ІНСТРУМЕНТАРІЙ КЕРУВАННЯ WINDOWS (WMI)
"Зловмисники зловживають WMI для виконання шкідливих команд та навантажень. WMI — це вбудована інфраструктура Windows для управління даними та операціями, яка надає єдиний інтерфейс для доступу до компонентів системи. Вона підтримує як локальне, так і віддалене керування (через RPC/DCOM або WinRM), що дозволяє зловмисникам маніпулювати процесами, збирати дані про систему або видаляти резервні копії (Shadow Copies) для перешкоджання відновленню."
TECHNICAL_ANALYSIS
0x01Зловмисники можуть зловживати інструментарієм керування Windows (WMI) для виконання шкідливих команд і корисних навантажень. WMI розроблений для програмістів і є інфраструктурою для керування даними та операціями в системах Windows. WMI — це функція адміністрування, яка забезпечує уніфіковане середовище для доступу до компонентів системи Windows.
Служба WMI забезпечує як локальний, так і віддалений доступ, хоча останній здійснюється за допомогою віддалених сервісів (Remote Services), таких як Distributed Component Object Model (DCOM) та Windows Remote Management (WinRM). Віддалений WMI через DCOM працює з використанням порту 135, тоді як WMI через WinRM працює через порт 5985 (HTTP) або 5986 (HTTPS).
Зловмисник може використовувати WMI для взаємодії з локальними та віддаленими системами та застосовувати його як засіб для виконання різних дій, таких як збір інформації для розвідки (Discovery), а також виконання (Execution) команд і навантажень. Наприклад, утиліта wmic.exe може бути використана зловмисником для видалення тіньових копій за допомогою команди wmic.exe Shadowcopy Delete (техніка Inhibit System Recovery — перешкоджання відновленню системи).
Примітка: Станом на січень 2024 року утиліта wmic.exe вважається застарілою, а функція WMIC вимкнена за замовчуванням у Windows 11+. WMIC буде вилучено з наступних випусків Windows і замінено на PowerShell як основний інтерфейс WMI. Окрім PowerShell та інструментів на кшталт wbemtool.exe, для програмної взаємодії з WMI через C++, .NET, VBScript тощо також можна використовувати API COM.
Чому WMI такий небезпечний?
- Безфайловість (Fileless): Команди WMI виконуються в контексті системної служби WmiPrvSE.exe, що дозволяє зловмисникам уникати створення підозрілих файлів на диску.
- Віддалений доступ: Якщо у зловмисника є права адміністратора, він може виконувати код на будь-якому комп’ютері в домені без використання сторонніх інструментів.
- Потужність: WMI має доступ практично до всього: від списку встановленого ПЗ до керування логічними дисками та мережевими налаштуваннями.