Cititorii ca tine ajută la sprijinirea MUO. Când efectuați o achiziție folosind link-uri de pe site-ul nostru, este posibil să câștigăm un comision de afiliat.
Microsoft a creat Windows Management Instrumentation (WMI) pentru a gestiona modul în care computerele Windows alocă resursele într-un mediu operațional. WMI face, de asemenea, un alt lucru important: facilitează accesul local și de la distanță la rețelele de calculatoare.
Din păcate, hackerii black hat pot deturna această capacitate în scopuri rău intenționate printr-un atac de persistență. Ca atare, iată cum să eliminați persistența WMI din Windows și să vă păstrați în siguranță.
Ce este persistența WMI și de ce este periculoasă?
Persistența WMI se referă la un atacator care instalează un script, în special un ascultător de evenimente, care este întotdeauna declanșat atunci când are loc un eveniment WMI. De exemplu, acest lucru se va întâmpla când sistemul pornește sau administratorul de sistem face ceva pe computer, cum ar fi deschiderea unui folder sau utilizarea unui program.
Atacurile de persistență sunt periculoase pentru că sunt ascunse. După cum se explică mai departe Microsoft Scripting, atacatorul creează un abonament permanent pentru evenimente WMI care execută o sarcină utilă care funcționează ca un proces de sistem și curățește jurnalele de execuție a acestuia; echivalentul tehnic al unui dodger abil. Cu acest vector de atac, atacatorul poate evita să fie descoperit prin auditarea liniei de comandă.
Cum să preveniți și să eliminați persistența WMI
Abonamentele la evenimente WMI sunt scriptate inteligent pentru a evita detectarea. Cea mai bună modalitate de a evita atacurile de persistență este dezactivarea serviciului WMI. Acest lucru nu ar trebui să vă afecteze experiența generală de utilizator, decât dacă sunteți un utilizator cu putere.
Cea mai bună opțiune este să blochezi porturile protocolului WMI configurând DCOM să utilizeze un singur port static și blocând acel port. Puteți consulta ghidul nostru pe cum să închizi porturile vulnerabile pentru mai multe instrucțiuni despre cum să faceți acest lucru.
Această măsură permite serviciului WMI să ruleze local în timp ce blochează accesul de la distanță. Aceasta este o idee bună, mai ales pentru că accesul la computer la distanță vine cu propria sa parte de riscuri.
În cele din urmă, puteți configura WMI să scaneze și să vă avertizeze cu privire la amenințări, așa cum a demonstrat Chad Tilbury în această prezentare:
O putere care nu ar trebui să fie în mâini greșite
WMI este un manager de sistem puternic care devine un instrument periculos în mâinile greșite. Mai rău, cunoștințele tehnice nu sunt necesare pentru a efectua un atac de persistență. Instrucțiunile privind crearea și lansarea atacurilor de persistență WMI sunt disponibile gratuit pe internet.
Deci, oricine are aceste cunoștințe și acces scurt la rețeaua dvs. vă poate spiona de la distanță sau poate fura date cu abia amprentă digitală. Cu toate acestea, vestea bună este că nu există absolute în tehnologie și securitate cibernetică. Este încă posibil să preveniți și să eliminați persistența WMI înainte ca un atacator să facă daune mari.
