dc0008-wmi-creation

# DC0008 — WMI Creation ## Descrição O componente de dados **WMI Creation** registra a criação inicial de objetos WMI (Windows Management Instrumentation), incluindo filtros de eventos, consumidores, assinaturas, vínculos e provedores. O WMI é uma interface de administração nativa do Windows amplamente utilizada por administradores para automação de tarefas e gerenciamento remoto — e, por isso, também extensamente abusada por adversários para execução persistente e lateral. A criação de objetos WMI é monitorada principalmente por meio do **Microsoft-Windows-WMI-Activity/Operational** (Event ID 5861) e do provedor **Sysmon** (Event IDs 19, 20 e 21). Esses eventos capturam o momento em que filtros, consumidores e vínculos são registrados no repositório WMI, o que é o padrão clássico de persistência via "WMI Event Subscription". A técnica mais comum é a criação de uma "triple" WMI: um **EventFilter** (condição de disparo), um **EventConsumer** (ação a executar) e um **FilterToConsumerBinding** (associação entre os dois). Quando o filtro é satisfeito — por exemplo, toda vez que o sistema inicia — o consumidor executa um comando arbitrário. Esse mecanismo é completamente independente do registro do Windows e do agendador de tarefas, tornando-o mais difícil de detectar com abordagens tradicionais. Grupos APT como [[g0032-lazarus-group]], [[g0016-apt29]] e ferramentas como [[s0154-cobalt-strike]] utilizam subscrições WMI para garantir persistência furtiva em ambientes corporativos. Em ambientes LATAM, campanhas de acesso inicial via phishing frequentemente estabelecem persistência WMI antes de entregar cargas secundárias. ## Telemetria | Fonte | Event ID | Descrição | |-------|----------|-----------| | Microsoft-Windows-WMI-Activity/Operational | 5861 | Criação de EventFilter, EventConsumer ou Binding | | Sysmon | 19 | WmiEventFilter activity detected | | Sysmon | 20 | WmiEventConsumer activity detected | | Sysmon | 21 | WmiEventConsumerToFilter activity detected | | Security | 4688 | Processo filho do WMI (wmiprvse.exe) criado | ## Queries de Detecção ### KQL — Microsoft Sentinel ```kql // Detecta criação de subscriptions WMI suspeitas DeviceEvents | where ActionType == "WmiActivityEvent" | where AdditionalFields has_any ("EventFilter", "EventConsumer", "FilterToConsumerBinding") | where InitiatingProcessFileName !in~ ("msiexec.exe", "setup.exe", "sccm.exe") | project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, AdditionalFields | order by Timestamp desc ``` ### SPL — Splunk ```spl index=wineventlog source="Microsoft-Windows-WMI-Activity/Operational" EventCode=5861 | eval suspicious=if(match(Message, "CommandLineEventConsumer|ActiveScriptEventConsumer"), "sim", "não") | where suspicious="sim" | stats count by host, User, Message | sort -count ``` ## Técnicas Relacionadas - [[t1047-windows-management-instrumentation|T1047-windows-management-instrumentation]] — Execução direta via WMI - [[t1546-event-triggered-execution|T1546-event-triggered-execution]] — Persistência via WMI Event Subscription (T1546.003) - [[t1021-remote-services|T1021-remote-services]] — WMI usado para movimento lateral remoto - [[t1059-command-and-scripting-interpreter|T1059-command-and-scripting-interpreter]] — Scripts invocados via consumidores WMI > [!tip] Técnica de Alta Prioridade > WMI Event Subscriptions ([[t1546-event-triggered-execution|T1546-event-triggered-execution]] sub-técnica .003) é um dos mecanismos de persistência mais furtivos no Windows. Objetos WMI sobrevivem a reboots e não aparecem em visualizações padrão de "Startup" ou "Tarefas Agendadas". ## Contexto LATAM > [!warning] Relevância para SOCs Brasileiros > Campanhas de RATs direcionadas ao setor financeiro brasileiro — como variantes do [[s1087-asyncrat|AsyncRAT]] e [[s0385-njrat]] — frequentemente utilizam WMI Event Subscriptions como mecanismo de persistência secundária. Após comprometimento inicial via phishing com documentos Office, o implante cria uma subscrição WMI para garantir reexecução a cada login. SOCs devem priorizar alertas do Event ID 5861 e Sysmon 19-21, especialmente em hosts de usuários corporativos. ## Referências - [MITRE ATT&CK — DC0008: WMI Creation](https://attack.mitre.org/datasources/DS0005/#WMI%20Creation) - [Microsoft Docs — WMI Architecture](https://docs.microsoft.com/en-us/windows/win32/wmisdk/wmi-architecture) - [Sysmon — Event ID 19/20/21](https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon)