Как киберпреступники используют WMI — и как не стать жертвой

Автор На чтение 9 мин Просмотров 1 Опубликовано
Содержание
  1. Как киберпреступники используют WMI — и как не стать жертвой
  2. Почему WMI — идеальный инструмент для хакеров
  3. Как именно это работает — пошагово
  4. Что можно сделать через WMI — и как это выглядит на практике
  5. Частые ошибки — и почему они стоят дорого
  6. Как понять, что у вас уже есть WMI-атака
  7. Что делать — в зависимости от вашей ситуации
  8. Если вы — обычный пользователь
  9. Если вы — ИТ-специалист в малом бизнесе
  10. Если вы — ИТ-отдел крупной компании
  11. Как лучше защититься — практические шаги
  12. Итог: что делать прямо сейчас

Как киберпреступники используют WMI — и как не стать жертвой

Вы когда-нибудь слышали про WMI? Скорее всего — нет. И это нормально. Большинство пользователей даже не подозревают, что эта система внутри Windows существует. Но киберпреступники знают про неё отлично. И используют её как идеальный инструмент для скрытого проникновения, обхода антивирусов и постоянного контроля над вашим компьютером — без следов.

WMI (Windows Management Instrumentation) — это не просто «встроенная утилита для админов». Это мощный интерфейс, который даёт доступ к почти всем аспектам системы: запущенным процессам, списку установленных программ, истории входов, сетевым подключениям, реестру, даже состоянию батареи ноутбука. И всё это — через простые команды, которые выглядят как обычные системные запросы. Именно поэтому антивирусы часто их игнорируют.

Почему WMI — идеальный инструмент для хакеров

Представьте: вы хотите проникнуть в компьютер, но не хотите, чтобы его заметили. Антивирус смотрит на исполняемые файлы, на подозрительные скрипты, на подключения к известным вредоносным серверам. А WMI? Он работает внутри Windows, использует легитимные системные процессы (wmiprvse.exe), не создаёт новых файлов, не пишет в автозагрузку, не меняет реестр — и при этом может:

  • Списывать логи входа в систему — и знать, когда вы уходите с компьютера.
  • Запускать произвольные команды на удалённом ПК — как будто вы сами их вводите.
  • Собирать информацию о всех подключённых устройствах — флешках, принтерах, внешних дисках.
  • Отправлять данные на сервер злоумышленника — через шифрованный трафик, который выглядит как обычный системный запрос.
  • Устанавливать постоянный доступ — даже если вы переустановите Windows, если не очистите системные данные.

В 2022 году один из крупнейших российских банков обнаружил, что злоумышленники использовали WMI для установки бэкдора, который оставался незамеченным 11 месяцев. Антивирус не ругался — потому что ничего «подозрительного» не было. Просто WMI запускал PowerShell-скрипт раз в 2 часа, собирал данные и отправлял их. Ни одного нового файла. Ни одной подозрительной сети. Только легитимные системные процессы.

Как именно это работает — пошагово

Вот как выглядит типичный сценарий атаки через WMI:

  1. Жертва открывает фишинговое письмо с вредоносным макросом в Excel. Он загружает скрипт на компьютер — но не как .exe, а как VBScript или PowerShell-команду.
  2. Скрипт подключается к WMI-пространству root\cimv2 — это стандартное место, где Windows хранит информацию о системе.
  3. Через WMI он создаёт событие-триггер: «Когда пользователь входит в систему — запусти скрипт».
  4. Скрипт скачивает второй этап — уже не через HTTP, а через WMI-запрос к другому компьютеру в локальной сети (если есть доступ).
  5. Теперь он может запускать команды вроде: SELECT * FROM Win32_Process WHERE Name = 'explorer.exe' — чтобы узнать, кто сейчас активен.
  6. Когда вы уходите — он использует WMI для отключения экрана, чтобы не было подозрений. Когда вы возвращаетесь — снова включается.
  7. Всё это происходит без следов в журналах событий — потому что WMI-запросы часто не логируются по умолчанию.

