Антивирус ничего не находит, но система всё равно ведёт себя подозрительно
Недавно столкнулся с интересной ситуацией: один из пользователей пожаловался, что антивирус ничего не находит, а система всё равно ведёт себя подозрительно. Решил копнуть и не зря.
В итоге нашёл внедрение в процесс через WMI. Да-да, старый добрый WMI стал каналом для персистентности малвари. Чтобы выявить такие вещи, добавил себе в регулярный аудит вот такую проверку:
|
1 2 |
Get-WmiObject -Namespace "root\subscription" -Class __FilterToConsumerBinding | Select-Object -Property Filter, Consumer |
А дальше уже идёт разбор через:
|
1 2 |
Get-WmiObject -Namespace "root\subscription" -Class __EventFilter Get-WmiObject -Namespace "root\subscription" -Class CommandLineEventConsumer |
Если видите странные команды, непонятные пути, особенно с PowerShell или cmd.exe – повод для расследования.
Ну и напоследок:
- Регулярно просматривайте WMI-события.
- Включите логирование WMI через Event ID 5861/5860 (Microsoft-Windows-WMI-Activity/Operational).
- Используйте Sysmon – он хорошо ловит подобные фокусы (Event ID 1 + родительские процессы).