Instrumente der Windows-Verwaltung bereiten Angreifern leichtes Spiel
Instrumente der Windows-Verwaltung bereiten Angreifern leichtes Spiel
Unsere Leitstelle erreichte in letzter Zeit häufig die Meldung „WMI Event Subscription“. Hinter WMI verbirgt sich die Windows-Verwaltungsinstrumentation. Mit WMI können Systemadministratoren Aufgaben lokal und per Remote ausführen.
Doch so praktisch das ist, es birgt auch Gefahren: Angreifer können eine Persistenz herstellen, sich dauerhaft im System einhacken und Berechtigungen erhöhen, indem sie schädliche Inhalte ausführen, die durch ein Ereignisabonnement der Windows-Verwaltungsinstrumentation (WMI) ausgelöst werden. Eine Persistenz kann durch Techniken erzielt werden, die Angreifer verwenden, um den Zugriff auf Systeme über Neustarts, geänderte Anmeldeinformationen und andere Unterbrechungen hinweg aufrechtzuerhalten, die ihren Zugriff unterbrechen könnten. Die WMI kann in diesem Kontext verwendet werden, um Ereignisfilter zu installieren, die Codes ausführen, wenn ein definiertes Ereignis eintritt. Beispiele für Ereignisse, die abonniert werden können, sind die Wall-Clock-Zeit, die Benutzeranmeldung oder die Betriebszeit des Computers. Die Wall-Clock-Zeit ist die tatsächliche Zeit, die vom Start eines Computerprogramms bis zum Ende vergeht.
Die Gefahr dabei: Angreifer können die Fähigkeiten von WMI nutzen, um ein Ereignis zu abonnieren und beliebigen Code auszuführen, wenn dieses Ereignis auftritt, wodurch eine Persistenz auf einem System gewährleistet wird. Angreifer können auch WMI-Skripte in Windows Management Object (MOF)-Dateien (.mof-Erweiterung) kompilieren, die verwendet werden können, um ein vorsätzliches Abonnement zu erstellen.
Auch wenn die Implementierung dieser o.g. Technik kein Toolkit erfordert, können jedoch verschiedene Frameworks wie Metasploit, Empire, PoshC2, PowerSploit und mehrere PowerShell-Skripte und C#-Tools dazu verwendet werden, um diese Technik zu automatisieren und verschiedene Optionen für die Codeausführung bereitzustellen. Dabei ist zu beachten, dass WMI-Ereignisse als User ‚SYSTEM‘ ausgeführt werden, über Neustarts hinweg bestehen bleiben und Administratorrechte erforderlich sind, um diese Technik zu verwenden.
Aus der Sicht unseres Expertenteams kann MWI im Normalfall dazu verwendet werden, um verschiedene Aktivitäten wie Lateral Movement, Persistenz, Codeausführung und Command and Control (C2) für Testzwecke durchzuführen. Lateral Movement ist eine Taktik, die von Angreifern verwendet wird, um sich durch ein Netzwerk zu bewegen. Die Tatsache, dass WMI ein Teil von Windows ist, das in fast allen Windows-Betriebssystemen (Windows 98-Windows 10) vorhanden ist, ermöglicht es, diese offensiven Aktivitäten im Blue-Team zu erkennen, da wir in der Leistungsstufe 2 Windows Log-Daten in unserer Überwachung eingebunden haben.
Unsere Handlungsempfehlungen:
– Überwachen Sie WMI-Ereignisabonnementeinträge und vergleichen Sie aktuelle WMI-Ereignisabonnements mit bekannten legitimen Abonnements für jeden Host. Z.B. können Tools wie Sysinternals Autoruns dazu verwendet werden, um WMI-Änderungen zu erkennen, die Persistenz-Versuche darstellen könnten.
-Monitoring für die Erstellung neuer WMI ‘EventFilter‘, ‘EventConsumer‘, und ‘FilterToConsumerBindingEreignisse‘. Ereignis-ID 5861 wird auf Windows 10-Systemen protokolliert, wenn neue ‘EventFilterToConsumerBindingEreignisse‘ erstellt werden.
-Überwachen Sie Prozesse und Befehlszeilenargumente, die zum Registrieren der WMI-Persistenz verwendet werden können, wie das ‘Register-WmiEvent‘ PowerShell-Cmdlet, sowie solche, die aus der Ausführung von Abonnements resultieren (d. h. das Spawnen vom WMI-Provider-Hostprozess WmiPrvSe.exe).
Referenzen:
https://attack.mitre.org/techniques/T1546/003/
https://www.fuzzysecurity.com/tutorials/19.html