T1047: ІНСТРУМЕНТАРІЙ КЕРУВАННЯ WINDOWS (WMI)
Зловмисники зловживають WMI для виконання шкідливих команд та навантажень. WMI — це вбудована інфраструктура Windows для управління даними та операціями, яка надає єдиний інтерфейс для доступу до компонентів системи. Вона підтримує як локальне, так і віддалене керування (через RPC/DCOM або WinRM), що дозволяє зловмисникам маніпулювати процесами, збирати дані про систему або видаляти резервні копії (Shadow Copies) для перешкоджання відновленню.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть зловживати інструментарієм керування Windows (WMI) для виконання шкідливих команд і корисних навантажень. WMI розроблений для програмістів і є інфраструктурою для керування даними та операціями в системах Windows. WMI — це функція адміністрування, яка забезпечує уніфіковане середовище для доступу до компонентів системи Windows.
Служба WMI забезпечує як локальний, так і віддалений доступ, хоча останній здійснюється за допомогою віддалених сервісів (Remote Services), таких як Distributed Component Object Model (DCOM) та Windows Remote Management (WinRM). Віддалений WMI через DCOM працює з використанням порту 135, тоді як WMI через WinRM працює через порт 5985 (HTTP) або 5986 (HTTPS).
Зловмисник може використовувати WMI для взаємодії з локальними та віддаленими системами та застосовувати його як засіб для виконання різних дій, таких як збір інформації для розвідки (Discovery), а також виконання (Execution) команд і навантажень. Наприклад, утиліта wmic.exe може бути використана зловмисником для видалення тіньових копій за допомогою команди wmic.exe Shadowcopy Delete (техніка Inhibit System Recovery — перешкоджання відновленню системи).
Примітка: Станом на січень 2024 року утиліта wmic.exe вважається застарілою, а функція WMIC вимкнена за замовчуванням у Windows 11+. WMIC буде вилучено з наступних випусків Windows і замінено на PowerShell як основний інтерфейс WMI. Окрім PowerShell та інструментів на кшталт wbemtool.exe, для програмної взаємодії з WMI через C++, .NET, VBScript тощо також можна використовувати API COM.
Чому WMI такий небезпечний?
- Безфайловість (Fileless): Команди WMI виконуються в контексті системної служби WmiPrvSE.exe, що дозволяє зловмисникам уникати створення підозрілих файлів на диску.
- Віддалений доступ: Якщо у зловмисника є права адміністратора, він може виконувати код на будь-якому комп’ютері в домені без використання сторонніх інструментів.
- Потужність: WMI має доступ практично до всього: від списку встановленого ПЗ до керування логічними дисками та мережевими налаштуваннями.