det0364-behavioral-detection-strategy-for-wmi-execution-abuse-on-windows

# DET0364 — Behavioral Detection Strategy for WMI Execution Abuse on Windows ## Descrição O Windows Management Instrumentation (WMI) é uma interface de gerenciamento nativa do Windows amplamente abusada por adversários para execução remota de código, persistência via subscriptions e reconhecimento do ambiente. A técnica é especialmente valorizada por sua capacidade de executar código sem criar processos visíveis na árvore tradicional, dificultar a correlação de logs e aproveitar canais legítimos de administração que frequentemente passam por controles de firewall corporativo. Grupos como [[g0016-apt29|APT29]], [[g0010-turla|Turla]] e operadores de [[s0154-cobalt-strike|Cobalt Strike]] utilizam WMI extensivamente. O abuso do WMI manifesta-se de diversas formas: execução via `wmic.exe process call creaté`, invocação remota através da interface `IWbemServices::ExecMethod`, criação de subscriptions permanentes (EventFilter + EventConsumer + FilterToConsumerBinding) para persistência que sobrevive a reinicializações, e uso de namespaces WMI como armazenamento de payloads codificados. A execução resultante tipicamente cria processos filhos de `WmiPrvSE.exe` com linhagem atípica. A estratégia de detecção foca em monitoramento de criação de processos com pai `WmiPrvSE.exe`, análise de subscriptions WMI registradas (Event ID 19, 20, 21 do Sysmon), e comandos `wmic.exe` com argumentos de execução remota. A correlação temporal entre autenticação de rede e subsequente execução via WMI é indicador forte de movimento lateral. ## Indicadores de Detecção - Processos com pai `WmiPrvSE.exe` que não sejam utilitários de gerenciamento legítimos - `wmic.exe process call creaté` com linha de comando contendo encodings Base64 ou URLs - Criação de EventFilter WMI com filtro em `__InstanceModificationEvent` ou `__TimerEvent` - EventConsumer WMI do tipo `ActiveScriptEventConsumer` ou `CommandLineEventConsumer` não documentado - Conexões WMI remotas (porta 135 + RPC dinâmico) de hosts não-administrativos - Namespace WMI `root\subscription` com objetos criados recentemente e não reconhecidos ## Técnicas Relacionadas - [[t1047-windows-management-instrumentation|T1047 — Windows Management Instrumentation]] - [[T1546003-windows-management-instrumentation-event-subscription|T1546.003 — WMI Event Subscription]] - [[T1059001-powershell|T1059.001 — PowerShell]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an1031-analytic-1031|AN1031 — Analytic 1031]] --- *Fonte: [MITRE ATT&CK — DET0364](https://attack.mitre.org/detectionstrategies/DET0364)*