WMIC, abbreviazione di Windows Management Instrumentation Command-line, è uno strumento legacy di amministrazione di Windows utilizzato per interrogare i sistemi, eseguire attività di gestione e automatizzare le operazioni sugli endpoint. Si basa su WMI, un'interfaccia di gestione più ampia integrata in Windows. Nelle build più recenti di Windows, WMIC viene rimosso o gradualmente dismesso, ma la superficie di gestione sottostante di WMI continua a esistere.
WMIC è importante nella sicurezza informatica perché è un classico strumento living-off-the-land: gli aggressori possono abusare di uno strumento integrato e attendibile invece di depositare un nuovo binario malevolo. Questo rende l'attività più difficile da individuare e più facile da confondere con l'amministrazione normale. Nelle difese reali, i team monitorano l'uso di WMIC per individuare righe di comando, processi padre, account e tempistiche insoliti. Se WMIC compare su un sistema in cui è usato raramente, o avvia azioni remote senza una chiara ragione amministrativa, può essere un forte segnale di attività sospetta successiva alla compromissione.



