Esecuzione via WMI: Windows Management Instrumentation (T1047)

La simulazione dell'abuso di WMI in laboratorio deve coprire tre scenari fondamentali: esecuzione locale, esecuzione remota e discovery. Lo strumento più diretto per l'esecuzione remota è il modulo wmiexec di Impacket (open source), che replica esattamente la catena utilizzata da gruppi come Cinnamon Tempest, Velvet Ant e FIN8. Per lanciare un comando su un host remoto autenticandosi con credenziali in chiaro:

impacket-wmiexec dominio/utente:password@indirizzo-ip "whoami"

Se si dispone di un hash NTLM — scenario coerente con quanto osservato per Ember Bear, che usa WMI con password hash — si può sfruttare il pass-the-hash:

impacket-wmiexec -hashes :hash-ntlm dominio/utente@indirizzo-ip "ipconfig /all"

Per l'esecuzione locale tramite wmic.exe, ancora presente su molti target Windows 10 e Server 2019, il comando classico per la process execution è:

wmic process call create "cmd.exe /c whoami > C:\temp\output.txt"

La cancellazione delle shadow copy, usata da ransomware come WannaCry, BlackCat, Avaddon, LockBit 2.0 e Black Basta, si simula così:

wmic shadowcopy delete /nointeractive

Su ambienti dove wmic.exe è disabilitato (Windows 11+), l'equivalente PowerShell nativo utilizza il cmdlet Invoke-WmiMethod:

Invoke-WmiMethod -Class Win32_Process -Name Create -ArgumentList "calc.exe"

Per la discovery — come fa Gamaredon Group con le query WMI sullo stato di rete — si può interrogare la classe Win32_PingStatus:

Get-WmiObject -Query "Select * From Win32_PingStatus Where Address='target-ip'"

Framework C2 come Cobalt Strike (a pagamento), PoshC2 (open source), Empire (open source), Brute Ratel C4 (a pagamento) e Covenant (open source) integrano tutti moduli WMI nativi. In Cobalt Strike, dal beacon si utilizza il comando wmi per l'esecuzione remota; in Empire, il modulo lateral_movement/invoke_wmi replica la stessa operazione. CrackMapExec (open source) offre un'interfaccia ancora più rapida per il mass-execution:

crackmapexec wmi indirizzo-ip -u utente -p password -x "whoami"

Un esercizio completo dovrebbe concatenare la discovery WMI iniziale (enumerazione antivirus via Win32_Product o AntiVirusProduct), il lateral movement via wmiexec, e infine l'esecuzione di un payload — riproducendo la kill chain documentata in campagne come C0015 e C0018.

Il monitoraggio dell'abuso di WMI richiede una strategia multi-layer perché le operazioni WMI legittime sono ubiquitarie in ambienti enterprise. La detection strategy documentata (DET0364, analisi AN1031) definisce una catena multi-evento: creazione del processo, esecuzione del comando e — se remota — connessione di rete corrispondente. Le log source primarie sono Sysmon e il canale WMI nativo di Windows.

La prima sorgente critica è Sysmon (open source). L'EventCode 1 (Process Create) cattura ogni istanza di wmic.exe, wmiprvse.exe e scrcons.exe. Concentrati sulle relazioni parent-child anomale: un wmiprvse.exe che genera cmd.exe o powershell.exe è un pattern classico di esecuzione remota WMI, osservato nelle campagne C0018 e C0025. L'EventCode 20 e 21 di Sysmon rilevano la creazione di WMI Event Consumer e Binding, meccanismi usati per la persistence via sottoscrizioni WMI.

Per la componente di rete, l'EventCode 3 di Sysmon traccia le connessioni in uscita di wmiprvse.exe verso porte 135, 5985 e 5986. Una soglia di destinazioni uniche contattate nel tempo (parametro di tuning RemoteDestinationThreshold) aiuta a isolare sweep laterali come quelli di GALLIUM e Wizard Spider.

Il canale nativo Microsoft-Windows-WMI-Activity/Operational registra ogni query WMI con l'EventID 5861 per nuove sottoscrizioni permanenti. Questo è prezioso per identificare persistence WMI, ma genera volume significativo. La chiave del tuning è restringere il perimetro ai namespace sospetti — \root\cimv2 e \root\subscription — come suggerito dalla detection strategy.

Per i falsi positivi, il contesto utente è determinante. Esecuzioni WMI da account SYSTEM o da account di servizio noti sono spesso legittime; quelle da utenti interattivi standard o da account con privilegi elevati appena acquisiti meritano investigation. Le regex di tuning SuspiciousCommandPatterns dovrebbero includere pattern come wmic process call, powershell Invoke-WmiMethod, wmic shadowcopy delete e Win32_Process Create.

Sul fronte dei controlli preventivi, le ASR rules (Attack Surface Reduction) di Windows 10+ permettono di bloccare processi creati da comandi WMI — la mitigazione M1040 lo raccomanda esplicitamente, pur avvertendo che molti tool legittimi usano WMI. Windows Defender Application Control (WDAC) può bloccare direttamente wmic.exe sui sistemi dove non è necessario (mitigazione M1038). Infine, limitare l'accesso remoto WMI ai soli amministratori (M1018) e segregare gli account privilegiati con soluzioni PAM (M1026) riduce drasticamente la superficie di attacco laterale.

L'analisi forense dell'abuso WMI produce artefatti su più livelli — processo, registro, repository WMI e rete — che, correlati cronologicamente, ricostruiscono sia l'esecuzione sia il movimento laterale.

