MMC

对手可能滥用mmc.exe代理执行恶意.msc文件。Microsoft管理控制台（MMC）是一个可能由Microsoft签名的二进制文件，可以在其GUI或命令提示符中以多种方式使用。(引用: win_mmc)(引用: what_is_mmc) MMC可用于创建、打开和保存包含Microsoft创建的管理工具的自定义控制台，称为管理单元。这些管理单元可用于本地或远程管理Windows系统。MMC还可用于打开Microsoft创建的.msc文件以管理系统配置。(引用: win_msc_files_overview) 例如，mmc C:\Users\foo\admintools.msc /a将以作者模式打开自定义保存的控制台msc文件。(引用: win_mmc) 另一个常见的例子是mmc gpedit.msc，它将打开组策略编辑器应用程序窗口。 对手可能使用MMC命令执行恶意任务。例如，mmc wbadmin.msc delete catalog -quiet在没有用户提示的情况下删除系统上的备份目录（即抑制系统恢复）（注意：wbadmin.msc可能仅在默认情况下存在于Windows Server操作系统上）。(引用: win_wbadmin_delete_catalog)(引用: phobos_virustotal) 对手还可能滥用MMC执行恶意.msc文件。例如，对手可能首先创建一个恶意注册表类标识符（CLSID）子键，该子键唯一标识一个组件对象模型类对象。(引用: win_clsid_key) 然后，对手可能创建带有“链接到Web地址”管理单元的自定义控制台，该管理单元链接到恶意CLSID子键。(引用: mmc_vulns) 一旦.msc文件保存，对手可能使用以下命令调用恶意CLSID负载：mmc.exe -Embedding C:\path\to\test.msc。(引用: abusing_com_reg)