Event Subscription WMI: Windows Management Instrumentation Event Subscription (T1546.003)

Per comprendere la potenza di questa tecnica, iniziamo creando un event subscription WMI persistente. Il comando PowerShell seguente stabilisce un consumer che esegue calc.exe ogni volta che notepad.exe viene avviato:

$FilterArgs = @{Name="TestFilter"; EventNameSpace="root\cimv2"; QueryLanguage="WQL"; Query="SELECT * FROM Win32_ProcessStartTrace WHERE ProcessName='notepad.exe'"}

$Filter = New-CimInstance -Namespace root/subscription -ClassName __EventFilter -Property $FilterArgs

La creazione del consumer CommandLineEventConsumer richiede privilegi amministrativi. Questo consumer può eseguire qualsiasi comando con privilegi SYSTEM:

$ConsumerArgs = @{Name="TestConsumer"; CommandLineTemplate="C:\Windows\System32\calc.exe"}

$Consumer = New-CimInstance -Namespace root/subscription -ClassName CommandLineEventConsumer -Property $ConsumerArgs

Il binding finale collega filtro e consumer. Una volta stabilito, persiste attraverso i riavvii del sistema:

$BindingArgs = @{Filter=[Ref]$Filter; Consumer=[Ref]$Consumer}

New-CimInstance -Namespace root/subscription -ClassName __FilterToConsumerBinding -Property $BindingArgs

Per un approccio più furtivo, Blue Mockingbird ha dimostrato l'uso di file MOF compilati. Crea un file persistence.mof con il seguente contenuto, poi compilalo con mofcomp.exe persistence.mof. Questo metodo bypassa molti controlli di sicurezza tradizionali.

La rimozione richiede l'eliminazione di tutti e tre i componenti nell'ordine corretto: prima il binding, poi consumer e filtro. Tools come PoshC2 e SILENTTRINITY automatizzano questo processo fornendo moduli pre-configurati per la persistenza WMI.

La detection efficace richiede visibilità su molteplici data source. Gli eventi WMI vengono registrati nel canale Microsoft-Windows-WMI-Activity/Operational con EventCode specifici da monitorare.

L'EventCode 5861 indica la creazione di un nuovo consumer permanente. Correla questo evento con processi figli anomali di WmiPrvSE.exe per identificare esecuzioni sospette. La query Splunk seguente cattura questa correlazione:

*index=windows EventCode=5861 | join type=inner host [search index=windows parent_process="WmiPrvSE.exe" | where process_name!="wmiprvse.exe"]

Sysmon fornisce visibilità granulare con l'Event ID 19-21 per WMI Event Filtering. Configura il sysmon-config.xml per catturare tutti gli eventi WMI, non solo quelli sospetti. APT29 durante SolarWinds Compromise ha utilizzato nomi consumer apparentemente legittimi.

Il monitoraggio di mofcomp.exe è critico. Qualsiasi esecuzione di questo binario in contesti non-system administration dovrebbe generare un alert immediato. La detection rule deve includere:

• Parent process anomalo per mofcomp.exe
• Argomenti command line contenenti percorsi temporanei
• Esecuzione da account non amministrativi

I falsi positivi derivano principalmente da software di gestione IT legittimo. Mantieni una baseline dei consumer WMI autorizzati nel tuo ambiente e allerta su qualsiasi deviazione. La temporal correlation tra creazione WMI e esecuzione del payload può variare da immediata a giorni, rendendo essenziale la retention dei log WMI.

Gli artefatti WMI persistono nel repository CIM situato in C:\Windows\System32\wbem\Repository. Questo database contiene tutti gli oggetti WMI inclusi filtri, consumer e binding malevoli. L'analisi richiede parsing specializzato del formato proprietario.

Il file C:\Windows\System32\wbem\Logs\wmitracing.log registra operazioni WMI dettagliate. Turla lascia tracce caratteristiche nei log quando registra i propri event consumer. Cerca timestamp di creazione oggetti WMI che coincidono con altri IOC dell'intrusione.

La ricostruzione della timeline beneficia dell'analisi dei Prefetch files. WmiPrvSE.exe genererà entries prefetch quando esegue payload, fornendo timestamp precisi di esecuzione. Correla questi con:

• Registry entries in HKLM\SOFTWARE\Microsoft\WBEM\ESS//./root/subscription
• Event logs del Security channel per privilege escalation
• Network connections iniziate da processi figli di WmiPrvSE.exe

FIN8 tipicamente combina WMI persistence con scheduled tasks per ridondanza. Durante l'analisi, verifica sempre la presenza di multiple tecniche di persistenza. L'ordine di installazione rivela la progressione dell'attacco e le priorità dell'attaccante.

Tools come WMI Explorer e PyWMIPersistenceFinder accelerano l'identificazione di binding sospetti. Esporta l'intero repository WMI per analisi offline quando possibile.

APT29 ha perfezionato l'uso di WMI persistence attraverso campagne multiple. Durante Operation Ghost utilizzavano consumer ActiveScriptEventConsumer per eseguire VBScript, mentre in SolarWinds Compromise sono passati a CommandLineEventConsumer con rundll32.exe. Questa evoluzione indica adattamento alle detection capabilities.

Mustang Panda integra WMI persistence nel loro tool custom ORat. Il pattern ricorrente mostra preferenza per filtri basati su intervalli temporali piuttosto che eventi di processo. Questo riduce la superficie di detection ma richiede precisione nella configurazione.

HEXANE e Metador rappresentano l'evoluzione più recente. Metador combina WMI con binari inusuali come cdb.exe (Windows Debugger), sfruttando la fiducia implicita nei tool Microsoft. Questo pattern suggerisce future evoluzioni verso l'abuso di altri debugger e tool di sviluppo.

L'overlap geografico mostra concentrazione in gruppi dell'Europa dell'Est (Turla, APT29) e Medio Oriente (APT33, HEXANE). Blue Mockingbird si distingue per focus su cryptocurrency mining piuttosto che espionage, indicando monetizzazione diretta.

I trend emergenti includono:

• Uso di WQL queries complesse per targeting selettivo
• Combinazione con COM hijacking per offuscazione aggiuntiva
• Migrazione verso Event Consumers custom compilati

Framework MITRE ATT&CK documenta questa tecnica come T1546.003 con mappature dettagliate a gruppi APT e malware. Le campagne Operation Ghost e SolarWinds Compromise forniscono case studies comprehensivi dell'evoluzione della tecnica nel mondo reale.