Firma Microsoft stworzyła Instrumentację zarządzania Windows (WMI) do obsługi sposobu, w jaki komputery z systemem Windows przydzielają zasoby w środowisku operacyjnym. WMI robi jeszcze coś ważnego: ułatwia lokalny i zdalny dostęp do sieci komputerowych.
Niestety, hakerzy typu „czarny kapelusz” mogą przejąć tę funkcję w złych celach w drodze trwałego ataku. Oto, jak usunąć złośliwe oprogramowanie WMI Persistence z systemu Windows i zapewnić sobie bezpieczeństwo.
Co to jest trwałość WMI i dlaczego jest niebezpieczna?
Trwałość WMI oznacza, że osoba atakująca instaluje skrypt, w szczególności moduł obsługi zdarzeń, który jest zawsze uruchamiany w przypadku wystąpienia zdarzenia WMI . Nastąpi to na przykład podczas uruchamiania systemu lub gdy administrator systemu wykona jakąś czynność na komputerze, na przykład otworzy folder lub użyje programu.
Ataki są niebezpieczne, ponieważ odbywają się w ukryciu. Jak wyjaśniono w witrynie Microsoft Scripting, osoba atakująca tworzy stałą subskrypcję zdarzenia WMI w celu wykonania ładunku, który działa jak proces systemowy i czyści swój dziennik wykonywania. Dzięki temu wektorowi ataku osoba atakująca może uniknąć wykrycia poprzez inspekcję z wiersza poleceń.
Jak zapobiegać i usuwać trwałość WMI
Subskrypcje zdarzeń WMI są sprytnie zaprojektowane, aby uniknąć wykrycia. Najlepszym sposobem uniknięcia tych ataków jest wyłączenie usługi WMI. Nie wpłynie to na ogólne wrażenia użytkownika, chyba że jesteś zaawansowanym użytkownikiem.
Następną najlepszą opcją jest zablokowanie portów protokołu WMI poprzez skonfigurowanie DCOM tak, aby korzystał z pojedynczego portu statycznego i blokował ten port. Możesz zapoznać się z przewodnikiem Quantrimang.com dotyczącym zamykania wrażliwych portów, aby uzyskać więcej instrukcji, jak to zrobić.
Dzięki temu rozwiązaniu usługa WMI może działać lokalnie, blokując jednocześnie dostęp zdalny. Jest to dobry pomysł, zwłaszcza że zdalny dostęp do komputera wiąże się z pewnym ryzykiem.
Na koniec możesz skonfigurować usługę WMI do skanowania i ostrzegania o zagrożeniach, jak pokazuje Chad Tilbury w tej prezentacji:
Władza nie powinna znajdować się w niepowołanych rękach
WMI to potężny menedżer systemu, który może stać się niebezpiecznym narzędziem w niepowołanych rękach. Co gorsza, do przeprowadzenia tego ataku nie jest wymagana zbyt zaawansowana wiedza techniczna. Instrukcje dotyczące tworzenia i uruchamiania ataków WMI Persistence są swobodnie dostępne w Internecie.
Dlatego każdy złoczyńca może Cię zdalnie szpiegować lub ukraść dane bez pozostawiania śladu. Dobra wiadomość jest jednak taka, że w technologii i cyberbezpieczeństwie nie ma absolutów. Nadal możliwe jest zapobieganie i eliminowanie istnienia WMI, zanim osoba atakująca spowoduje poważne szkody.
Czy widzisz powiadomienie o aktywacji systemu Windows 10 w prawym rogu ekranu? W tym artykule dowiesz się, jak usunąć powiadomienie o żądaniu dotyczącym praw autorskich w systemie Windows 10.
Niedawno firma Microsoft wydała najnowszą aktualizację zbiorczą dla użytkowników komputerów PC z systemem Windows 10 o nazwie Build 14393.222. Ta aktualizacja wydana dla systemu Windows 10 naprawia głównie błędy na podstawie opinii użytkowników i poprawia wydajność systemu operacyjnego.
Czy masz komputery w sieci lokalnej, które wymagają dostępu zewnętrznego? Dobrym rozwiązaniem może być użycie hosta bastionowego jako strażnika sieci.
Czasami może być konieczne jednoczesne usunięcie wszystkich starych dzienników zdarzeń. W tym przewodniku Quantrimang.com pokaże Ci 3 sposoby szybkiego usunięcia wszystkich dzienników zdarzeń w Podglądzie zdarzeń systemu Windows 10.
Jeśli wolisz używać starej, klasycznej klawiatury, takiej jak IBM Model M, która nie zawiera fizycznego klawisza Windows, istnieje prosty sposób, aby dodać więcej, pożyczając klawisz, którego nie używasz często.
WindowTop to narzędzie, które ma możliwość przyciemnienia wszystkich okien aplikacji i programów działających na komputerach z systemem Windows 10. Możesz także użyć interfejsu z ciemnym tłem w systemie Windows.
W wielu poprzednich artykułach wspominaliśmy, że zachowanie anonimowości w Internecie jest niezwykle ważne. Co roku dochodzi do wycieku prywatnych informacji, co sprawia, że bezpieczeństwo w Internecie staje się coraz bardziej konieczne. Z tego też powodu powinniśmy używać wirtualnych adresów IP. Poniżej dowiemy się o metodach tworzenia fałszywych adresów IP!
Pasek języka w systemie Windows 8 to miniaturowy pasek narzędzi języka, zaprojektowany tak, aby automatycznie wyświetlał się na ekranie komputera stacjonarnego. Jednak wiele osób chce ukryć ten pasek języka na pasku zadań.
Maksymalizacja szybkości Internetu jest niezbędna do optymalizacji połączenia sieciowego. Możesz cieszyć się optymalną rozrywką i pracą, korzystając z komputerów, telewizorów z dostępem do Internetu, konsol do gier itp.
Łączność bezprzewodowa jest dziś koniecznością i dlatego bezpieczeństwo sieci bezprzewodowej jest niezbędne do zapewnienia bezpieczeństwa w sieci wewnętrznej.