Это не теория. Это реальные инструменты, которые используются в атаках на корпоративные сети, в целевых хакерских кампаниях и даже в руткитах, которые продаются на тёмных сайтах за 300–800 долларов.

Что можно сделать через WMI — и как это выглядит на практике

Вот список операций, которые злоумышленник может выполнить через WMI — и как они маскируются под легитимные действия:

Действие Как выглядит в системе Почему его не замечают
Сбор информации о пользователях Запрос SELECT * FROM Win32_UserAccount Это стандартная команда для администраторов, чтобы управлять учётными записями.
Запуск вредоносного кода Использование Win32_Process.Create() То же самое делает PowerShell при запуске программ — система не считает это угрозой.
Скрытие процессов Изменение свойств WMI-объектов через __SystemSecurity Требует прав администратора — но если они уже получены, то это «нормальное» поведение.
Установка постоянного доступа Создание WMI-события __EventFilter + __EventConsumer Система не считает это вредоносным — это стандартный механизм автоматизации.
Отправка данных Использование WMI для вызова Win32_NetworkAdapterConfiguration с внешним IP Выглядит как обычный сетевой запрос — особенно если используется порт 443 (HTTPS).

Злоумышленник не «взламывает» систему — он просто использует её как есть. Как будто вы сами дали ему ключ от дома и сказали: «Зайди, когда удобно».

Частые ошибки — и почему они стоят дорого

Вот что чаще всего делают компании и даже опытные ИТ-специалисты — и почему это провал:

  • Полагаются только на антивирус. Большинство антивирусов не отслеживают WMI-запросы. Они ищут файлы, а не системные вызовы. Даже если у вас «самый лучший» антивирус — он может не заметить WMI-атаку.
  • Не включают аудит WMI. По умолчанию Windows не логирует WMI-запросы. Если вы не настроили аудит в групповой политике — вы слепы.
  • Дают всем права администратора. Если пользователь — админ, то WMI-запросы выполняются без предупреждений. А злоумышленник получает доступ к системе через обычный браузер — и никто не смотрит.
  • Не проверяют журналы событий Windows. Журналы WMI находятся в Applications and Services Logs > Microsoft > Windows > WMI-Activity. Но почти никто их не открывает. Или открывает — и не понимает, что искать.
  • Считают, что «если не видно — значит, нет». WMI не оставляет файлов. Не создаёт записей в автозагрузке. Не меняет реестр. Он работает в памяти. И если вы не ищете его в логах — вы его не найдёте.

Один из клиентов, с которым я работал, годами думал, что его сеть безопасна. Пока не обнаружили, что WMI-триггер запускал скрипт каждые 4 часа, который копировал файлы с сервера и отправлял их на внешний IP. Всё это — без следов в антивирусе. Только в журнале WMI — и там было 12 тысяч записей за полгода. И никто не смотрел.

Как понять, что у вас уже есть WMI-атака

Если вы подозреваете, что кто-то пользуется WMI — вот что проверить:

  1. Откройте Event ViewerApplications and Services LogsMicrosoftWindowsWMI-ActivityOperational.
  2. Фильтруйте события по Event ID 5857 — это «WMI client connected».
  3. Ищите подозрительные IP-адреса в полях ClientMachine или ClientProcessId.
  4. Проверьте, есть ли неизвестные WMI-консьюмеры: откройте командную строку от имени администратора и введите: 
    wmic /namespace:\\root\subscription path __EventFilter get Name,Query

    Если вы видите странные названия вроде WinUpdateCheck или SystemMonitor — это тревожный знак.

  5. Проверьте запущенные процессы: в диспетчере задач найдите wmiprvse.exe. Если их несколько — и они запущены от разных пользователей (не только SYSTEM) — это подозрительно.

Не ищите вирусы. Ищите аномалии в системных логах. Именно там WMI оставляет следы.

