Инструментарий управления Windows

Злоумышленники могут злоупотреблять инструментарием управления Windows (WMI) для выполнения вредоносных команд и полезных нагрузок. WMI предназначен для программистов и представляет собой инфраструктуру для данных и операций управления в системах Windows. WMI — это функция администрирования, обеспечивающая единую среду для доступа к компонентам системы Windows. Служба WMI обеспечивает как локальный, так и удаленный доступ, хотя последний облегчается Удаленными службами, такими как Распределенная объектная модель компонентов и Удаленное управление Windows. Удаленный WMI через DCOM работает с использованием порта 135, тогда как WMI через WinRM работает через порт 5985 при использовании HTTP и 5986 для HTTPS. Злоумышленник может использовать WMI для взаимодействия с локальными и удаленными системами и использовать его как средство выполнения различного поведения, такого как сбор информации для Изучения, а также Выполнение команд и полезных нагрузок. Например, `wmic.exe` может быть использован злоумышленником для удаления теневых копий с помощью команды `wmic.exe Shadowcopy Delete` (т.е. Подавление восстановления системы). **Примечание:** `wmic.exe` устарел с января 2024 года, при этом функция WMIC "отключена по умолчанию" в Windows 11+. WMIC будет удален из последующих выпусков Windows и заменен PowerShell в качестве основного интерфейса WMI. В дополнение к PowerShell и инструментам, таким как `wbemtool.exe`, API COM также можно использовать для программного взаимодействия с WMI через C++, .NET, VBScript и т.д.