イベントログリスナーの検証

攻撃インジケーターのインストールスクリプトは、マシンのメモリのイベントウォッチャーと Windows Management Instrumentation (WMI) プロデューサー/コンシューマーを設定します。WMI は Windows コンポーネントの一種で、ローカルやリモートのコンピューターシステムのステータス情報を知らせます。

正しい WMI 登録があるかをチェックするには

• PowerShell で次のコマンドを実行します。

  コピー

  Get-WmiObject -Class '__FilterToConsumerBinding' -Namespace 'root\subscription' -Filter "Filter = ""__EventFilter.name='AlsidForAD-Launcher'"""

• 少なくとも 1 つのコンシューマーが存在する場合、次のようなタイプの出力が得られます。

  コピー

  > Get-WmiObject -Class '__FilterToConsumerBinding' -Namespace 'root\subscription' -Filter "Filter = ""__EventFilter.name='AlsidForAD-Launcher'"""
  
  
  __GENUS                 : 2
  __CLASS                 : __FilterToConsumerBinding
  __SUPERCLASS            : __IndicationRelated
  __DYNASTY               : __SystemClass
  __RELPATH               : __FilterToConsumerBinding.Consumer="ActiveScriptEventConsumer.Name=\"AlsidForAD-Launcher\"",F
                            ilter="__EventFilter.Name=\"AlsidForAD-Launcher\""
  __PROPERTY_COUNT        : 7
  __DERIVATION            : {__IndicationRelated, __SystemClass}
  __SERVER                : DC-999
  __NAMESPACE             : ROOT\subscription
  __PATH                  : \\DC-999\ROOT\subscription:__FilterToConsumerBinding.Consumer="ActiveScriptEventConsumer.Name
                            =\"AlsidForAD-Launcher\"",Filter="__EventFilter.Name=\"AlsidForAD-Launcher\""
  Consumer                : ActiveScriptEventConsumer.Name="AlsidForAD-Launcher"
  CreatorSID              : {1, 1, 0, 0...}
  DeliverSynchronously    : False
  DeliveryQoS             :
  Filter                  : __EventFilter.Name="AlsidForAD-Launcher"
  MaintainSecurityContext : False
  SlowDownProviders       : False
  PSComputerName          : DC-999
  

  • 登録されている WMI コンシューマーがない場合、コマンドは何も返しません。

  • これは、WMI の DC でプロセスを実行するための前提条件です。