Drucksache: Windows Developer 12.16 - Windows Management Instrumentation (WMI) in Angreiferhand
Im windows.developer 12.16 ist ein Artikel über Angriffe auf die Windows Management Instrumentation (WMI) erschienen.
Die WMI hilft Administratoren sowohl bei der lokalen Administration als auch bei der Fernwartung ihrer Windows-Rechner. Angreifer können die gleichen Funktionen für Angriffe missbrauchen, und das wird von den Cyberkriminellen und Cyberkriegern auch schon getan. Man kann sich selbst vor solchen Angriffen schützen, wobei die sicherste Lösung, WMI ausschalten, auch zugleich die schlechteste ist, denn WMI wird von Windows zu oft benötigt.
Aber immerhin kann man WMI auch nutzen, um WMI zu überwachen und Angriffe zu erkennen. Dass der Angreifer diesen Schutz über WMI auch wieder aushebeln kann, wenn er Administrator-Rechte erlangt, kommt dabei nicht unerwartet. Ein Angreifer, der Administrator- Rechte hat, hat die vollständige Kontrolle über den Rechner und kann auch die meisten anderen Schutzmaßnahmen aushebeln oder einfach ausschalten.
Wenig bis keinen Schutz bieten bisher die kommerziellen Sicherheitslösungen, da sie WMI noch weitgehend ignorieren. Da gibt es für die Hersteller noch einiges zu tun.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Jérémy Brun; Pop Pop Ret: "Playing with MOF files on Windows, for fun & profit"
- [2] Matthew Graeber; Black Hat USA 2015: "Abusing Windows Management Instrumentation (WMI) to Build a Persistent, Asynchronous, and Fileless Backdoor" (Video auf YouTube)
- [3] Matthew Graeber, Willi Ballenthin, Claudiu Teodorescu; DEF CON 23: "WhyMI so Sexy? WMI Attacks, Real-Time Defense, and Advanced Forensic Analysis" (Präsentation als PDF, Video auf YouTube)
- [4] William Ballenthin, Matt Graeber, Claudiu Teodorescu; FireEye Threat Research Blog: "Windows Management Instrumentation (WMI) Offense, Defense, and Forensics"
- [5] Distributed Management Task Force (DMTF): Web-Based Enterprise Management (WBEM)
- [6] Distributed Management Task Force (DMTF): Common Information Model (CIM)
- [7] Microsoft Developer Network: Win32_Process class (Windows)
- [8] Microsoft Developer Network: Querying with WQL
- [9] Casey Smith, GitHub: EvilWMIProvider - Installs And Executes Shellcode
- [10] Jared Atkinson, GitHub: EvilNetConnectionWMIProvider
- [11] Matt Graeber; GitHub: WMI_Backdoor
- [12] Dave Hull; GitHub: Kansa - A Powershell incident response framework
- [13] FireEye; GitHub: flare-wmi/WMI-IDS
- [14]Timothy Parisi, Evan Pena; FireEye Threat Research Blog: "WMI vs. WMI: Monitoring for Malicious Activity"
Trackbacks