WMI持久性后门检测与清除技术指南

1. WMI持久性后门概述

Windows Management Instrumentation (WMI)事件订阅已成为攻击者在端点上建立持久性后门的流行技术。攻击者利用WMI功能订阅事件并在事件触发时执行恶意代码，实现系统持久化驻留。

1.1 WMI基本概念

WMI是微软对基于Web的企业管理(WBEM)规范的实现，使用公共信息模型(CIM)行业标准表示系统组件。关键组件包括：

• 事件过滤器：描述WMI传递事件的条件
• 事件消费者：定义事件触发时执行的操作
• 绑定：将过滤器与消费者关联

2. 检测WMI持久性后门

2.1 使用Sysmon监控WMI活动

配置Sysmon记录以下事件ID：

• 事件ID 19：WmiEventFilter活动
• 事件ID 20：WmiEventConsumer活动
• 事件ID 21：WmiEventConsumerToFilter活动

安装命令：

sysmon.exe -i -c .\config_file.xml

2.2 典型攻击特征分析

Empire的Invoke-WMI模块会：

1. 注册WMI事件过滤器（设置执行条件，如系统正常运行时间）
2. 注册WMI事件消费者（包含Base64编码的payload，常伪装为"Updater"等正常名称）
3. 将消费者绑定到过滤器

3. 清除WMI持久性后门

3.1 使用Autoruns工具

1. 以管理员身份运行Autoruns
2. 选择"WMI"选项卡
3. 查找可疑条目（如名称异常、路径可疑的条目）
4. 右键点击选择"Delete"删除

3.2 使用PowerShell命令

3.2.1 查看WMI订阅

# 查看事件过滤器
Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "Name = 'Updater'"

# 查看事件消费者
Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name = 'Updater'"

# 查看绑定关系
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%Updater%'"

3.2.2 删除WMI订阅

# 删除事件过滤器
Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "Name = 'Updater'" | Remove-WmiObject -Verbose

# 删除事件消费者
Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name = 'Updater'" | Remove-WmiObject -Verbose

# 删除绑定关系
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%Updater%'" | Remove-WmiObject -Verbose

4. 防御建议

1. 启用Sysmon监控：配置WMI相关事件记录
2. 定期检查WMI订阅：使用Autoruns或PowerShell脚本
3. 限制WMI权限：通过组策略限制普通用户对WMI的访问
4. 监控异常进程创建：关注由WMI启动的异常进程
5. 实施应用白名单：阻止未经授权的脚本执行

5. 总结

WMI持久性后门是高级威胁中常见的技术，通过系统化监控和定期检查可以有效发现和清除此类后门。结合Sysmon日志分析和PowerShell/WMI命令，安全团队可以构建完整的检测和响应流程。