概要

サイバー犯罪者は、Windows Management Instrumentation (WMI) を利用し、侵入したネットワークへの継続的なアクセスを維持しています。WMIは、Windowsオペレーティングシステムに組み込まれた重要なユーティリティで、管理者がステータスを監視したり、ルーチンタスクを自動化したりするのに役立ちます。

しかし、サイバー犯罪者はこの合法的なインフラストラクチャを利用して、攻撃者が通常のスタートアップフォルダーやレジストリランキーに頼る従来のマルウェア戦略とは異なり、WMIを悪用することで、攻撃が目立たないようにする方法を見つけました。

WMIの持続性のメカニズム

ウィンストン・イホドラ氏によると、この攻撃技術の核心は、WMIアーキテクチャ内のイベントサブスクリプション機能を悪用することです。

• イベントフィルター: 攻撃者は特定のトリガーを設定し、ユーザーがログインするときやシステムが再起動したときに自動的にアクションを実行します。これらのアクションは通常、WMIリポジトリから悪意のあるスクリプトまたはコマンドを実行します。
• イベント消費者: これは、特定の条件が満たされたときにアクションをトリガーするコンポーネントです。これらの消費者は通常、システム管理データベース内のWMIリポジトリに埋め込まれているため、攻撃は目立たなくなります。

この方法は、新しいサービスやスケジュールされたタスクを作成することなく、長期的な監視キャンペーンを実行するのに理想的です。

WMIベースの持続性の検出と対策

WMIベースの持続性を検出するには、特定のコマンドラインツールを使用して積極的な脅威ハンティングを行う必要があります。セキュリティチームは通常、PowerShellを使用してWMIネームスペースをクエリし、既存のイベントフィルターや消費者、バインディングを調査します。

• 異常なコマンドライン: たとえば、ユーザーがログインするたびにスクリプトを起動するように設定されたコマンドラインを見つけることができます。
• 定期的な監査: セキュリティチームは、WMIレポジトリを定期的に監査し、不正なエントリーがないか確認します。これにより、標準の修正作業後も攻撃者がシステムを制御していないことを確認できます。

元記事: https://gbhackers.com/cybercriminals-exploit-windows-management-instrumentation-wmi/