r ei## 🧠 WMI – Ein unterschätztes Einfallstor im Windows-Ökosystem
WMI ist standardmäßig auf jedem Windows-System installiert – von Windows 2000 bis Windows 11. Es ist ein fester Bestandteil der Systemarchitektur und damit immer verfügbar, sowohl für Administratoren als auch potenziell für Angreifer.
Windows Management Instrumentation (WMI) ist seit Jahren fester Bestandteil aller modernen Windows-Betriebssysteme. Ursprünglich entwickelt, um Administratoren zentrale Steuerungs- und Überwachungsmöglichkeiten zu bieten, ist WMI längst zu einem doppelschneidigen Schwert geworden: Einerseits extrem nützlich, andererseits ein beliebtes Werkzeug für Angreifer – besonders im Rahmen sogenannter fileless attacks.
💡 Was ist WMI?
WMI ist eine Windows-Schnittstelle, die Zugriff auf Informationen und Funktionen des Betriebssystems bietet. Administratoren können damit u. a.:
-
Informationen zu installierter Software, Prozessen oder Hardware abfragen
-
Dienste starten, stoppen oder neugestalten
-
Remote-Befehle auf anderen Rechnern ausführen
-
Ereignisgesteuerte Automatisierungen konfigurieren
Das funktioniert über PowerShell, wmic, oder Programmierschnittstellen wie COM/DCOM.
Beispiel: Aktuelle Betriebssysteminformationen abfragen:
Get-WmiObject -Class Win32_OperatingSystem | Select-Object Caption, Version, BuildNumber🕵️♂️ WMI in der Angriffs-Praxis
Cyberkriminelle verwenden WMI gerne für sogenannte fileless Angriffe, bei denen keine klassischen Dateien gespeichert werden, sondern alles direkt im Speicher oder über legitime Systemfunktionen läuft. Typische Beispiele:
- Remote Code Execution:
Invoke-WmiMethod -Class Win32_Process -Name Create -ArgumentList "calc.exe" -ComputerName zielrechner→ Startet den Windows-Taschenrechner auf einem entfernten Rechner – ohne Dateiübertragung.
- Persistenz durch Event Subscriptions:
Angreifer können WMI-Ereignisse abonnieren, um z. B. bei jedem Systemstart automatisch schadhaften Code auszuführen – dauerhaft und schwer erkennbar.
Beispiel (vereinfacht):
$Filter = Set-WmiInstance -Namespace root\subscription -Class __EventFilter -Arguments @{ ... }
$Consumer = Set-WmiInstance -Namespace root\subscription -Class CommandLineEventConsumer -Arguments @{ ... }
Set-WmiInstance -Namespace root\subscription -Class __FilterToConsumerBinding -Arguments @{ Filter = $Filter; Consumer = $Consumer }🛡 Schutzmaßnahmen
-
Überwachung von WMI- und PowerShell-Aktivitäten (z. B. mit Sysmon oder EDR-Lösungen)
-
Einschränkung der Berechtigungen für WMI-Zugriffe
-
Aktivierung und Analyse von WMI-Logs
-
Nutzung von Gruppenrichtlinien zur Einschränkung bestimmter WMI-Klassen
Tipp: Mit Sysmon und Event ID 1 lassen sich z. B. Prozessstarts erkennen, auch wenn sie über WMI ausgelöst wurden.
📄 Fazit
WMI ist aus der Windows-Welt nicht wegzudenken. Genau deshalb sollte jeder Administrator und Sicherheitsexperte seine Möglichkeiten und Risiken genau kennen. Wer WMI ignoriert, überlässt Angreifern eine Tür, die nie abgeschlossen wurde.
📅 Kategorievorschlag für diesen Beitrag:
Kategorie: IT-Security > Windows-Sicherheit > Fileless Angriffe
Alternativ:
-
Pentesting & Red Teaming -
Systemadministration > Windows-Management -
Security Awareness