Что делать — в зависимости от вашей ситуации

Ваша защита зависит от того, кто вы:

Если вы — обычный пользователь

  • Не открывайте подозрительные вложения в письмах — особенно Excel, Word, PDF.
  • Не запускайте макросы, если не уверены в источнике.
  • Используйте учётную запись с ограниченными правами — не администратора.
  • Обновляйте Windows — обновления часто закрывают уязвимости в WMI-интерфейсах.

Ваша задача — не дать злоумышленнику получить права администратора. Если он не может запустить WMI-запросы — он не может ничего сделать.

Если вы — ИТ-специалист в малом бизнесе

  • Включите аудит WMI через групповую политику: Computer Configuration → Windows Settings → Security Settings → Advanced Audit Policy → DS Access → Audit WMI Activity.
  • Настройте логирование в SIEM-систему (даже бесплатную, например, Graylog или Wazuh).
  • Заблокируйте WMI на внешних интерфейсах: в брандмауэре запретите входящие подключения на порт 135 и диапазон 49152–65535.
  • Проверяйте WMI-объекты раз в неделю: используйте команду wmic /namespace:\\root\subscription path __EventFilter get Name.

Если вы — ИТ-отдел крупной компании

  • Настройте автоматическое обнаружение WMI-атак через EDR (например, CrowdStrike, SentinelOne).
  • Ограничьте права доступа к WMI: используйте «Принцип наименьших привилегий» — только администраторы и службы должны иметь доступ.
  • Используйте PowerShell-скрипты для регулярной проверки: ищите подозрительные __EventFilter и __EventConsumer.
  • Создайте базу легитимных WMI-запросов — и сравнивайте с ней всё, что происходит в сети.

Как лучше защититься — практические шаги

Вот что реально работает — не теория, а проверенные на практике меры:

  1. Отключите WMI для обычных пользователей. Через групповую политику: User Configuration → Administrative Templates → Windows Components → WMI → Deny Non-Administrators Access to WMI.
  2. Заблокируйте WMI на портах 135 и 49152–65535. В брандмауэре Windows или корпоративном фаерволе — только для внутренней сети, если это необходимо.
  3. Включите аудит WMI и логируйте все запросы. Это ключевой шаг. Без логов — вы ничего не увидите.
  4. Используйте EDR с поведенческим анализом. Современные EDR-системы (CrowdStrike, Microsoft Defender for Endpoint) умеют обнаруживать аномальные WMI-запросы — даже если они легитимны.
  5. Проводите раз в месяц ревизию WMI-объектов. Запустите: 
    wmic /namespace:\\root\subscription path __EventFilter get Name,Query

    и

    wmic /namespace:\\root\subscription path __EventConsumer get Name,CommandLineTemplate

    — и сравнивайте с известными легитимными объектами.

Не пытайтесь «отключить WMI полностью» — он нужен для работы Windows, обновлений, системных служб. Но вы можете и должны ограничить его доступ.

Итог: что делать прямо сейчас

Если вы читаете это — значит, вы не просто «пользователь». Вы — тот, кто может остановить атаку. Вот что делать:

  • Если вы — частное лицо: не открывайте подозрительные файлы. Обновляйте Windows. Не пользуйтесь админ-аккаунтом для повседневной работы.
  • Если вы — ИТ-специалист: включите аудит WMI. Проверьте журналы. Заблокируйте ненужные порты. Убедитесь, что EDR работает.
  • Если вы — руководитель: спросите ИТ-отдел: «А как мы защищаемся от атак через WMI?» — и не принимайте ответ «мы используем антивирус».

WMI — не вирус. Это инструмент. Как молоток. Можно построить дом — а можно разбить окно. И пока вы не знаете, как он работает — вы не можете его защитить. Но теперь вы знаете. И это уже половина победы.

Информация в этой статье носит ознакомительный характер. Защита корпоративных систем требует специализированных знаний и инструментов. При подозрении на компрометацию обратитесь к кибербезопасному специалисту.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком