ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1084

术语表: /attack/glossary

Windows 管理规范事件订阅

可以使用 Windows 管理规范(WMI)安装在发生定义事件时执行代码的事件过滤器,提供程序,使用程序和绑定程序。­攻击者可以使用 WMI 的功能来订阅事件并在事件发生时执行任意代码,从而在系统上获得持久性。攻击者可能会试图通过编译 WMI 脚本来规避对此技术的检测。可订阅的事件示例有挂钟时间或计算机的正常运行时间。据报道,一些威胁组织使用这种技术来维持持久性。

缓解

禁用 WMI 服务可能会导致系统不稳定,应评估其对网络的影响。 默认情况下,只有管理员可以使用 WMI 远程连接;限制允许连接的其他用户,或禁止所有用户远程连接到 WMI。 防止管理员和特权帐户系统之间的凭据重叠。

检测

监视 WMI 事件订阅条目,将当前 WMI 事件订阅与每个主机的已知良好订阅进行比较。 诸如 Sysinternals Autoruns 之类的工具也可以用于检测尝试建立持久性导致的 WMI 更改。