detecting-wmi-persistence
作者 mukul975detecting-wmi-persistence 技能可帮助威胁狩猎和 DFIR 分析师,利用 Windows 遥测中的 Sysmon Event ID 19、20 和 21 发现 WMI 事件订阅持久化。可用来识别恶意的 EventFilter、EventConsumer 和 FilterToConsumerBinding 活动,验证发现,并区分攻击者持久化与正常的管理员自动化。
该技能评分为 78/100,值得收录:它为目录用户提供了清晰的 WMI 持久化狩猎流程,包含足够的上下文,便于正确触发,并配有辅助脚本/参考资料。作为安装决策参考,它表现扎实,但需要注意其更适合 Windows/Sysmon 环境,且偏向检测分析,而非完全端到端自动化。
- 触发场景清晰具体:通过 Sysmon Event ID 19、20 和 21 进行 WMI 事件订阅持久化狩猎。
- 工作流程讲得很实:包括前置条件、可疑的 consumer 类型,以及 PowerShell/WMI 枚举示例。
- 配套文件增强了可用性:包含一个 Python agent 脚本,以及关于 Sysmon/WMI 字段和命令的 API 参考。
- 对环境要求较具体:需要 Sysmon 的 WMI 日志、SIEM 接入,以及 Windows 终端上的 PowerShell/WMI 访问能力。
- 由于缺少安装命令,且除核心检测路径外的工作流信号密度中等,因此可安装性受到一定限制。
detecting-wmi-persistence 技能概览
detecting-wmi-persistence 技能帮助你在 Windows telemetry 中排查 WMI event subscription 持久化,尤其适合关注 Sysmon Event IDs 19、20 和 21。它最适合 threat hunters、DFIR analysts 和 blue teams,用来判断可疑的 WMI 活动到底是正常的管理员自动化,还是攻击者留下的持久化。
detecting-wmi-persistence 用于什么场景
这个 detecting-wmi-persistence 技能是为一个非常明确的任务设计的:识别与 MITRE ATT&CK T1546.003 相关的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 活动。它最有价值的场景,是你已经有 telemetry 或告警,需要快速从信号走到证据。
detecting-wmi-persistence 与通用提示词有何不同
不同于笼统的“检查是否存在持久化”提示词,detecting-wmi-persistence 提供了更具体的数据模型:Sysmon 日志、WMI namespace 查询、可疑 consumer 类型,以及清理步骤。这让它更适合可重复的调查流程,也更容易接入 SIEM 或 endpoint 工作流。
最适合的用户与环境
如果你已经部署了 Sysmon,接入了 Windows event forwarding 或 SIEM,并且有足够权限查询 root\subscription,detecting-wmi-persistence 就很适合你。它更适合 hunt engineering、incident response 和 purple team 验证,而不是只在轻量级桌面环境里做临时排查。
如何使用 detecting-wmi-persistence 技能
安装 detecting-wmi-persistence 技能
使用下面的命令安装:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-wmi-persistence
然后先打开 skills/detecting-wmi-persistence/SKILL.md,接着查看 references/api-reference.md 和 scripts/agent.py,以理解 event mapping 和 detection logic。
从合适的输入开始
detecting-wmi-persistence 的使用效果最好的一类输入是下面这些:Sysmon 事件片段、可疑主机名、时间窗口,或者某个具体的 WMI consumer/filter 名称。像“检查 WMI persistence”这种模糊请求,处理效率会明显低于“调查主机 X 在 UTC 02:00 到 06:00 之间的 Sysmon Event IDs 19-21”。
面向 threat hunting 的推荐工作流
如果你要用 detecting-wmi-persistence 做 Threat Hunting,先从 Sysmon Event IDs 19、20 和 21 入手,然后检查 consumer 是否是 CommandLineEventConsumer 或 ActiveScriptEventConsumer,再到 root\subscription 里验证 binding。如果你已经有候选的 filter 或 consumer 名称,先用它缩小范围,再去枚举全部对象。
仓库里先看什么
先读 references/api-reference.md,这里有 event IDs、PowerShell 枚举方法,以及可疑 consumer classes。再看 scripts/agent.py,了解这个技能如何自动化采集、它认定什么是可疑行为,以及它对 Windows 访问权限和 telemetry 可用性的假设。
detecting-wmi-persistence 技能 FAQ
detecting-wmi-persistence 只能给 Sysmon 用户用吗?
基本上是的。这个技能围绕 Sysmon Event IDs 19、20 和 21 构建;如果你没有启用 Sysmon 的 WMI logging,detecting-wmi-persistence 的效果会大打折扣。你仍然可以借用其中的 WMI query 思路,但最强的 detection 路径会失去。
使用它需要懂 WMI 吗?
不需要。只要你能提供日志或主机上下文,detecting-wmi-persistence 指南对初学者也有帮助,因为它把一个小众的持久化检查变成了结构化排查。你确实需要有足够的 Windows 访问权限去验证 subscriptions,或者和有权限的人协作。
什么时候不该用这个技能?
不要把 detecting-wmi-persistence 当作通用的 malware triage 技能,也不要把它当成完整 endpoint forensic analysis 的替代品。如果问题范围比 WMI persistence 更大,你可能应该先用更通用的 hunting 或 IR 技能。
它和普通提示词相比有什么优势?
普通提示词通常是让模型凭记忆去推断工作流。detecting-wmi-persistence 技能给出了一条更紧的路径:event IDs、可能的 artifact classes,以及基于仓库的验证步骤。这通常意味着更少的试错,也意味着更清晰的调查结构。
如何改进 detecting-wmi-persistence 技能
一开始就给更高质量的 telemetry
改进 detecting-wmi-persistence 的最大手段,是把输入做得更好。提供原始 Sysmon XML、转发后的事件片段、主机角色和时间范围。比如,“主机 WS-17,Sysmon 19-21 事件,可疑 CommandLineEventConsumer,用户上下文未知”要比“我觉得 WMI 很怪”有价值得多。
区分正常自动化和可疑持久化
常见失败点是把合法的管理员 WMI 使用误判成恶意。你可以通过告诉技能“你环境里正常的样子”来提升 detecting-wmi-persistence 的结果:已知的部署工具、计划中的管理代理、批准使用的脚本等。这些上下文能帮助排查更准确地聚焦到异常的 filter、consumer 和 binding。
用有针对性的追问迭代
第一轮分析后,可以让 detecting-wmi-persistence 一次只聚焦一种 artifact:filter、consumer 或 binding。你还可以要求它给出验证清单、面向清理的查询计划,或者 SIEM query 翻译。这样迭代,通常比一次性要一个宽泛结论更容易产出可执行结果。