WMI攻击检测

最新推荐文章于 2025-10-27 09:42:47 发布
原创 最新推荐文章于 2025-10-27 09:42:47 发布 · 1.7k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows

本文介绍了如何通过监控Windows日志和使用Sysmon来检测WMI活动,特别是关注wmic.exe的命令行参数和进程创建。强调了EventCode 4648和4688在日志中的重要性,以及如何通过Sysmon获取更详细的日志信息。此外,还讨论了流量检测,指出WMIC基于DCEPC的流量难以直接解析,但可以通过限制WinRM信任主机和监控特定进程来加强防御。

讲在前面:

    无论何种攻击手法在日志或流量是都会留下一定的痕迹,但是使用何种的规则将其监控到,这是令防守方头大的问题。WMI横向移动、权限维持都会在日志监控到。至于如何制定规则,本文不展开。
总之两点:

  • 做好 WMI 连接的网络流量监控,一般不使用 WMI 的环境若出现了使用 WMI的情况,则内部网络可能已经被入侵。
  • 做好进程监控,监测”wmic.exe“的命令行参数及其执行的命令。

日志检测

注意:在日志检测中,最重要的数据来源就是Windows日志,而Windows日志也不是说全部选项都开启就可以,因为必须要考虑到机器本身的性能,很多无关紧要的日志数据我们可以将其监控选项关闭。

Windows EventLog

Windows中对于WMIC的检测有两个关键日志:

  • EventCode 4648 — 尝试使用显式凭据登录
  • EventCode 4688 / SysmonID​​ 1 — 进程创建 (wmic.exe)

wmic执行命令
在域内客户机上执行wmic远程命令
在这里插入图片描述

wmic创建事件
当创建wmi事件时出现了4648和4688日志

在这里插入图片描述
4648日志出现,调用程序svchost.exe
在这里插入图片描述
在这里插入图片描述

当wmic执行时,以上述例子为例,可以看到命令执行成功前后出现了3个日志,这也和wmic的执行流程有关,我们可以参考下图:
在这里插入图片描述

上图咱们可以结合WMI讲解篇进行理解,WMIC操作时会先由svchost.exe调用WmiPrvSE.exe然后由WmiPrvSE调用指定的程序,指定的cmd则由cmd.exe进行下一步操作,指定的powershell则有powershell.exe进行下一步操作。

Sysmon

注意:Sysmon是微软对于Eventlog的补充解决方案,这是笔者对于Sysmon的理解,Sysmon可以能够获取到Evenlog获取不到的更多信息,MS解释Sysmon。

sysmon64.exe -i exampleSysmonConfig.xml       //执行安装:
sysmon64.exe -u                               //删除

执行安装
在这里插入图片描述
删除
在这里插入图片描述

注意:exampleSysmonConfig.xml为Sysmon的配置文件,内容和名字均可以自定义,内容可以自行进行增加或修改。

<Sysmon schemaversion="4.40">
<EventFiltering>
  <!-- Restrict logging to access targeting svchost.exe and verclsid.exe -->
  <ProcessAccess onmatch="exclude">
    <TargetImage condition="excludes">verclsid.exe</TargetImage>
    <TargetImage condition="excludes">svchost.exe</TargetImage>
  </ProcessAccess>
  <!-- Process access requests with suspect privileged access,
       or call trace indicative of unknown modules -->
     <ProcessAccess onmatch="include">
         <GrantedAccess condition="is">0x1F0FFF</GrantedAccess>
         <GrantedAccess condition="is">0x1F1FFF</GrantedAccess>
         <GrantedAccess condition="is">0x1F2FFF</GrantedAccess>
         <GrantedAccess condition="is">0x1F3FFF</GrantedAccess>
         <GrantedAccess condition="is">0x1FFFFF</GrantedAccess>
         <CallTrace condition="contains">unknown</CallTrace>
     </ProcessAccess>
</EventFiltering>
</Sysmon>

参考配置文件sysmonconfig-export.xml
Powershell查看Sysmon日志

Get-WinEvent -LogName Microsoft-Windows-Sysmon/Operational

本地事件管理器:
Windows日志->应用程序和服务日志->Microsoft->Windows
在这里插入图片描述
可以看到详细的日志内容
在这里插入图片描述

若是需要将sysmon的日志导出则可以使用wevtutil命令:

wevtutil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml

然后可以自行导入sysmon帮助工具进行分析:
sysmontools
在这里插入图片描述

若是权限维持中的WMI事件,则sysmon可以关注如下四个事件ID

Process Create(ID 1)
WmiEventFilter(ID 19)
WmiEventConsumer(ID 20)
WmiEventConsumterToFilter(ID 21)

