A Microsoft criou o Windows Management Instrumentation (WMI) para controlar como os computadores Windows alocam recursos no ambiente operacional. O WMI também faz outra coisa importante: facilita o acesso local e remoto a redes de computadores.
Infelizmente, os hackers black hat podem sequestrar essa capacidade para fins maliciosos por meio de um ataque persistente. Então, veja como remover o malware WMI Persistence do Windows e manter-se seguro.
O que é persistência WMI e por que é perigoso?
Persistência WMI refere-se a um invasor que instala um script, especificamente um manipulador de eventos, que é sempre acionado quando ocorre um evento WMI . Por exemplo, isso acontecerá quando o sistema for iniciado ou o administrador do sistema fizer algo no PC, como abrir uma pasta ou usar um programa.
Os ataques são perigosos porque ocorrem furtivamente. Conforme explicado em Microsoft Scripting, um invasor cria uma assinatura de evento WMI permanente para executar uma carga útil que atua como um processo do sistema e limpa seu log de execução. Com esse vetor de ataque, um invasor pode evitar a detecção por meio da inspeção de linha de comando.
Como prevenir e remover a persistência do WMI
As assinaturas de eventos WMI são elaboradas de maneira inteligente para evitar a detecção. A melhor maneira de evitar esses ataques é desabilitar o serviço WMI. Fazer isso não afetará a experiência geral do usuário, a menos que você seja um usuário avançado.
A próxima melhor opção é bloquear as portas do protocolo WMI configurando o DCOM para usar uma única porta estática e bloquear essa porta. Você pode verificar o guia do Quantrimang.com sobre como fechar portas vulneráveis para obter mais instruções sobre como fazer isso.
Esta medida permite que o serviço WMI seja executado localmente enquanto bloqueia o acesso remoto. Esta é uma boa ideia, especialmente porque acessar um computador remotamente traz seus próprios riscos.
Finalmente, você pode configurar o WMI para verificar e avisar sobre ameaças, como Chad Tilbury demonstra nesta apresentação:
O poder não deveria estar nas mãos erradas
O WMI é um poderoso gerenciador de sistemas e tem potencial para se tornar uma ferramenta perigosa nas mãos erradas. Pior ainda, para realizar este ataque não é necessário muito conhecimento técnico avançado. Instruções sobre como criar e lançar ataques de persistência WMI estão disponíveis gratuitamente na Internet.
Portanto, qualquer bandido pode espionar você remotamente ou roubar dados sem deixar rastros. No entanto, a boa notícia é que não existem valores absolutos em tecnologia e segurança cibernética. Ainda é possível prevenir e eliminar a existência do WMI antes que o invasor cause grandes danos.
Você vê uma notificação de ativação do Windows 10 no canto direito da tela? Este artigo irá orientá-lo sobre como excluir o aviso de solicitação de direitos autorais no Windows 10.
Recentemente, a Microsoft lançou a atualização cumulativa mais recente para usuários de PC com Windows 10, chamada Build 14393.222. Esta atualização lançada para o Windows 10 corrige principalmente bugs com base no feedback do usuário e melhora a experiência de desempenho do sistema operacional.
Você tem computadores em sua rede local que precisam de acesso externo? Usar um host bastião como gatekeeper para sua rede pode ser uma boa solução.
Às vezes, pode ser necessário excluir logs de eventos antigos de uma só vez. Neste guia, Quantrimang.com mostrará três maneiras de excluir rapidamente todos os logs de eventos no Visualizador de Eventos do Windows 10.
Se você preferir usar um teclado clássico antigo, como o IBM Modelo M, que não inclui uma tecla física do Windows, existe um método fácil de adicionar mais, pegando emprestada uma tecla que você não usa com frequência.
WindowTop é uma ferramenta que tem a capacidade de escurecer todas as janelas de aplicativos e programas em execução em computadores com Windows 10. Ou você pode usar uma interface de fundo escuro no Windows.
Em muitos artigos anteriores, mencionamos que permanecer anônimo online é extremamente importante. Informações privadas vazam todos os anos, tornando a segurança online cada vez mais necessária. Essa também é a razão pela qual devemos usar endereços IP virtuais. Abaixo, aprenderemos sobre métodos para criar IPs falsos!
A barra de idiomas do Windows 8 é uma barra de ferramentas de idiomas em miniatura projetada para ser exibida automaticamente na tela da área de trabalho. No entanto, muitas pessoas desejam ocultar esta barra de idiomas na barra de tarefas.
Maximizar a velocidade da Internet é essencial para otimizar sua conexão de rede. Você pode ter uma ótima experiência de entretenimento e trabalho usando computadores, TVs com Internet, consoles de jogos, etc.
A conectividade sem fio é uma necessidade hoje e por isso a segurança sem fio é essencial para garantir a segurança da sua rede interna.
