Microsoft creó el Instrumental de administración de Windows (WMI) para manejar cómo las computadoras con Windows asignan recursos en el entorno operativo. WMI también hace algo más importante: facilita el acceso local y remoto a redes informáticas.
Desafortunadamente, los piratas informáticos de sombrero negro pueden secuestrar esta capacidad con fines maliciosos mediante un ataque persistente. Entonces, aquí se explica cómo eliminar el malware WMI Persistence de Windows y mantenerse a salvo.
¿Qué es la persistencia de WMI y por qué es peligrosa?
La persistencia de WMI se refiere a que un atacante instala un script, específicamente un controlador de eventos, que siempre se activa cuando ocurre un evento WMI . Por ejemplo, esto sucederá cuando el sistema se inicie o el administrador del sistema haga algo en la PC, como abrir una carpeta o usar un programa.
Los ataques son peligrosos porque se producen de forma sigilosa. Como se explica en Microsoft Scripting, un atacante crea una suscripción permanente a un evento WMI para ejecutar una carga útil que actúa como un proceso del sistema y limpia su registro de ejecución. Con este vector de ataque, un atacante puede evitar la detección mediante la inspección de la línea de comando.
Cómo prevenir y eliminar la persistencia de WMI
Las suscripciones a eventos WMI están diseñadas inteligentemente para evitar la detección. La mejor forma de evitar estos ataques es desactivar el servicio WMI. Hacer esto no afectará su experiencia general de usuario a menos que sea un usuario avanzado.
La siguiente mejor opción es bloquear los puertos del protocolo WMI configurando DCOM para usar un único puerto estático y bloquear ese puerto. Puede consultar la guía de Quantrimang.com sobre cómo cerrar puertos vulnerables para obtener más instrucciones sobre cómo hacerlo.
Esta medida permite que el servicio WMI se ejecute localmente mientras bloquea el acceso remoto. Esta es una buena idea, especialmente porque acceder a una computadora de forma remota conlleva sus propios riesgos.
Finalmente, puede configurar WMI para escanear y advertirle sobre amenazas, como lo demuestra Chad Tilbury en esta presentación:
El poder no debería estar en manos equivocadas
WMI es un poderoso administrador de sistemas y tiene el potencial de convertirse en una herramienta peligrosa en las manos equivocadas. Peor aún, para llevar a cabo este ataque no se requieren muchos conocimientos técnicos avanzados. Las instrucciones sobre cómo crear y lanzar ataques de persistencia WMI están disponibles gratuitamente en Internet.
Por tanto, cualquier malo puede espiarte de forma remota o robar datos sin dejar rastro. Sin embargo, la buena noticia es que no existen absolutos en tecnología y ciberseguridad. Todavía es posible prevenir y eliminar la existencia de WMI antes de que el atacante cause daños importantes.
¿Ves una notificación de activación de Windows 10 en la esquina derecha de la pantalla? Este artículo le guiará sobre cómo eliminar el aviso de solicitud de derechos de autor en Windows 10.
Recientemente, Microsoft lanzó la última actualización acumulativa para usuarios de PC con Windows 10 llamada Build 14393.222. Esta actualización lanzada para Windows 10 corrige principalmente errores basados en los comentarios de los usuarios y mejora la experiencia de rendimiento del sistema operativo.
¿Tiene computadoras en su red local que necesitan acceso externo? Usar un host bastión como guardián de su red puede ser una buena solución.
A veces es posible que necesites eliminar todos los registros de eventos antiguos a la vez. En esta guía, Quantrimang.com le mostrará 3 formas de eliminar rápidamente todos los registros de eventos en el Visor de eventos de Windows 10.
Si prefiere usar un teclado clásico antiguo, como el IBM Modelo M, que no incluye una tecla física de Windows, existe un método sencillo para agregar más, tomando prestada una tecla que no usa con frecuencia.
WindowTop es una herramienta que tiene la capacidad de atenuar todas las ventanas de aplicaciones y programas que se ejecutan en computadoras con Windows 10. O puede usar una interfaz de fondo oscuro en Windows.
En muchos artículos anteriores hemos mencionado que permanecer anónimo en línea es extremadamente importante. Cada año se filtra información privada, lo que hace que la seguridad en línea sea cada vez más necesaria. Esa es también la razón por la que deberíamos utilizar direcciones IP virtuales. ¡A continuación, aprenderemos sobre métodos para crear IP falsas!
La barra de idioma en Windows 8 es una barra de herramientas de idioma en miniatura diseñada para mostrarse automáticamente en la pantalla del escritorio. Sin embargo, mucha gente quiere ocultar esta barra de idioma en la barra de tareas.
Maximizar la velocidad de Internet es esencial para optimizar su conexión de red. Podrás tener una óptima experiencia de entretenimiento y trabajo utilizando computadoras, televisores con acceso a Internet, consolas de juegos, etc.
La conectividad inalámbrica es una necesidad hoy en día y, por eso, la seguridad inalámbrica es esencial para garantizar la seguridad en su red interna.