可以看到CommandLine中执行的命令细节
在这里插入图片描述

流量检测

    我们要注意在使用PSEXEC,SC.EXE,或其他远程服务管理工具进行操作时,通信将通过MS-SCMR协议操作DCERPC。即使该协议使用最大加密级别,但仍然可以使用流量监控确定目标执行了哪些类型的操作(例如服务创建、服务启动等)。
下图为sc.exe 创建远程服务的 wireshark 捕获
在这里插入图片描述

尽管WMIC仍然基于 DCEPC,但所有 WMI DCOM 方法调用都是通过单个接口完成的,并且当与“数据包隐私”级别的加密相结合时,流量监控的解决方案只能知道调用了某些 WMI 方法。无法知道执行了那些细节操作。若通过 WINRM 协议执行时,WMI 流量看起来像 HTTP,并且再次与通过 SVCCTL 接口时完全不同。这意味着 WMI技术可以有效地规避任何流量检测其横向移动的操作。
下图为DCEPRC数据包
在这里插入图片描述

缓解措施:

  • 限制 WinRM信任的主机数量
winrm 设置 winrm/config/client '@{TrustedHosts="指定主机"}'
  • 在日志中重点监控WmiPrvSE.exe和WMIC.exe。
  • 做好高权限的控制,避免高权限帐户滥用。

参考文章:

