detecting-wmi-persistence
作者 mukul975detecting-wmi-persistence 技能可協助威脅獵捕與 DFIR 分析師,使用 Sysmon Event IDs 19、20、21 在 Windows 遙測中偵測 WMI 事件訂閱持久化。可用來辨識惡意的 EventFilter、EventConsumer 與 FilterToConsumerBinding 活動、驗證調查結果,並區分攻擊者持久化與正常的系統管理自動化。
這個技能的評分為 78/100,值得收錄:它為目錄使用者提供一套具體的 WMI 持久化獵捕流程、足夠的觸發上下文,以及支援用的腳本/參考資料。作為安裝決策依據相當穩健,但使用者要注意它偏向 Windows/Sysmon 環境,且更著重偵測而非完整端到端自動化。
- 觸發條件清楚明確:透過 Sysmon Event IDs 19、20、21 來獵捕 WMI 事件訂閱持久化。
- 作業流程交代完整,包括先決條件、可疑的 consumer 類型,以及 PowerShell/WMI 枚舉範例。
- 支援檔案具加分效果:包含 Python agent 腳本,以及 Sysmon/WMI 欄位與命令的 API 參考。
- 需要相對特定的環境:Sysmon 的 WMI 記錄、SIEM 匯入,以及 Windows 端點上的 PowerShell/WMI 存取。
- 可安裝性稍受限制,因為缺少安裝命令,而且除了核心偵測路徑外,流程訊號密度屬中等。
detecting-wmi-persistence 技能總覽
detecting-wmi-persistence 技能可協助你在 Windows 遙測中追查 WMI 事件訂閱持久化,特別是 Sysmon Event IDs 19、20、21。它最適合需要判斷可疑 WMI 活動究竟是良性的系統管理自動化,還是攻擊者持久化手法的 threat hunter、DFIR 分析師與 blue team。
detecting-wmi-persistence 是用來做什麼的
這個 detecting-wmi-persistence 技能是為了完成一項明確任務而設計:辨識與 MITRE ATT&CK T1546.003 相關的惡意 EventFilter、EventConsumer 與 FilterToConsumerBinding 活動。當你已經有遙測資料或告警,並且需要從訊號快速走到證據時,它特別好用。
為什麼它不同於一般的提示詞
不同於泛用的「檢查是否有持久化」提示詞,detecting-wmi-persistence 提供的是一套具體資料模型:Sysmon 日誌、WMI namespace 查詢、可疑的 consumer 類型,以及清理步驟。這讓它更適合做可重複的調查,也更容易套用到 SIEM 或端點工作流程中。
最適合的使用者與環境
如果你已部署 Sysmon、Windows event forwarding 或 SIEM 匯入,且有足夠權限查詢 root\subscription,就適合使用 detecting-wmi-persistence。相較於只在桌面端做輕量檢查,它更適合威脅狩獵、事件應變,以及紫隊驗證。
如何使用 detecting-wmi-persistence 技能
安裝 detecting-wmi-persistence 技能
使用下列指令安裝:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-wmi-persistence
接著先打開 skills/detecting-wmi-persistence/SKILL.md,再看 references/api-reference.md 與 scripts/agent.py,以了解事件對應與偵測邏輯。
先提供對的輸入
detecting-wmi-persistence 的使用效果最好時,你提供的是以下其中一種:Sysmon 事件片段、可疑主機名稱、時間範圍,或特定的 WMI consumer/filter 名稱。像「檢查 WMI persistence」這種模糊需求,遠不如「調查主機 X 在 UTC 02:00 到 06:00 之間的 Sysmon Event IDs 19-21」來得好處理。
威脅狩獵的建議工作流程
在 Threat Hunting 情境下使用 detecting-wmi-persistence 時,先從 Sysmon Event IDs 19、20、21 著手,接著檢查 consumer 是否為 CommandLineEventConsumer 或 ActiveScriptEventConsumer,再到 root\subscription 驗證 binding。如果你已經有候選的 filter 或 consumer 名稱,就先用它縮小範圍,再進行全面枚舉。
先讀 repo 裡的哪些內容
先閱讀 references/api-reference.md,裡面有事件 ID、PowerShell 枚舉方式,以及可疑 consumer 類別的說明。若你想了解這個技能如何自動化蒐集、它判定哪些項目可疑,以及它對 Windows 存取權限與遙測可用性的假設,請再看 scripts/agent.py。
detecting-wmi-persistence 技能 FAQ
detecting-wmi-persistence 只適合 Sysmon 使用者嗎?
大致上是。這個技能是圍繞 Sysmon Event IDs 19、20、21 建立的,所以如果你沒有啟用 Sysmon 的 WMI logging,detecting-wmi-persistence 技能的效果會明顯下降。你仍然可以使用其中的 WMI 查詢思路,但最強的偵測路徑就會少掉。
需要是 WMI 專家才能使用嗎?
不需要。detecting-wmi-persistence 指南對初學者也很有幫助,只要你能提供日誌或主機上下文,它就能把一個冷門的持久化檢查轉成結構化的狩獵流程。不過你仍需要足夠的 Windows 存取權限來驗證訂閱,或是與有該權限的人協作。
什麼情況下不該使用這個技能?
不要把 detecting-wmi-persistence 當成通用的惡意程式初步分流技能,也不要把它當成完整端點鑑識分析的替代品。如果問題比 WMI 持久化更廣,可能應該先用更通用的 hunting 或 IR 技能。
它和一般提示詞有什麼不同?
一般提示詞通常會要求模型憑記憶推斷工作流程。detecting-wmi-persistence 技能則提供更明確的路徑:事件 ID、可能的 artefact 類別,以及以 repo 為基礎的驗證步驟,因此通常代表較少誤判起點,也有更好的調查結構。
如何改善 detecting-wmi-persistence 技能
一開始就提供更高品質的遙測
對 detecting-wmi-persistence 來說,最大的改善就是更好的輸入。請提供原始 Sysmon XML、轉送後的事件片段、主機角色,以及時間範圍。例如,「Host WS-17、Sysmon 19-21 events、可疑 CommandLineEventConsumer、使用者脈絡未知」會比「我覺得 WMI 很怪」有用得多。
把良性自動化和可疑持久化分開來看
常見的失敗模式是過度解讀合法的管理型 WMI 使用。若要提升 detecting-wmi-persistence 的結果,請告訴技能你環境裡什麼才算正常:已知的部署工具、排程管理代理程式,或核准過的腳本。這些背景能幫助狩獵聚焦在異常的 filter、consumer 與 binding 上。
用有目標的追問逐步收斂
第一次分析後,可以要求 detecting-wmi-persistence 技能一次只聚焦一種 artefact:filter、consumer 或 binding。你也可以請它提供驗證清單、以清理為導向的查詢計畫,或是轉成 SIEM query。這樣逐步迭代,通常比一次要求一個大而全的結論更能產出可執行的結果。