Il primo elemento della timeline è il repository WMI stesso, memorizzato in C:\Windows\System32\wbem\Repository\. I file OBJECTS.DATA e INDEX.BTR contengono le sottoscrizioni WMI persistenti (Event Filter, Consumer, Binding). Tool come PyWMIPersistenceFinder (open source) parsano questi file offline ed estraggono consumer attivi e storici, anche dopo la cancellazione. APT41 è noto per aver usato WMI persistence tramite PowerSploit, e le tracce di quei binding restano nel repository fino alla sua ricostruzione.

A livello di log Windows, il canale Microsoft-Windows-WMI-Activity/Operational con EventID 5857, 5858 e 5861 documenta il caricamento di provider, errori di esecuzione e nuove sottoscrizioni. Questi eventi forniscono il timestamp esatto dell'attivazione WMI. L'EventID 4688 del Security log — con audit della command line abilitato — registra la riga di comando completa di wmic.exe, inclusa la query usata da Volt Typhoon per la discovery remota o da BlackByte per la cancellazione delle shadow copy.

Sysmon arricchisce la timeline con granularità superiore. L'EventCode 1 fornisce hash del processo, command line completa e catena parent-child. L'EventCode 3 documenta le connessioni di rete di wmiprvse.exe, permettendo di ricostruire quali host sono stati raggiunti — dato fondamentale nelle indagini su lateral movement come quello di Deep Panda o Aquatic Panda.

Per le esecuzioni remote via DCOM, i log Microsoft-Windows-DistributedCOM/Operational registrano le attivazioni remote con il CLSID del provider WMI. Incrociando il timestamp di questi eventi con l'EventCode 1 di Sysmon sull'host destinazione, si ricostruisce la catena completa sorgente-destinazione.

Sul lato network forensics, il traffico DCOM sulla porta 135 seguito da una porta dinamica alta, oppure il traffico WinRM su 5985/5986, è catturabile tramite PCAP. In campagne come la SolarWinds Compromise (C0024), APT29 ha usato WMI per l'esecuzione remota laterale: le connessioni WinRM tra host interni in finestre temporali anomale — tipicamente fuori orario lavorativo — costituiscono indicatori investigativi di alto valore.

Infine, i Prefetch files (C:\Windows\Prefetch\WMIC.EXE-*.pf e WMIPRVSE.EXE-*.pf) contengono timestamp di prima e ultima esecuzione, oltre alla lista di file e directory referenziati. Anche dopo la rimozione dei log, i Prefetch possono attestare che wmic.exe è stato eseguito su un host dove non era previsto.

Con 39 gruppi documentati, T1047 è una delle tecniche di Execution più trasversali. L'analisi dei pattern rivela cluster geografici, sovrapposizioni di tooling e catene tattiche ricorrenti che permettono di costruire modelli predittivi.

APT29 rappresenta il profilo di sofisticazione più elevata. Nella SolarWinds Compromise (C0024), ha utilizzato WMI per l'esecuzione remota laterale all'interno di reti già compromesse via supply chain. L'uso di WMI da parte di APT29 è strategico: abbinato al furto di credenziali e all'abuso di token, serve a muoversi lateralmente senza depositare binari aggiuntivi. Il pattern suggerisce un approccio living-off-the-land maturo, dove WMI è un tassello di una catena che include token theft e API abuse.

Il cluster cinese è particolarmente denso. Mustang Panda esegue script PowerShell via WMI, APT32 lo usa per deployment di tool e raccolta informazioni su Outlook, Volt Typhoon sfrutta WMIC per discovery, esecuzione e creazione di directory temporanee, APT41 combina WMI con WMIEXEC e PowerSploit per persistence ed esecuzione. Earth Lusca utilizza VBA per attivare WMI, mentre Aquatic Panda lo impiega per il lateral movement puro. Threat Group-3390 riappare anche nella recente campagna SharePoint ToolShell Exploitation (C0058), confermando la continuità operativa di questo cluster. Il denominatore comune è l'uso di Impacket come framework di delivery — tool condiviso anche con Cinnamon Tempest, Velvet Ant e Sandworm Team.

Il fronte ransomware mostra un pattern distinto: WMI come vettore di distribuzione e come strumento di distruzione. Wizard Spider ha usato batch script con WMIC per il deployment di ransomware, INC Ransom ha fatto altrettanto, FIN8 combina WMIC con Impacket per il lateral movement pre-detonazione. Le campagne C0015 e C0018 documentano la stessa catena: accesso iniziale → Cobalt Strike → WMI per il lateral → ransomware. BlackByte, BlackCat, WannaCry, LockBit 2.0, Avaddon e Netwalker usano tutti wmic shadowcopy delete come operazione standard pre-cifratura.

Gli attori iraniani — MuddyWater, OilRig, Magic Hound — usano WMI prevalentemente per discovery e raccolta informazioni di sistema, con un profilo meno aggressivo sul lateral movement rispetto ai cluster cinese e russo. Sandworm Team rappresenta il ponte tra cyberspionaggio e cyber-sabotaggio: nella campagna 2016 Ukraine Electric Power Attack (C0025), WMI è stato usato in script per esecuzione remota e survey di sistema, a supporto del deployment di Industroyer.

Il trend emergente è la migrazione da wmic.exe — ormai deprecato — verso Invoke-WmiMethod e le COM API dirette. I team di threat intelligence dovrebbero aggiornare le query di hunting per includere queste varianti, che producono artefatti processuali diversi (PowerShell o processi custom anziché wmic.exe) pur mantenendo lo stesso substrate WMI.

Framework MITRE ATT&CK: tecnica T1047 (Windows Management Instrumentation), tattica TA0002 (Execution). Campagne: C0001, C0007, C0014, C0015, C0018, C0022, C0024, C0025, C0027, C0038, C0058. Detection: DET0364 / AN1031. Mitigazioni: M1018, M1026, M1038, M1040. Integrato con conoscenza professionale per tool e procedure operative.