Windows安全日志分析(事件ID详解)
墨痕诉清风的博客
09-19 2万+
如果出现异常数量的此类日志,可能表明攻击者正在尝试暴力破解您的Kerberos服务。这对于识别潜在的暴力破解攻击或未经授权的访问尝试非常重要。如果短时间内出现大量此类事件,可能意味着有针对性的攻击或广泛的恶意软件感染。这有助于跟踪用户账户的变化并发现任何潜在的恶意删除行为。此事件记录了新进程的创建。这对于识别系统上运行的可疑或未经授权的应用程序很重要。此事件记录了用户被添加到具有提升权限的安全组的情况。这对于监控用户权限的变更和防止未经授权的权限提升非常重要。留意异常的访问模式,可能暗示未经授权的活动。
检测并移除WMI持久化后门
weixin_41082546的博客
05-05 1383
WMI型后门只能由具有管理员权限的用户运行。WMI后门通常使用powershell编写的,可以直接从新的WMI属性中读取和执行后门代码,给代码加密。通过这种方式攻击者会在系统中安装一个持久性的后门,且不会在磁盘中留下任何文件。   WMI型后门主要有两个特征:无文件和无进程。其基本原理是:将代码加密存储在WMI中,达到所谓的无文件;当设定的条件满足时,系统将自动启动powershell进程去执行...
Windows事件响应指南(下)
weixin_43200882的博客
10-26 2457
在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类型和级别等详细信息,并显示应用程序和系统消息的日志,包括错误、信息消息和警告。增强对在您的环境中的系统上运行的进程的可见性的另一个选择是实施 Sysmon,这是 Sysinternals 的一个免费实用程序,现在是 Microsoft 的一部分。Windows WFP 的事件描述是十分详细的,包括有关本地和远程 IP 和端口号以及所涉及的进程 ID 和进程名称的信息。
Windows 日志分析实战:用 Python 揪出入侵痕迹
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
10-27 929
Windows日志分析实战摘要 本文介绍如何利用Python分析Windows日志(e.g., Security.evtx)来检测入侵痕迹。主要内容包括: 核心日志类型:安全日志(登录/权限)、系统日志(服务/驱动)、应用日志(软件错误) Python分析环境:使用pyevtx库读取.evtx文件,pandas处理数据,matplotlib可视化 实战案例: 暴力破解检测:分析4625登录失败事件 恶意进程识别:追踪4688进程创建事件 关键脚本:提供带注释的Python代码,可自动解析日志中的时间、事件I
windows主机日志分析(持续更新)
热门推荐
leeezp的博客
07-20 37万+
这篇文章记录windows事件和日志的对应关系。
windows开启 wmi监控文档
12-19
windows开启wmi配置开启监控文档,亲测好用请大家给好评,谢谢拉啊windows开启 wmi监控文档
[windows] 详解WMI攻击与防御方法
永生天地
07-07 2823
详解WMI攻击与防御方法<br /> <br />作者:黑客吧管理 <br /><br /><br />WMI是“Microsoft Windows 管理规范”的简称,需要“Windows Management Instrumentation”服务支持,而这个服务是默认启动的,这就为入侵提供了很大的方便。只要黑客知道了管理员的用户名和密码,而且本机的135端口已开启,黑客就可以在被入侵的机器上执行任意命令,取得控制权。而大多数用户在安装系统时都把系统自带的管理员账户Administrator密码留空,这无
Windows安全基础——Windows WMI详解
05-20 1041
WMIWindows Management Instrumentation, Windows管理规范)是Windows2000/XP管理系统的核心,属于管理数据和操作的基础模块。设计WMI的初衷是达到一种通用性,通过WMI操作系统、应用程序等来管理本地或者远程资源。它支持分布式组件对象模型(DCOM,DistributionModel)和Windows远程管理(WinRM),用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能。
WMITools.exe
04-20
3. **日志记录**:为了帮助分析问题和追踪潜在的攻击WMITools.exe会记录扫描和修复过程的详细日志。这些日志对于后续的故障排查和安全分析至关重要。 4. **自动化处理**:该工具可能支持自动化执行,定期进行系统...
WMITools.exe:强大的网页篡改检测与修复工具
该描述中重复提到“WMITools.exe 检测隐匿脚本 修复篡改网页”,这可能是强调该软件的主要功能。重复强调往往用于加深印象或者确保信息的明确传递,表明软件的主要功能就是检测和修复。 ### 标签知识点 - **标签...
C#实现U盘检测器:源代码详解及WMI应用
同时也要注意安全问题,防止恶意代码通过WMI实施攻击。 - 兼容性:不同版本的Windows系统可能在WMI支持上存在差异,开发时需要考虑代码的向下兼容性。 ### 结语 通过上述内容,我们可以看出使用C#结合WMI来编写U盘...
WMI远程操作调用代码
03-22
WMI 远程 操作 注册表 远程执行CMd
写在挨刀之后!详解WMI攻击与防御(转)
cuankuangzhong6373的博客
02-20 1190
常在网上飘,哪有不挨刀?只要联上互联网,就有可能受到各种攻击,可能是被病毒攻击,也可能是被黑客攻击。那如何才能保证我们的系统安全呢?我们将以一种常见的WMI攻击方式为例告诉大家它是如何进行攻击的,并给出防范这种攻击的一般方法。 ...
最新windows安全事件id汇总_电脑事件id大全(1)
2401_84297944的博客
05-02 3160
4647 ----- 用户启动了注销4648 ----- 使用显式凭据尝试登录4649 ----- 检测到重播攻击4650 ----- 建立了IPsec主模式安全关联4651 ----- 建立了IPsec主模式安全关联4652 ----- IPsec主模式协商失败4653 ----- IPsec主模式协商失败4654 ----- IPsec快速模式协商失败4655 ----- IPsec主模式安全关联已结束4656 ----- 请求了对象的句柄。
WMIC应用类日志
weixin_39802884的博客
08-07 779
所有Win32 Classes (Win32节点) ,筛选显示信息见2楼举例 Wmic Path Win32_1394Controller Wmic Path Win32_1394ControllerDevice Wmic Path Win32_Account Wmic Path Win32_AccountSID Wmic Path Win32_ACE Wmic Path Win32_ActionCheck Wmic Path Win32_ActiveRoute Wmic Path W.
WMI(windows管理模块)横向渗透
chinansa的博客
12-03 1058
WMI基于COM(组件对象模型)和DCOM(分布式组件对象模型),提供了一个统一的管理架构,通过使用WMI脚本和工具,可以访问和操作大量的系统信息和配置设置。命令执行:攻击者可以通过WMI来执行命令。例如,可以查询目标系统的用户账户和密码哈希(如果存储在可访问的WMI类中)、网络配置信息(如Wi Fi密码等)以及存储在系统中的文件列表等。例如,系统管理员可以使用WMI来查询计算机的硬件信息(如CPU型号、内存大小等)、软件安装情况(如已安装的程序列表)以及系统的性能数据(如CPU使用率、磁盘I/O等)。
应急响应——Windows入侵排查
negnegil的博客
09-03 2807
Windows安全应急处置 从以下方面进行排查windows主机 1.是否有异常进程、用户 2.异常的服务、计划任务、启动项 3.注册表信息 4.端口开放情况 5.文件及文件共享 6.防火墙设置 7.异常会话 8.日志 9.其他 10.工具 进程 获取系统上正在运行的所有进程列表, 可以根据以下内容查找可疑进程 CUP、内存占用率长时间过高的进程 没有签名或描述信息的进程 非法路径的进程 进程的属主 也可以使用某些软件,如D盾_web查杀工具,微软的Process Explorer工具等进行排查 #
windows安全事件ID编号解释大全
hanzhen668的博客
09-14 2万+
windows安全事件ID编号解释大全
常见漏洞及webshell工具的流量特征
m0_73983897的博客
10-16 1678
本文的主要内容:常见攻击的流量特征 + Webshell 连接工具的流量特征 + 创建Java框架漏洞的流量特征; 常见攻击的流量特征 :信息泄露,弱口令爆破,目录扫描,SQL注入,XSS,文件上传,代码执行; Webshell 连接工具的流量特征 :蚁剑,哥斯拉,冰蝎,菜刀; 常见 Java 框架漏洞的流量特征:Log4j2,Fastjson,Shiro,Strust2;
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值