サイバーセキュリティ研究者は、脅威アクターがWindows Management Instrumentation(WMI)を利用して侵害されたシステムに永続的なアクセスを確立する傾向が増加していることを発見しました。
システムモニタリングと自動化のためのWindows組み込みコンポーネントであるWMIは、攻撃者が明白なスタートアップフォルダ、サービス、またはスケジュール済みタスクに依存せずに静かにコマンドを実行することを可能にします。
この技術はWMIのイベントサブスクリプション機能を活用し、ユーザーログオンやシステム起動などのイベント時にペイロードを自動的にトリガーします。
従来の永続化方法と異なり、一般的な場所に疑わしいファイルを残さないため、ステルス操作のお気に入りとなっています。
Officialwhyte22の投稿によると、攻撃者はWMIの基本設計を悪用して通常のシステム動作に溶け込ませます。WMIはオペレーティングシステムのインフラストラクチャ内で動作し、注意を引くことなくハードウェア、ソフトウェア、およびネットワーク状態をクエリします。
悪意のある行為者は、WMIリポジトリ内、特にroot\subscriptionネームスペースにイベントフィルター、コンシューマ、およびバインディングを作成してコマンド実行を自動化します。
例えば、イベントフィルターはログオンセッションイベントを監視し、任意のPowerShellスクリプトまたはバイナリを実行するコンシューマーにリンクする場合があります。
このセットアップにより、条件が一致する場合にのみペイロードが活性化され、スタートアップディレクトリをスキャンする基本的なエンドポイント検出ツールを回避します。
Microsoft SecurityやMITRE ATT&CK(T1546.003)などのソースからの最近の脅威インテリジェンスは、その使用をランサムウェアキャンペーンとAPT侵入で強調しています。ハッカーはレッドチーム演習でもこれを好みます。再起動と基本的なAVスキャンから生き残るためです。
疑わしいエントリは、奇妙な名前、埋め込まれたコマンド、またはWin32_LogonSessionを介したユーザーログオンとの関連を通じて自らを明かします。
軽減策は積極的なハードニングを要求します。組織はグループポリシーを介してWMIを制限し、winmgmt /resyncperfまたは疑わしいコンシューマーをブロックするAppLockerルールを使用して永続的なイベントサブスクリプションを無効にする必要があります。
イベントビューアーのセキュリティログでWMI監査を有効にし、WMI監視用のEDRソリューションをデプロイしてください。
wmic /namespace:\\root\subscription path __EventFilter deleteによる定期的なスキャンは異常を削除できますが、悪用を検出するための動作分析と組み合わせてください。
このWMI戦術は、攻撃者の手に落ちたネイティブOS機能のリスクを強調しています。Windowsエコシステムが企業とクラウド設定で拡大するにつれて、ディフェンダーは表面的なチェックよりもリポジトリフォレンジックスを優先する必要があります。
先手を維持するには、脅威ハンティングとポリシーコントロールをブレンドしてこれらのサイレント足がかりを破壊する必要があります。
翻訳元: https://cyberpress.org/hackers-abuse-windows-management/