이벤트 로그 수신기 유효성 검사

공격 지표 설치 스크립트가 시스템의 메모리에 이벤트 감시자와 WMI(Windows Management Instrumentation) 생산자/소비자를 구성합니다. WMI는 로컬 또는 원격 컴퓨터 시스템의 상태에 관한 정보를 제공하는 Windows 구성 요소입니다.

WMI 등록이 올바른지 검사하는 방법:

  • PowerShell에서 다음의 명령을 실행합니다.

    복사 
    Get-WmiObject -Class '__FilterToConsumerBinding' -Namespace 'root\subscription' -Filter "Filter = ""__EventFilter.name='AlsidForAD-Launcher'"""

  • 소비자가 하나 이상 있는 경우, 이런 유형의 출력을 얻게 됩니다.

    복사 
    > Get-WmiObject -Class '__FilterToConsumerBinding' -Namespace 'root\subscription' -Filter "Filter = ""__EventFilter.name='AlsidForAD-Launcher'"""


    __GENUS                 : 2
    __CLASS                 : __FilterToConsumerBinding
    __SUPERCLASS            : __IndicationRelated
    __DYNASTY               : __SystemClass
    __RELPATH               : __FilterToConsumerBinding.Consumer="ActiveScriptEventConsumer.Name=\"AlsidForAD-Launcher\"",F
                              ilter="__EventFilter.Name=\"AlsidForAD-Launcher\""
    __PROPERTY_COUNT        : 7
    __DERIVATION            : {__IndicationRelated, __SystemClass}
    __SERVER                : DC-999
    __NAMESPACE             : ROOT\subscription
    __PATH                  : \\DC-999\ROOT\subscription:__FilterToConsumerBinding.Consumer="ActiveScriptEventConsumer.Name
                              =\"AlsidForAD-Launcher\"",Filter="__EventFilter.Name=\"AlsidForAD-Launcher\""
    Consumer                : ActiveScriptEventConsumer.Name="AlsidForAD-Launcher"
    CreatorSID              : {1, 1, 0, 0...}
    DeliverSynchronously    : False
    DeliveryQoS             :
    Filter                  : __EventFilter.Name="AlsidForAD-Launcher"
    MaintainSecurityContext : False
    SlowDownProviders       : False
    PSComputerName          : DC-999

    • 등록된 WMI 소비자가 없는 경우, 명령이 아무것도 반환하지 않습니다.

    • 이것은 WMI에 대하여 DC에서 프로세스를 실행하기 위한 전제 조건입니다.

  • PowerShell에서 다음의 명령을 실행합니다.

    복사 
    gcim win32_process | Where-Object { $_.CommandLine -match "Register-TenableADEventsListener.exe"}

  • 유효한 결과의 예:

    복사 
    PS C:\IOAInstall> gcim win32_process | Where-Object { $_.CommandLine -match "Register-TenableADEventsListener.exe"}

    ProcessId Name                                 HandleCount WorkingSetSize VirtualSize

    5748      Register-TenableADEventsListener.exe 152         4096000        4384534528

  • PowerShell에서 다음의 명령을 실행합니다.

    복사 
    gcim win32_process | Where-Object { $_.CommandLine -match "TenableADWMIListener"}

  • 유효한 결과의 예:

복사 
> gcim win32_process | Where-Object { $_.CommandLine -match "TenableADWMIListener"}

ProcessId Name           HandleCount WorkingSetSize VirtualSize
--------- ----           ----------- -------------- -----------
952       powershell.exe 502         26513408       2199678185472