astea-b/wmi-persistence-removal-protocol

# Windows WMI 持久化检测与权限提升分析 ## 项目概述 本仓库包含一份高级技术分析报告和检测配置（XML），专注于识别、监控和缓解恶意的 Windows Management Instrumentation (WMI) 持久化机制。这些方法常被威胁行为者用于隐蔽的权限提升。 ## 业务价值与解决的问题 * **威胁：** 攻击者滥用 WMI Event Subscriptions，在系统事件或系统启动期间自动执行恶意 payload，完全绕过传统的进程监控控制。 * **解决方案：** 创建了企业级的 Sysmon 日志过滤器，以准确跟踪未经授权的 WMI Event Consumers 和 Bindings。 * **成果：** 为事件响应人员和 Blue Teams 提供了一套结构化的协议，以 uncover 隐藏的基础设施后门，大幅缩短了违规后的修复时间（TTR）。 ## 仓库结构 * `WMI Persistence.xml` — 用于 WMI 活动的高级 Sysmon 监控过滤器。 * `Create WMI Persistence Removal & Privilege Escalation Activity Analysis.md` — 深入的取证分析、威胁狩猎方法论和系统修复指南。 ## 使用的技术 * **监控与日志：** Microsoft Sysmon, Windows Event Logs (Event ID 19, 20, 21) * **框架：** MITRE ATT&CK (T1546.003 - Event Triggered Execution: WMI Event Subscription) * **环境：** Active Directory / Windows Enterprise Systems

标签：CIDR输入, Sysmon, Terraform 安全, WMI, 安全基线, 库, 应急响应, 教学环境, 权限提升检测