det0086-detect-wmi-event-subscription-for-persistence-via-wmiprvse-process-and-m

# DET0086 — Detect WMI Event Subscription for Persistence via WmiPrvSE Process and MOF Compilation ## Descrição Esta estratégia detecta o uso abusivo de WMI Event Subscriptions como mecanismo de persistência furtivo no Windows. O WMI permite que atacantes registrem event filters, consumers e bindings que acionam execução de payloads em resposta a eventos do sistema (boot, login, timer), sobrevivendo a reinicializações sem criação de chaves de registro óbvias ou arquivos de startup. Os artefatos primários a monitorar incluem: criação de instâncias de `__EventFilter`, `__EventConsumer` (especialmente `CommandLineEventConsumer` e `ActiveScriptEventConsumer`) e `__FilterToConsumerBinding` no namespace WMI. A compilação de arquivos MOF via `mofcomp.exe` e o processo pai `WmiPrvSE.exe` gerando processos filhos incomuns são sinais críticos. O banco de dados WMI (`%SystemRoot%\System32\wbem\Repository`) armazena as subscriptions persistidas. A telemetria recomendada combina logs do Windows Event (ID 5858, 5860, 5861 do Microsoft-Windows-WMI-Activity), Sysmon Event 19/20/21 (WMI activity) e monitoramento de processo para spawning de `WmiPrvSE.exe → cmd.exe/powershell.exe`. Grupos como [[g0016-apt29]] e [[g0046-fin7]] utilizam WMI subscriptions para persistência de longa duração. ## Indicadores de Detecção - Criação de `__EventFilter` com queries sensíveis como `SELECT * FROM __InstanceModificationEvent WHERE TargetInstance ISA 'Win32_LocalTime'` - Spawning de processos filhos por `WmiPrvSE.exe` (especialmente shells ou ferramentas de ataque) - Execução de `mofcomp.exe` com arquivos MOF em diretórios temporários ou de usuário - Presença de `CommandLineEventConsumer` ou `ActiveScriptEventConsumer` em namespaces incomuns - Modificação do repositório WMI (`\wbem\Repository\`) fora de atualizações do sistema - Conexões de rede originadas de `WmiPrvSE.exe` para IPs externos ## Técnicas Relacionadas - [[t1546003-event-triggered-execution-windows-management-instrumentation-event-subscription]] — Técnica principal - [[t1546-event-triggered-execution]] — Categoria pai - [[t1059001-powershell]] — PowerShell como consumer de eventos WMI - [[t1047-windows-management-instrumentation]] — WMI para execução lateral - [[t1053005-scheduled-task]] — Alternativa de persistência correlacionada ## Analytics Relacionadas - [[an0236-analytic-0236|AN0236 — Analytic 0236]] --- *Fonte: [MITRE ATT&CK — DET0086](https://attack.mitre.org/detectionstrategies/DET0086)*