Stats
Actions
Tags
Detects WMI-based lateral movement by analyzing Windows event ID 4688 process creations, Sysmon ID 1 WmiPrvSE.exe child processes, remote executions, and event subscription persistence in logs.
How this skill is triggered — by the user, by Claude, or both
Slash command
/cybersecurity-skills-zh:hunting-for-lateral-movement-via-wmiThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
Windows Management Instrumentation(WMI)常被滥用于横向移动,方式包括 `wmic process call create` 或 Win32_Process.Create() 在远程主机执行命令。检测重点在于:识别 WmiPrvSE.exe 在 Windows 安全事件 ID 4688 和 Sysmon 事件 ID 1 日志中派生子进程(cmd.exe、powershell.exe),以及 WMI-Activity/Operational 事件(5857、5860、5861)中的事件订阅持久化行为。
Windows Management Instrumentation(WMI)常被滥用于横向移动,方式包括 wmic process call create 或 Win32_Process.Create() 在远程主机执行命令。检测重点在于:识别 WmiPrvSE.exe 在 Windows 安全事件 ID 4688 和 Sysmon 事件 ID 1 日志中派生子进程(cmd.exe、powershell.exe),以及 WMI-Activity/Operational 事件(5857、5860、5861)中的事件订阅持久化行为。
python-evtx、lxml 库从 EVTX 文件中提取事件 ID 4688 和 Sysmon 事件 1 条目。
标记 ParentImage/ParentProcessName 为 WmiPrvSE.exe 的进程,表示存在远程 WMI 执行。
识别匹配 WMI 横向移动模式的可疑命令行(cmd.exe /q /c、输出重定向到 admin$ 共享)。
解析 WMI-Activity/Operational 日志,查找表明持久化的事件消费者创建事件。
JSON 报告,包含 WMI 派生的进程、可疑命令行、WMI 事件订阅告警以及横向移动活动的时间线。
npx claudepluginhub killvxk/cybersecurity-skills-zhDetects WMI-based lateral movement by analyzing Windows Event ID 4688 process creation and Sysmon Event ID 1 logs for WmiPrvSE.exe child processes, remote execution, and event subscription persistence.
Detects WMI-based lateral movement by analyzing Windows Event ID 4688 and Sysmon Event ID 1 for WmiPrvSE.exe child process patterns, remote execution, and WMI event subscription persistence.
Detects WMI-based lateral movement by analyzing Windows Event ID 4688 and Sysmon Event ID 1 for WmiPrvSE.exe child processes, remote execution patterns, and WMI event subscription persistence.