A Windows Management Instrumentation (WMI) egy távoli menedzsmenthez készült keretrendszer, amely lehetővé teszi rendszerinformációk gyűjtését, kód futtatását és egy eseménykezelő rendszert biztosít, amely segítségével az operációs rendszer eseményeire lehet valós időben reagálni.
A FireEye az utóbbi időben felfutást érzékelt a támadók általi WMI használatban olyan célok érdekében, mint a rendszerfelderítés, távoli kódfuttatás, perzisztencia, oldalirányú mozgás (lateral movement), rejtett adatok tárolása, és VM-ek felderítése.
A rendszerek védelmével foglalkozó szakemberek és az igazságügyi elemzők (forensic analysts) nem voltak tisztában a WMI értékeivel, ami a körülötte tapasztalható homály és a nem dokumentált fájlformátumnak volt betudható.
Kiterjedt visszafejtési (reverse engineering) munkával a FireEye FLARE csoportnak sikerült részletesen dokumentálnia a WMI repozitórium fájlformátumát, függvénykönyvtárat fejlesztettek a repozitórium elemzéséhez/feldolgozásához és egy módszert is kidolgoztak a gyanús tartalom felfedezéséhez (finding evil in the repository).
A FLARE csoport egy whitepaper-t tesz közzé, amelyben bemutatják a WMI architektúráját, esettanulmányokat mutatnak be a WMI támadók általi használatáról, WMI-t alkalmazó támadásokkal szembeni védekezési stratégiát írnak le, valamint megmutatják, hogyan érdemes bányászkodni az adatokban törvényszéki elemzői céllal. A dokumentum azt is körbejárja, hogyan lehet detektálni a támadók aktivitását valós időben a WMI eseménykezelő rendszerén keresztül.
A whitepaper az alábbi hivatkozáson érhető el: