Skill

hunting-for-lateral-movement-via-wmi

Detects WMI-based lateral movement by analyzing Windows event ID 4688 process creations, Sysmon ID 1 WmiPrvSE.exe child processes, remote executions, and event subscription persistence in logs.

Python

Powershell

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

Windows Management Instrumentation（WMI）常被滥用于横向移动，方式包括 `wmic process call create` 或 Win32_Process.Create() 在远程主机执行命令。检测重点在于：识别 WmiPrvSE.exe 在 Windows 安全事件 ID 4688 和 Sysmon 事件 ID 1 日志中派生子进程（cmd.exe、powershell.exe），以及 WMI-Activity/Operational 事件（5857、5860、5861）中的事件订阅持久化行为。

Supporting Assets

LICENSEreferences/api-reference.mdscripts/agent.py

SKILL.md

Similar Skills

hunting-for-lateral-movement-via-wmi

Detects WMI-based lateral movement by analyzing Windows Event ID 4688 process creation and Sysmon Event ID 1 logs for WmiPrvSE.exe child processes, remote execution, and event subscription persistence.

asi

hunting-for-lateral-movement-via-wmi

5.9k

Hunts WMI-based lateral movement by parsing Windows Event 4688, Sysmon Event 1, and WMI logs for WmiPrvSE.exe children, remote execution, and persistence. For SOC threat hunting.

3 files

cybersecurity-skills

detecting-wmi-persistence

Detects WMI event subscription persistence (MITRE T1546.003) by analyzing Sysmon events ID 19, 20, 21 for malicious EventFilter, EventConsumer, and FilterToConsumerBinding creations. For threat hunting and incident response.

3 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

狩猎通过 WMI 进行的横向移动

概述

Windows Management Instrumentation（WMI）常被滥用于横向移动，方式包括 wmic process call create 或 Win32_Process.Create() 在远程主机执行命令。检测重点在于：识别 WmiPrvSE.exe 在 Windows 安全事件 ID 4688 和 Sysmon 事件 ID 1 日志中派生子进程（cmd.exe、powershell.exe），以及 WMI-Activity/Operational 事件（5857、5860、5861）中的事件订阅持久化行为。

前置条件

启用了进程创建审计的 Windows 安全事件日志（事件 4688，含命令行）

安装了 Sysmon 并配置了事件 ID 1（进程创建）

Python 3.9+ 及 python-evtx、lxml 库

了解 WMI 架构和 WmiPrvSE.exe 行为

步骤

步骤 1：解析进程创建事件

从 EVTX 文件中提取事件 ID 4688 和 Sysmon 事件 1 条目。

步骤 2：检测 WmiPrvSE 子进程

标记 ParentImage/ParentProcessName 为 WmiPrvSE.exe 的进程，表示存在远程 WMI 执行。

步骤 3：分析命令行模式

识别匹配 WMI 横向移动模式的可疑命令行（cmd.exe /q /c、输出重定向到 admin$ 共享）。

步骤 4：检查 WMI 事件订阅

解析 WMI-Activity/Operational 日志，查找表明持久化的事件消费者创建事件。

预期输出

JSON 报告，包含 WMI 派生的进程、可疑命令行、WMI 事件订阅告警以及横向移动活动的时间线。

狩猎通过 WMI 进行的横向移动

概述

前置条件

启用了进程创建审计的 Windows 安全事件日志（事件 4688，含命令行）
安装了 Sysmon 并配置了事件 ID 1（进程创建）
Python 3.9+ 及 python-evtx、lxml 库
了解 WMI 架构和 WmiPrvSE.exe 行为

步骤

步骤 1：解析进程创建事件

从 EVTX 文件中提取事件 ID 4688 和 Sysmon 事件 1 条目。

步骤 2：检测 WmiPrvSE 子进程

标记 ParentImage/ParentProcessName 为 WmiPrvSE.exe 的进程，表示存在远程 WMI 执行。

步骤 3：分析命令行模式

识别匹配 WMI 横向移动模式的可疑命令行（cmd.exe /q /c、输出重定向到 admin$ 共享）。

步骤 4：检查 WMI 事件订阅

解析 WMI-Activity/Operational 日志，查找表明持久化的事件消费者创建事件。

预期输出

JSON 报告，包含 WMI 派生的进程、可疑命令行、WMI 事件订阅告警以及横向移动活动的时间线。