظم اشتراکهای WMI. استفاده از Windows Defender. پیادهسازی حداقل سطح دسترسی.
تکنیک اصلی
اجرای مبتنی بر رویداد
مهاجمان مکانیزمهای اجرای مبتنی بر رویداد را برای ایجاد پایداری پیکربندی میکنند. این تکنیک شامل تغییر تنظیماتی است که باعث میشود کد مخرب در پاسخ به رویدادهای خاص سیستم اجرا شود. رویدادهایی مانند ورود کاربر، تغییر فایل یا رویدادهای WMI میتوانند اجرای کد مخرب را آغاز کنند.