Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1047
Злоумышленники могут злоупотреблять инструментарием управления Windows (WMI) для выполнения вредоносных команд и полезной нагрузки. WMI предназначен для программистов и является инфраструктурой для управления данными и операциями в системах Windows.(Цитата: WMI 1-3) WMI - это функция администрирования, которая обеспечивает единую среду для доступа к компонентам системы Windows.
Служба WMI обеспечивает как локальный, так и удаленный доступ, хотя последний облегчается благодаря Remote Services, таким как Distributed Component Object Model и Windows Remote Management.(Цитата: WMI 1-3) Удаленный WMI через DCOM работает через порт 135, тогда как WMI через WinRM работает через порт 5985 при использовании HTTP и 5986 для HTTPS.(Цитата: WMI 1-3) (Цитата: Mandiant WMI)
Злоумышленник может использовать WMI для взаимодействия с локальными и удаленными системами и использовать его как средство для выполнения различных действий, таких как сбор информации для Обнаружения, а также Выполнения команд и полезной нагрузки.(Цитата: Mandiant WMI) Например, `wmic.exe` может быть использован Злоумышленником для удаления теневых копий командой `wmic.exe Shadowcopy Delete` (т.е,Inhibit System Recovery).(Цитата: WMI 6)
**Примечание:** `wmic.exe` устарел с января 2024 года, а функция WMIC будет "отключена по умолчанию" в Windows 11+.WMIC будет удален из последующих выпусков Windows и заменен PowerShell в качестве основного интерфейса WMI.(Цитата: WMI 7,8) В дополнение к PowerShell и инструментам типа `wbemtool.exe`, COM API также могут быть использованы для программного взаимодействия с WMI через C++, .NET, VBScript и т.д.(Цитата: WMI 7,8)
https://attack.mitre.org/techniques/T1047
Визуализация смежных техник для T1047
| № | Техника |
|---|
