Microsoft heeft Windows Management Instrumentation (WMI) gemaakt om te bepalen hoe Windows-computers bronnen in de besturingsomgeving toewijzen. WMI doet ook nog iets anders belangrijks: het vergemakkelijkt lokale en externe toegang tot computernetwerken.
Helaas kunnen black hat-hackers deze mogelijkheid via een aanhoudende aanval voor kwaadaardige doeleinden kapen. Hier leest u hoe u de WMI Persistence-malware uit Windows verwijdert en uzelf veilig houdt.
Wat is WMI Persistence en waarom is het gevaarlijk?
WMI-persistentie verwijst naar een aanvaller die een script installeert, met name een gebeurtenishandler, dat altijd wordt geactiveerd wanneer een WMI- gebeurtenis plaatsvindt. Dit gebeurt bijvoorbeeld wanneer het systeem opstart of de systeembeheerder iets doet op de pc, zoals het openen van een map of het gebruiken van een programma.
Aanvallen zijn gevaarlijk omdat ze heimelijk plaatsvinden. Zoals uitgelegd in Microsoft Scripting, maakt een aanvaller een permanent WMI-gebeurtenisabonnement aan om een payload uit te voeren die fungeert als een systeemproces en het uitvoeringslogboek ervan opschoont. Met deze aanvalsvector kan een aanvaller detectie vermijden via opdrachtregelinspectie.
WMI-persistentie voorkomen en verwijderen
WMI-gebeurtenisabonnementen zijn slim ontworpen om detectie te voorkomen. De beste manier om deze aanvallen te voorkomen is door de WMI-service uit te schakelen. Als u dit doet, heeft dit geen invloed op uw algehele gebruikerservaring, tenzij u een ervaren gebruiker bent.
De volgende beste optie is het blokkeren van WMI-protocolpoorten door DCOM te configureren om een enkele statische poort te gebruiken en die poort te blokkeren. U kunt de handleiding van Quantrimang.com raadplegen over het sluiten van kwetsbare poorten voor meer instructies over hoe u dit kunt doen.
Door deze maatregel kan de WMI-service lokaal worden uitgevoerd terwijl externe toegang wordt geblokkeerd. Dit is een goed idee, vooral omdat het op afstand benaderen van een computer risico's met zich meebrengt.
Ten slotte kunt u WMI configureren om te scannen en u te waarschuwen voor bedreigingen, zoals Chad Tilbury in deze presentatie laat zien:
De macht mag niet in de verkeerde handen zijn
WMI is een krachtige systeembeheerder en heeft het potentieel om in verkeerde handen een gevaarlijk hulpmiddel te worden. Erger nog, om deze aanval uit te voeren is niet veel geavanceerde technische kennis vereist. Instructies voor het maken en starten van WMI Persistence-aanvallen zijn gratis beschikbaar op internet.
Daarom kan elke slechterik u op afstand bespioneren of gegevens stelen zonder een spoor achter te laten. Het goede nieuws is echter dat er geen absolute waarden bestaan op het gebied van technologie en cyberbeveiliging. Het is nog steeds mogelijk om het bestaan van WMI te voorkomen en te elimineren voordat de aanvaller grote schade aanricht.
Ziet u een activeringsmelding voor Windows 10 in de rechterhoek van het scherm? In dit artikel wordt uitgelegd hoe u de kennisgeving van een auteursrechtverzoek op Windows 10 verwijdert.
Onlangs heeft Microsoft de nieuwste cumulatieve update voor Windows 10 pc-gebruikers uitgebracht, genaamd Build 14393.222. Deze update voor Windows 10 repareert voornamelijk bugs op basis van gebruikersfeedback en verbetert de prestatie-ervaring van het besturingssysteem.
Heeft u computers op uw lokale netwerk die externe toegang nodig hebben? Het gebruik van een bastionhost als poortwachter voor uw netwerk kan een goede oplossing zijn.
Soms moet u oude gebeurtenislogboeken in één keer verwijderen. In deze handleiding laat Quantrimang.com u 3 manieren zien om snel alle gebeurtenislogboeken in Windows 10 Event Viewer te verwijderen.
Als je liever een oud klassiek toetsenbord gebruikt, zoals het IBM Model M, dat geen fysieke Windows-sleutel bevat, kun je er eenvoudig meer toevoegen door een sleutel te lenen die je niet vaak gebruikt.
WindowTop is een tool waarmee u alle toepassingsvensters en programma's op computers met Windows 10 kunt dimmen. Of u kunt een donkere achtergrondinterface op Windows gebruiken.
In veel eerdere artikelen hebben we vermeld dat online anoniem blijven uiterst belangrijk is. Elk jaar lekt privé-informatie uit, waardoor online beveiliging steeds noodzakelijker wordt. Dat is ook de reden dat we virtuele IP-adressen moeten gebruiken. Hieronder zullen we leren over methoden om nep-IP's te maken!
De Taalbalk op Windows 8 is een miniatuurtaalwerkbalk die is ontworpen om automatisch op het bureaublad te worden weergegeven. Veel mensen willen deze taalbalk echter op de taakbalk verbergen.
Het maximaliseren van de internetsnelheid is essentieel voor het optimaliseren van uw netwerkverbinding. U kunt een optimale entertainment- en werkervaring hebben met behulp van computers, internet-tv's, gameconsoles, enz.
Draadloze connectiviteit is tegenwoordig een noodzaak en daarom is draadloze beveiliging essentieel om de veiligheid in uw interne netwerk te garanderen.
