Windows 管理规范事件订阅

可以使用 Windows 管理规范（WMI）安装在发生定义事件时执行代码的事件过滤器，提供程序，使用程序和绑定程序。­攻击者可以使用 WMI 的功能来订阅事件并在事件发生时执行任意代码，从而在系统上获得持久性。攻击者可能会试图通过编译 WMI 脚本来规避对此技术的检测。可订阅的事件示例有挂钟时间或计算机的正常运行时间。据报道，一些威胁组织使用这种技术来维持持久性。

缓解

禁用 WMI 服务可能会导致系统不稳定，应评估其对网络的影响。
默认情况下，只有管理员可以使用 WMI 远程连接；限制允许连接的其他用户，或禁止所有用户远程连接到 WMI。
防止管理员和特权帐户系统之间的凭据重叠。

检测

监视 WMI 事件订阅条目，将当前 WMI 事件订阅与每个主机的已知良好订阅进行比较。
诸如 Sysinternals Autoruns 之类的工具也可以用于检测尝试建立持久性导致的 WMI 更改。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn