t1546-003-windows-management-instrumentation-event-subscription

# T1546.003 - Windows Management Instrumentation Event Subscription ## Técnica Pai Esta é uma sub-técnica de [[t1546-event-triggered-execution|T1546 - Event Triggered Execution]]. O mecanismo pai abrange diversas formas de persistência e escalada de privilégios baseadas em execução acionada por eventos do sistema operacional. ## Descrição O Windows Management Instrumentation (WMI) é uma infraestrutura nativa do Windows projetada para gerenciamento e monitoramento de sistemas. Além das funções legítimas de administração - como coleta de inventário de hardware, execução de scripts remotos e monitoramento de processos - o WMI expõe um mecanismo de assinaturas de eventos extremamente poderoso que adversários exploram para obter **persistência furtiva** e **escalonamento de privilégios** em ambientes Windows. Ao abusar das WMI Event Subscriptions, o atacante registra três componentes no repositório WMI: um **Event Filter** (define a condição que dispara o evento, como horário de sistema, login de usuário ou tempo de uptime), um **Event Consumer** (define a ação a ser executada - pode ser um comando arbitrário via `CommandLineEventConsumer` ou um script via `ActiveScriptEventConsumer`) e um **Filter-to-Consumer Binding** (associa o filtro ao consumidor, ativando o mecanismo). Quando o evento definido ocorre, o processo `WmiPrvSe.exe` - o host do provedor WMI - executa o payload com privilégios de **SYSTEM**, tornando esta técnica especialmente valiosa para escalonamento de privilégios. A técnica é particularmente perigosa porque as assinaturas WMI são armazenadas no repositório CIM (`%SystemRoot%\System32\wbem\Repository\`), que não é monitorado por ferramentas antivírus tradicionais orientadas ao sistema de arquivos. O payload pode sobreviver a reinicializações sem criar arquivos visíveis em locais suspeitos como `Startup` ou `Run` no registro, tornando a detecção significativamente mais difícil. Adversários sofisticados como o [[g0016-apt29|APT29]] e o [[g0010-turla|Turla]] utilizam WMI Event Subscriptions como camada de persistência secundária ou terciária, frequentemente combinada com outros mecanismos. O grupo [[g0061-fin8|FIN8]], focado em ataques ao setor financeiro, usou esta técnica para manter acesso prolongado em redes de varejistas e instituições financeiras antes de acionar os estágios de exfiltração. Scripts MOF (Managed Object Format) compilados via `mofcomp.exe` são outra variante: o atacante cria um arquivo `.mof` que, ao ser compilado, registra automaticamente os três componentes WMI no repositório. Isso permite entregar a assinatura como um arquivo aparentemente inofensivo e ativá-la em um único comando. ## Como Funciona O mecanismo de WMI Event Subscription opera em três fases distintas: **Fase 1 - Registro da Assinatura** O atacante registra os componentes WMI utilizando PowerShell, VBScript, C++ via COM ou um arquivo MOF compilado com `mofcomp.exe`. Os três objetos são gravados no namespace `root\subscription` do repositório CIM. ``` Namespace: root\subscription ├── __EventFilter (condição do evento) ├── __EventConsumer (ação a executar) │ ├── CommandLineEventConsumer (executa um processo) │ └── ActiveScriptEventConsumer (executa VBScript/JScript) └── __FilterToConsumerBinding (vincula filtro ao consumidor) ``` **Fase 2 - Ativação do Trigger** Quando o evento definido no `EventFilter` ocorre (ex.: `SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Hours = 3`), o serviço `Winmgmt` notifica o `WmiPrvSe.exe`. **Fase 3 - Execução com Elevação** O `WmiPrvSe.exe` executa o payload definido no `EventConsumer` com privilégios SYSTEM, sem interação do usuário e sem criar um novo processo filho visível na árvore de processos do atacante - o processo pai será sempre `WmiPrvSe.exe`. ## Attack Flow ```mermaid graph TB A["Acesso Inicial phishing / exploit"] --> B["Execução de Código PowerShell / WMI CLI"] B --> C["Registro do Event Filter root\\subscription\\__EventFilter"] B --> D["Registro do Event Consumer CommandLineEventConsumer ActiveScriptEventConsumer"] B --> E["Filter-to-Consumer Binding __FilterToConsumerBinding"] C --> F{"Evento Ocorre"} D --> F E --> F F --> G["WmiPrvSe.exe executa payload"] G --> H["Privilégios SYSTEM escalonamento confirmado"] H --> I["Persistência Ativa sobrevive a reboot"] I --> J["Movimento Lateral C2 / Exfiltração"] style A fill:#c0392b,color:#fff style G fill:#e67e22,color:#fff style H fill:#8e44ad,color:#fff style I fill:#27ae60,color:#fff style J fill:#2980b9,color:#fff ``` ## Exemplos de Uso ### APT29 (Cozy Bear) O [[g0016-apt29|APT29]], grupo de espionagem russo vinculado ao SVR, utilizou WMI Event Subscriptions em campanhas de comprometimento de redes governamentais e de defesa ocidentais. O malware [[s0150-poshspy|POSHSPY]] - descoberto pela Mandiant - é um backdoor baseado inteiramente em WMI: armazena código PowerShell criptografado no repositório WMI e usa um `ActiveScriptEventConsumer` para executá-lo periodicamente. A persistência sobrevivia a reinstalações de SO quando o repositório CIM era preservado. ### Turla (Snake/Uroburos) O [[g0010-turla|Turla]], grupo russo com histórico de ataques a governos e diplomatas, integrou WMI subscriptions em suas toolchains de longa duração. Em campanhas direcionadas a ministérios europeus, combinaram WMI persistence com [[t1055-process-injection|injeção de processos]] para manter presença silenciosa por meses. O [[s0053-seaduke|SeaDuke]] é um dos implantes do Turla que abusa deste mecanismo. ### FIN8 O grupo [[g0061-fin8|FIN8]], especializado em fraudes em ambientes PoS (ponto de venda) e setor financeiro, usou o malware [[badhatch|BADHATCH]] com persistência via WMI Event Subscription em ataques a redes de varejo na América do Norte. A técnica permitiu ao grupo reativar o acesso mesmo após resposta a incidentes parcial. ### Blue Mockingbird O [[g0108-blue-mockingbird|Blue Mockingbird]] - cluster de ameaça focado em criptomineração - utilizou WMI subscriptions para manter mineradores XMRig rodando em servidores corporativos comprometidos, disparando a reexecução do miner sempre que o processo era encerrado por administradores. ### HEXANE O [[g1001-hexane|HEXANE]], grupo focado em infraestrutura crítica de petróleo e gás no Oriente Médio e África, usou WMI persistence em campanhas de espionagem industrial. Dada a presença de empresas do setor de energia no Brasil (Petrobras, distribuidoras), este padrão de ataque é relevante para o contexto LATAM. ## Detecção ### Regra Sigma - WMI Event Subscription Suspeita ```yaml title: WMI Event Subscription Suspeita para Persistência id: a9b4f5e2-1c23-4d56-89ab-cdef01234567 status: stable description: | Detecta criação de WMI Event Subscriptions que podem indicar persistência ou escalonamento de privilégios via T1546.003. Monitora CommandLineEventConsumer e ActiveScriptEventConsumer. references: - https://attack.mitre.org/techniques/T1546/003/ - https://www.mandiant.com/resources/blog/persistence-using-wmi author: RunkIntel daté: 2026-03-25 tags: - attack.persistence - attack.privilege_escalation - attack.t1546.003 logsource: product: windows category: wmi_event detection: selection_consumer: EventID: 5861 Channel: 'Microsoft-Windows-WMI-Activity/Operational' selection_suspicious: Consumer|contains: - 'CommandLineEventConsumer' - 'ActiveScriptEventConsumer' selection_payload: Consumer|contains: - 'powershell' - 'cmd.exe' - 'wscript' - 'cscript' - 'mshta' - 'rundll32' - 'regsvr32' condition: selection_consumer and selection_suspicious and selection_payload filter_legitimate: Consumer|contains: - 'SCM Event Log Consumer' - 'NTEventLogEventConsumer' falsepositives: - Software de gerenciamento legítimo (SCCM, WEM) - Scripts de administração corporativa aprovados level: high ``` ### Indicadores Adicionais Monitorar também: - Execução de `mofcomp.exe` com arquivos `.mof` em diretórios temporários - Criação de arquivos no namespace `root\subscription` via WMI logging (ID 5857, 5858, 5860, 5861) - Processos filhos de `WmiPrvSe.exe` que não sejam `WmiApSrv.exe` ou outros processos WMI legítimos - Acesso ao repositório CIM em `%SystemRoot%\System32\wbem\Repository\` ## Mitigação | ID | Mitigação | Aplicação | |----|-----------|-----------| | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Restringir contas com permissão para criar WMI subscriptions. Apenas administradores de domínio devem ter acesso ao namespace `root\subscription`. | | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Aplicar princípio do menor privilégio; evitar contas com privilégios SYSTEM desnecessários. Usar contas de serviço dedicadas com escopo mínimo. | | M1040 | [[m1040-behavior-prevention-on-endpoint\|M1040 - Behavior Prevention on Endpoint]] | Soluções EDR como CrowdStrike Falcon, Microsoft Defender for Endpoint e SentinelOne têm detecção nativa para WMI subscriptions maliciosas. Garantir que proteções comportamentais estejam habilitadas. | **Controles adicionais recomendados:** - Habilitar WMI Activity Logging (`Microsoft-Windows-WMI-Activity/Operational`) em todos os endpoints - Usar `Get-WMIObject -Namespace root\subscription -Class __EventFilter` regularmente para auditoria - Considerar desabilitar `ActiveScriptEventConsumer` via GPO em ambientes que não necessitam de scripts WMI ## Contexto Brasil/LATAM No contexto brasileiro, a técnica T1546.003 é relevante em múltiplos vetores de ameaça observados na região: **Setor Financeiro:** Grupos como [[g0061-fin8|FIN8]] e organizações criminosas brasileiras com capacidade técnica equivalente utilizam WMI persistence em ataques prolongados contra bancos e fintechs. A natureza furtiva da técnica é ideal para operações de longa duração como as fraudes bancárias sofisticadas documentadas pelo [[cert-br|CERT.br]]. **Infraestrutura Crítica:** Empresas do setor de energia (Petrobras, distribuidoras elétricas), telecomúnicações (Claro, Vivo, TIM) e logística são alvos de grupos de espionagem que utilizam WMI subscriptions como parte de toolchains APT. O [[g1001-hexane|HEXANE]] e grupos similares focados em petróleo e gás representam ameaça relevante. **Ransomware:** Operadores de ransomware como [[lockbit|LockBit]] e [[black-basta|Black Basta]], que afetaram organizações brasileiras, utilizam WMI persistence para garantir que loaders e droppers sobrevivam a tentativas de remediação parcial durante a fase de comprometimento pré-ransom. **Recomendação para equipes SOC brasileiras:** Priorizar a habilitação do WMI Activity Log (desabilitado por padrão no Windows) e incluir queries de auditoria WMI nos runbooks de resposta a incidentes. Ferramentas como o Sysmon (Event ID 19, 20, 21) fornecem visibilidade adicional sem custo adicional de licenciamento. ## Referências - [[t1546-event-triggered-execution|T1546 - Event Triggered Execution]] - técnica pai - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - técnica relacionada de execução via WMI - [[t1055-process-injection|T1055 - Process Injection]] - frequentemente combinada com WMI persistence - [[g0016-apt29|APT29]] - grupo que usa POSHSPY via WMI - [[g0010-turla|Turla]] - grupo com histórico de WMI persistence de longa duração - [[g0061-fin8|FIN8]] - grupo com ataques ao setor financeiro usando WMI - [[g0108-blue-mockingbird|Blue Mockingbird]] - cluster de criptomineração via WMI - [[g1001-hexane|HEXANE]] - grupo com foco em infraestrutura crítica de energia - [[s0150-poshspy|POSHSPY]] - backdoor do APT29 baseado em WMI - [[badhatch|BADHATCH]] - malware do FIN8 com WMI persistence - [[m1040-behavior-prevention-on-endpoint|M1040 - Behavior Prevention on Endpoint]] - mitigação principal - [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - controle de contas privilegiadas --- *Fonte: [MITRE ATT&CK - T1546.003](https://attack.mitre.org/techniques/T1546/003)*