detecting-wmi-persistence
por mukul975A skill detecting-wmi-persistence ajuda threat hunters e analistas de DFIR a detectar persistência por WMI Event Subscription em telemetria do Windows usando os Sysmon Event IDs 19, 20 e 21. Use-a para identificar atividade maliciosa de EventFilter, EventConsumer e FilterToConsumerBinding, validar achados e separar persistência de atacante de automação administrativa legítima.
Esta skill recebe 78/100 e vale a pena listar: ela oferece aos usuários do diretório um fluxo concreto de hunting para persistência em WMI, contexto suficiente para acioná-la corretamente e um conjunto de script/referência de apoio. É uma boa opção para decisões de instalação, embora os usuários devam notar que ela é voltada a ambientes Windows/Sysmon e é mais orientada à detecção do que totalmente automatizada de ponta a ponta.
- Gatilho claro e específico: hunting de persistência por WMI Event Subscription via Sysmon Event IDs 19, 20 e 21.
- O fluxo operacional está bem definido, com pré-requisitos, tipos de consumers suspeitos e exemplos de enumeração em PowerShell/WMI.
- Os arquivos de apoio aumentam o valor: um script Python para agente e uma referência de API para campos e comandos de Sysmon/WMI.
- Exige um ambiente relativamente específico: logging de WMI no Sysmon, ingestão no SIEM e acesso a PowerShell/WMI em endpoints Windows.
- A instalabilidade fica um pouco limitada pela ausência de comando de instalação e pela densidade apenas moderada de sinais de workflow além do caminho principal de detecção.
Visão geral da skill detecting-wmi-persistence
A skill detecting-wmi-persistence ajuda a caçar persistência por assinatura de evento do WMI em telemetria do Windows, especialmente os Sysmon Event IDs 19, 20 e 21. Ela é mais indicada para threat hunters, analistas de DFIR e times de blue team que precisam confirmar se uma atividade suspeita de WMI é automação administrativa legítima ou persistência de atacante.
Para que serve a skill detecting-wmi-persistence
Esta skill detecting-wmi-persistence foi pensada para uma tarefa específica: identificar atividade maliciosa de EventFilter, EventConsumer e FilterToConsumerBinding ligada ao MITRE ATT&CK T1546.003. Ela é mais útil quando você já tem telemetria ou um alerta e precisa de um caminho rápido do sinal até a evidência.
Por que ela é diferente de um prompt genérico
Diferentemente de um prompt amplo para “verificar persistência”, a skill detecting-wmi-persistence oferece um modelo de dados concreto: logs do Sysmon, consultas ao namespace do WMI, tipos suspeitos de consumer e etapas de limpeza. Isso a torna mais confiável para investigações repetíveis e mais fácil de aplicar em um fluxo de SIEM ou endpoint.
Quem aproveita melhor e em quais ambientes
Use a skill detecting-wmi-persistence se você tem Sysmon implantado, Windows Event Forwarding ou ingestão em SIEM, e acesso suficiente para consultar root\subscription. Ela se encaixa melhor em hunt engineering, resposta a incidentes e validação purple team do que em investigações leves apenas na máquina local.
Como usar a skill detecting-wmi-persistence
Instale a skill detecting-wmi-persistence
Instale com:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-wmi-persistence
Depois, abra primeiro skills/detecting-wmi-persistence/SKILL.md, seguido de references/api-reference.md e scripts/agent.py para entender o mapeamento dos eventos e a lógica de detecção.
Comece com a entrada certa
O uso da skill detecting-wmi-persistence funciona melhor quando você fornece um destes itens: um trecho de evento do Sysmon, um nome de host suspeito, uma janela de tempo ou o nome de um consumer/filter específico do WMI. Uma solicitação fraca como “verifique persistência no WMI” é mais lenta de executar do que “investigue os Sysmon Event IDs 19-21 do host X entre 02:00 e 06:00 UTC”.
Fluxo sugerido para threat hunting
Para a skill detecting-wmi-persistence em threat hunting, comece pelos Sysmon Event IDs 19, 20 e 21; depois verifique se o consumer é CommandLineEventConsumer ou ActiveScriptEventConsumer; por fim, confirme o binding em root\subscription. Se você tiver um nome candidato de filter ou consumer, use isso para restringir a busca antes de enumerar tudo.
O que ler primeiro no repositório
Leia references/api-reference.md para ver os event IDs, a enumeração em PowerShell e as classes de consumer suspeitas. Leia scripts/agent.py se quiser entender como a skill automatiza a coleta, o que ela considera suspeito e quais premissas faz sobre acesso ao Windows e disponibilidade de telemetria.
FAQ da skill detecting-wmi-persistence
A skill detecting-wmi-persistence é só para quem usa Sysmon?
Na maior parte, sim. A skill foi construída em torno dos Sysmon Event IDs 19, 20 e 21; então, se o logging de WMI no Sysmon não estiver habilitado, a skill detecting-wmi-persistence será bem menos eficaz. Você ainda pode usar as ideias de consulta ao WMI, mas perde o caminho de detecção mais forte.
Preciso ser especialista em WMI para usar?
Não. O guia detecting-wmi-persistence é útil até para iniciantes que conseguem fornecer logs ou contexto do host, porque transforma uma checagem de persistência nichada em uma caça estruturada. Você só precisa ter acesso suficiente ao Windows para validar subscriptions, ou trabalhar com alguém que tenha esse acesso.
Quando não devo usar esta skill?
Não use detecting-wmi-persistence como uma skill genérica de triagem de malware nem como substituto de uma análise forense completa no endpoint. Se o problema for mais amplo do que persistência via WMI, talvez seja melhor começar com uma skill mais geral de hunting ou IR.
Como ela se compara a um prompt normal?
Um prompt normal geralmente pede que o modelo infira o fluxo de trabalho de memória. A skill detecting-wmi-persistence entrega um caminho mais fechado: event IDs, classes de artefatos prováveis e etapas de validação apoiadas pelo repositório, o que normalmente significa menos tentativas em falso e uma estrutura melhor para a investigação.
Como melhorar a skill detecting-wmi-persistence
Forneça telemetria de melhor qualidade desde o início
A maior melhoria para detecting-wmi-persistence é uma entrada melhor. Envie XML bruto do Sysmon, trechos de eventos encaminhados, o papel do host e o intervalo de tempo. Por exemplo, “Host WS-17, eventos Sysmon 19-21, CommandLineEventConsumer suspeito, contexto de usuário desconhecido” é muito mais útil do que “acho que o WMI está estranho”.
Separe automação legítima de persistência suspeita
Um modo comum de falha é classificar como malicioso o uso legítimo de WMI por administradores. Melhore os resultados da skill detecting-wmi-persistence dizendo o que é normal no seu ambiente: ferramentas de deployment conhecidas, agentes de gerenciamento agendados ou scripts aprovados. Esse contexto ajuda a investigação a focar em filters, consumers e bindings incomuns.
Faça iterações com perguntas de acompanhamento mais direcionadas
Depois da primeira análise, peça à skill detecting-wmi-persistence para se concentrar em um tipo de artefato por vez: filter, consumer ou binding. Você também pode pedir uma checklist de validação, um plano de consulta voltado para limpeza ou uma tradução para consulta de SIEM. Iterar desse jeito costuma gerar saídas mais acionáveis do que pedir um único veredito amplo.