WMIC 远程命令

编辑

WMIC 远程命令

编辑

识别使用 wmic.exe 在远程主机上运行命令的情况。虽然管理员可以合法使用此功能，但攻击者可以滥用此内置实用工具来实现横向移动。

规则类型: eql

规则索引:

logs-endpoint.events.process-*
logs-windows.sysmon_operational-*
endgame-*
logs-system.security*
winlogbeat-*

严重性: 低

风险评分: 21

运行频率: 60 分钟

搜索索引时间范围: now-119m ( 日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

域: 端点
操作系统: Windows
用例: 威胁检测
战术: 横向移动
数据源: Elastic Defend
规则类型: BBR
数据源: Sysmon
数据源: Elastic Endgame
数据源: 系统

版本: 107

规则作者:

Elastic

规则许可证: Elastic License v2

规则查询

编辑

process where host.os.type == "windows" and event.type == "start" and
  process.name : "WMIC.exe" and
  process.args : "*node:*" and
  process.args : ("call", "set", "get") and
  not process.args : ("*/node:localhost*", "*/node:\"127.0.0.1\"*", "/node:127.0.0.1")

框架: MITRE ATT&CK^TM

战术
- 名称: 横向移动
- ID: TA0008
- 参考 URL: https://attack.mitre.org/tactics/TA0008/
技术
- 名称: 远程服务
- ID: T1021
- 参考 URL: https://attack.mitre.org/techniques/T1021/
子技术
- 名称: Windows 远程管理
- ID: T1021.006
- 参考 URL: https://attack.mitre.org/techniques/T1021/006/
战术
- 名称: 执行
- ID: TA0002
- 参考 URL: https://attack.mitre.org/tactics/TA0002/
技术
- 名称: Windows 管理工具
- ID: T1047
- 参考 URL: https://attack.mitre.org/techniques/T1047/

« WMI WBEMTEST 实用工具执行通过 DLL 劫持利用 WPS Office »