تحلیل قانون: اجرای فرآیند از طریق WMI

Process Execution via WMI - Rule Analysis

چرا این هشدار صادر می‌شود؟

این قانون فرآیندهایی را شناسایی می‌کند که توسط سرویس WmiPrvSE.exe (WMI Provider Host) ایجاد شده‌اند. WMI یک ابزار مدیریتی قدرتمند در ویندوز است، اما مهاجمان از آن برای اجرای کد، حرکت جانبی در شبکه (Lateral Movement) و تداوم دسترسی استفاده می‌کنند. [Image of WMI architecture] زمانی که دستوری از طریق WMI اجرا می‌شود، معمولاً WmiPrvSE.exe به عنوان فرآیند والد آن ظاهر می‌شود.

Parent Process: WmiPrvSE.exe
Technique: Windows Management Instrumentation (T1047)
Goal: Execution & Lateral Movement

این تکنیک به مهاجم اجازه می‌دهد تا بدون نیاز به انتقال فایل‌های اجرایی، دستورات خود را روی سیستم‌های هدف اجرا کند.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر

  • حرکت جانبی (Lateral Movement): استفاده از ابزارهایی مانند wmiexec.py (از مجموعه Impacket) که باعث اجرای cmd یا powershell توسط WmiPrvSE روی سیستم مقصد می‌شود.
  • اجرای کد از راه دور: اجرای دستورات مخرب برای دانلود و نصب بدافزار روی چندین سیستم به صورت همزمان.

سناریوهای متوسط

  • اجرای اسکریپت‌های محلی: استفاده از wmic برای اجرای اسکریپت‌ها یا باینری‌های مشکوک به منظور دور زدن کنترل‌های امنیتی والد-فرزند.
  • جمع‌آوری اطلاعات: اجرای دستورات شناسایی شبکه و سیستم توسط WMI.

سناریوهای کم‌خطر (مثبت کاذب)

  • مدیریت سیستم (SCCM): ابزارهای مدیریت پیکربندی مایکروسافت به طور گسترده از WMI برای نصب نرم‌افزار و به‌روزرسانی استفاده می‌کنند.
  • ابزارهای مانیتورینگ: نرم‌افزارهای نظارتی که برای جمع‌آوری متریک‌های سیستم از WMI استفاده می‌کنند.

ارزیابی خطر و تریاژ

برای تشخیص واقعی بودن تهدید، موارد زیر را بررسی کنید:

نشانه قطعی خطر: اجرای دستوراتی که خروجی آن‌ها به یک فایل موقت در مسیر ADMIN$ هدایت می‌شود (رفتار مشخص wmiexec).

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

  • Sysmon Event ID 1 (Process Creation)
  • Windows Security Event 4688

دیتامدل‌های مورد استفاده

  • Endpoint.Processes

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌های سیستمی در Splunk، این فیلدها حیاتی هستند:

parent_process_name (WmiPrvSE.exe)
process_name
process (Command Line)
user
dest