关注我们

如何检测并清除WMI持久性后门

网友投稿网友投稿 安全文摘 2018-10-11 506549 0

当前,Windows Management Instrumentation(WMI)事件订阅已经变成了一种非常流行的在端点上建立持久性后门的技术。于是,我决定鼓捣一下Empire的WMI模块,并分析相关的代码,看看能不能清除这些持久化后门。此外,文中还介绍了用于查看和删除WMI事件订阅的一些PowerShell命令。

关于“Windows Management Instrumentation事件订阅”的介绍,可以参考MITRE ATT&CK网站上的相关文章

攻击者可以使用WMI的功能来订阅事件,并在事件发生时执行任意代码,从而在系统上留下持久性后门。

WMI是啥?


WMI是微软为基于Web的企业管理(WBEM)规范提供的一个实现版本,而WBEM则是一项行业计划,旨在开发用于访问企业环境中管理信息的标准技术。WMI使用公共信息模型(CIM)行业标准来表示系统、应用程序、网络、设备和其他托管组件。”

实际上,所谓事件过滤器只不过就是一个WMI类,用于描述WMI向事件使用者传递的事件。于此同时,事件过滤器还给出了WMI传递事件的条件。

配置Sysmon日志记录


我们可以将Sysmon配置为记录WmiEventFilter、WmiEventConsumerWmiEventConsumerToFilter等活动,并启用WMI滥用检测。

如何检测并清除WMI持久性后门@Cyb3rWard0g)的Sysmon配置文件可以捕获上述事件ID。

为此,可以执行以下命令来安装Sysmon,并启用相关的配置文件。

sysmon.exe -i -c .\config_file.xml

建立持久性后门


下面,让我们使用Empire提供的Invoke-WMI模块来创建一个永久的WMI订阅,使其能够常驻受害者端点。

如何检测并清除WMI持久性后门Autoruns,并选择WMI选项卡,这样就可以查找与WMI相关的持久性后门了。

如何检测并清除WMI持久性后门@proxb)在他的博客上对这些命令给出了详细的解释。

# Reviewing WMI Subscriptions using Get-WMIObject# Event FilterGet-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter “Name=’Updater’”# Event ConsumerGet-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter “Name=’Updater’”# BindingGet-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter “__Path LIKE ‘%Updater%’”

下面,我们使用Remove-WMIObject命令来删除WMI持久性后门的所有组件。

# Removing WMI Subscriptions using Remove-WMIObject# Event FilterGet-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter “Name=’Updater’” | Remove-WmiObject -Verbose# Event ConsumerGet-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter “Name=’Updater’” | Remove-WmiObject -Verbose# BindingGet-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter “__Path LIKE ‘%Updater%’” | Remove-WmiObject -Verbose

如何检测并清除WMI持久性后门

删除WMI事件订阅

再次运行Autoruns命令,以验证是否已删除相应的持久性后门。

如何检测并清除WMI持久性后门

版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除
E-Mail:server@heibai.org

喜欢0发布评论

评论列表

发表评论

  • 昵称(必填)
  • 邮箱
  • 网址