135端口与WMI攻防全解析
135端口与WMI攻防全解析
135端口是WMI横向移动的“隐形通道”,而强密码不过是安全防线的第一道门槛
作为网络安全工程师,我们常在内网横向渗透溯源中遭遇攻击者利用WMI协议的攻击痕迹。这种基于135端口的攻击手法因其无文件落地、日志隐蔽的特性,成为高级威胁组织的首选。本文将深入解析技术原理、攻击手法及企业级防护方案。
一、技术原理深度解析:135端口与WMI的共生关系
135端口是Windows RPC(远程过程调用)服务的端点映射器,其核心作用是为客户端动态分配RPC服务端口(如WMI服务默认使用动态高端口)。工作流程如下:
- 服务注册:WMI服务启动时向RPC端点映射器(135端口)注册其监听的高端口(如TCP 49152)
- 客户端查询:攻击者通过135端口查询目标WMI服务的实际端口
- 命令执行:客户端与高端口建立连接,执行WMIC命令
关键风险点:
- WMI服务(Winmgmt)默认自启,且依赖135端口
- 空密码或弱口令的Administrator账户使攻击者可直接接管主机
二、攻击手法全景剖析:从传统工具到免杀技术
1. 经典攻击工具链
| 工具 | 功能 | 攻击示例 |
|---|---|---|
| Remoxec | 基础命令执行 | 创建用户:net user hacker P@ssw0rd /add |
| Recton | 开启3389远程桌面/Telnet | 一键激活目标远程桌面服务 |
| WMIC原生命令 | 无第三方工具攻击 | wmic /node:192.168.1.10 process call create "cmd.exe" |
2. 新型免杀技术(WMIHACKER为代表)
# 免杀命令执行(无需445端口)
cscript WMIHACKER.vbs /cmd 192.168.1.10 admin "P@ssw0rd" "whoami" 1 # 文件上传/下载
cscript WMIHACKER.vbs /upload 192.168.1.10 admin "P@ssw0rd" C:\malware.exe C:\Windows\Temp\malware.exe
特征:
- 绕过传统杀软对Win32_Process.create的监控
- 仅需135端口开放,规避445端口封禁策略
三、企业级防御方案:四层纵深防护
▶ 网络层访问控制
- 防火墙策略:
# 仅允许管理网段访问135端口 New-NetFirewallRule -DisplayName "Restrict RPC" -Direction Inbound -LocalPort 135 -Protocol TCP -RemoteAddress 10.0.1.0/24 -Action Allow - 动态端口防护:开放范围需覆盖RPC动态端口(Windows Server 2012+默认使用49152-65535)
▶ 系统层加固
- 服务最小化:禁用非必要RPC依赖服务
Stop-Service Winmgmt -Force # 临时停止WMI服务(生产环境慎用) Set-Service Spooler -StartupType Disabled # 禁用打印服务(防范MS-RPRN攻击) - 协议升级:强制使用SMBv3及以上并启用加密
Set-SmbServerConfiguration -EnableSMB2Protocol $true -Force Set-SmbServerConfiguration -RequireSecuritySignature $true -Force
▶ 认证层加固
- 密码策略:域策略强制Administrator密码复杂度(长度≥15,含特殊字符)
- 攻击面缩减:
- 禁用默认Administrator账户,创建同名诱饵账户
- 启用LSA保护防止凭据窃取(注册表键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL)
▶ 端口关闭的替代方案
通过主机防火墙阻断135端口入站(优于服务停止):
netsh advfirewall firewall add rule name="Block 135" dir=in protocol=TCP localport=135 action=block
四、高级监控与检测策略
1. WMI活动审计
// Sentinel查询:监控异常WMI进程创建
SecurityEvent
| where EventID == 4688
| where CommandLine contains "winmgmt" or CommandLine contains "wmic"
| where UserAccount contains "SYSTEM" // SYSTEM账户的WMI调用需警惕
2. 异常行为检测规则
- 高频135端口连接:同一源IP在5分钟内扫描超过10台主机的135端口
- 非常规时间执行:凌晨时段(UTC 01:00-05:00)的WMI命令调用
- 敏感命令序列:
net user/add、powershell -enc等与WMI调用关联
五、案例复盘:红蓝对抗中的攻防路径
攻击链重现:
防御反制措施:
- EDR捕获异常进程创建事件(父进程为wmiprvse.exe)
- 网络流量分析发现135端口突发数据传输
- SOAR平台自动隔离主机并重置凭据
六、未来防护演进方向
- 零信任架构实施:
- 设备健康证明 + 用户身份双认证
- 微隔离技术限制RPC通信范围
- AI驱动威胁狩猎:
- 构建WMI调用基线模型,偏离度>90%即告警
- 协议替代方案:
- 逐步迁移至WinRM(HTTP 5985/HTTPS 5986),启用Kerberos强制认证
纵深防御的核心逻辑:135端口的风险本质是管理协议暴露面与认证缺陷的叠加。真正的防护需融合网络隔离、行为监控、凭证保护三层能力,正如ATT&CK框架所强调的——“防御者需覆盖攻击链全路径,攻击者只需突破一点”。
防御者应持续验证:定期使用WMIHACKER等工具模拟攻击(需授权),检验防护策略有效性。毕竟,最好的防御是让攻击者触发的每一次警报都成为其末路的开始。