WMIC远程命令

编辑

WMIC远程命令

编辑

识别使用wmic.exe在远程主机上运行命令的行为。虽然管理员可以合法地使用此命令，但攻击者可以滥用此内置实用程序来实现横向移动。

规则类型: eql

规则索引:

logs-endpoint.events.process-*
logs-windows.sysmon_operational-*
endgame-*
logs-system.security*
winlogbeat-*

严重性: 低

风险评分: 21

运行频率: 60分钟

搜索索引时间范围: now-119m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考: 无

标签:

领域: 端点
操作系统: Windows
用例: 威胁检测
策略: 横向移动
数据源: Elastic Defend
规则类型: BBR
数据源: Sysmon
数据源: Elastic Endgame
数据源: 系统

版本: 107

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

process where host.os.type == "windows" and event.type == "start" and
  process.name : "WMIC.exe" and
  process.args : "*node:*" and
  process.args : ("call", "set", "get") and
  not process.args : ("*/node:localhost*", "*/node:\"127.0.0.1\"*", "/node:127.0.0.1")

框架: MITRE ATT&CK^TM

策略
- 名称: 横向移动
- ID: TA0008
- 参考链接: https://attack.mitre.org/tactics/TA0008/
技术
- 名称: 远程服务
- ID: T1021
- 参考链接: https://attack.mitre.org/techniques/T1021/
子技术
- 名称: Windows远程管理
- ID: T1021.006
- 参考链接: https://attack.mitre.org/techniques/T1021/006/
策略
- 名称: 执行
- ID: TA0002
- 参考链接: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: Windows管理规范
- ID: T1047
- 参考链接: https://attack.mitre.org/techniques/T1047/

« WMI WBEMTEST实用程序执行通过DLL劫持利用WPS Office »