detecting-wmi-persistence

detecting-wmi-persistence skill 개요

detecting-wmi-persistence skill은 Windows 텔레메트리에서 WMI 이벤트 구독 지속성(WMI event subscription persistence)을 추적하는 데 도움을 줍니다. 특히 Sysmon Event IDs 19, 20, 21을 중심으로 살펴볼 때 유용합니다. 의심스러운 WMI 활동이 정상적인 관리자 자동화인지, 아니면 공격자의 persistence인지 확인해야 하는 threat hunter, DFIR analyst, blue team에 가장 잘 맞습니다.

detecting-wmi-persistence skill의 용도

이 detecting-wmi-persistence skill은 분명한 작업 하나를 위해 설계되었습니다. MITRE ATT&CK T1546.003에 연결된 악성 EventFilter, EventConsumer, FilterToConsumerBinding 활동을 식별하는 것입니다. 이미 telemetry나 alert가 있고, 신호를 빠르게 증거로 연결해야 할 때 특히 유용합니다.

일반적인 prompt와 다른 점

단순히 “persistence를 확인해 달라”는 폭넓은 prompt와 달리, detecting-wmi-persistence는 구체적인 데이터 모델을 제공합니다. Sysmon 로그, WMI namespace 조회, 의심스러운 consumer 유형, 정리 단계까지 포함하므로 반복 가능한 조사에 더 신뢰할 수 있고, SIEM이나 endpoint workflow에도 적용하기 쉽습니다.

가장 잘 맞는 사용자와 환경

Sysmon이 배포되어 있고, Windows event forwarding 또는 SIEM ingestion이 설정되어 있으며, root\subscription을 조회할 수 있을 만큼의 접근 권한이 있다면 detecting-wmi-persistence를 사용하세요. 가벼운 데스크톱 중심 조사보다 hunt engineering, incident response, purple team 검증에 더 잘 맞습니다.

detecting-wmi-persistence skill 사용 방법

detecting-wmi-persistence skill 설치하기

다음 명령으로 설치합니다:

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-wmi-persistence

그다음에는 skills/detecting-wmi-persistence/SKILL.md를 먼저 열고, 이어서 references/api-reference.md와 scripts/agent.py를 확인해 이벤트 매핑과 detection logic을 이해하세요.

적절한 입력으로 시작하기

detecting-wmi-persistence는 다음 중 하나를 제공할 때 가장 잘 작동합니다. Sysmon 이벤트 발췌, 의심스러운 host name, 시간 범위, 특정 WMI consumer/filter 이름입니다. “WMI persistence를 확인해 달라”처럼 막연한 요청보다 “host X에서 02:00~06:00 UTC 사이의 Sysmon Event IDs 19-21을 조사해 달라”처럼 구체적으로 주는 편이 훨씬 빠르게 대응할 수 있습니다.

Threat Hunting을 위한 권장 workflow

Threat Hunting용 detecting-wmi-persistence는 먼저 Sysmon Event IDs 19, 20, 21부터 시작한 뒤, consumer가 CommandLineEventConsumer인지 ActiveScriptEventConsumer인지 확인하고, 그 다음 root\subscription에서 binding을 검증하세요. 후보 filter나 consumer 이름이 이미 있다면, 전체를 열거하기 전에 그 이름으로 범위를 좁혀서 조사하는 것이 좋습니다.

저장소에서 먼저 읽어야 할 파일

references/api-reference.md에서는 event ID, PowerShell enumeration, 의심스러운 consumer class를 확인하세요. scripts/agent.py는 skill이 수집을 어떻게 자동화하는지, 무엇을 suspicious로 판단하는지, Windows 접근 권한과 telemetry 가용성에 대해 어떤 가정을 하는지 이해하는 데 도움이 됩니다.

detecting-wmi-persistence skill FAQ

detecting-wmi-persistence는 Sysmon 사용자만 위한 건가요?

대체로 그렇습니다. 이 skill은 Sysmon Event IDs 19, 20, 21을 중심으로 만들어졌기 때문에, Sysmon WMI logging이 활성화되어 있지 않다면 detecting-wmi-persistence skill의 효과는 훨씬 떨어집니다. WMI query 아이디어는 여전히 활용할 수 있지만, 가장 강력한 detection 경로는 잃게 됩니다.

사용하려면 WMI 전문가여야 하나요?

아닙니다. 로그나 host context를 제공할 수 있는 초보자에게도 detecting-wmi-persistence guide는 유용합니다. 전문적인 persistence 점검을 구조화된 hunt로 바꿔 주기 때문입니다. 다만 subscriptions를 검증할 수 있을 만큼의 Windows 접근 권한은 필요하고, 그렇지 않다면 그 권한이 있는 사람과 함께 작업해야 합니다.

언제 이 skill을 쓰지 말아야 하나요?

detecting-wmi-persistence를 일반적인 malware triage skill로 쓰거나, 전체 endpoint forensic analysis를 대체하는 용도로 쓰지 마세요. 문제가 WMI persistence를 넘어서는 범위라면, 먼저 더 일반적인 hunting 또는 IR skill이 필요할 수 있습니다.

일반 prompt와 비교하면 어떤가요?

일반 prompt는 보통 모델이 기억에 의존해 workflow를 추론하도록 요청합니다. detecting-wmi-persistence skill은 event ID, 가능성이 높은 artifact class, repo 기반 validation step까지 더 촘촘한 경로를 제공하므로, 시행착오가 줄고 investigation structure도 더 좋아지는 경우가 많습니다.

detecting-wmi-persistence skill 개선 방법

처음부터 더 질 좋은 telemetry를 제공하기

detecting-wmi-persistence를 가장 크게 개선하는 방법은 더 나은 입력을 주는 것입니다. raw Sysmon XML, forwarded event snippet, host role, 시간 범위를 함께 제공하세요. 예를 들어 Host WS-17, Sysmon 19-21 events, suspicious CommandLineEventConsumer, user context unknown처럼 주는 편이 WMI가 이상한 것 같다보다 훨씬 강합니다.

정상 자동화와 의심스러운 persistence를 구분하기

자주 발생하는 실패는 정상적인 admin WMI 사용을 과도하게 의심하는 것입니다. detecting-wmi-persistence 결과를 더 좋게 하려면, 환경에서 정상적으로 보이는 것이 무엇인지 알려 주세요. 알려진 배포 도구, 예약된 관리 에이전트, 승인된 스크립트가 그 예입니다. 이런 맥락이 있어야 hunt가 비정상적인 filter, consumer, binding에 더 정확히 집중할 수 있습니다.

목표를 좁힌 후속 질문으로 반복하기

첫 분석 이후에는 detecting-wmi-persistence skill에 한 번에 하나의 artifact 유형만 좁혀 달라고 요청하세요. filter, consumer, binding 중 하나씩 확인하는 방식입니다. 검증 체크리스트, 정리 중심의 query plan, SIEM query 변환을 요청할 수도 있습니다. 이런 식으로 반복하면, 한 번에 넓게 판정해 달라고 하는 것보다 훨씬 더 실행 가능한 결과가 나오는 경우가 많습니다.