Microsoft, Windows bilgisayarlarının işletim ortamındaki kaynakları nasıl tahsis ettiğini yönetmek için Windows Yönetim Araçları'nı (WMI) oluşturdu. WMI ayrıca önemli bir şey daha yapar: Bilgisayar ağlarına yerel ve uzaktan erişimi kolaylaştırır.
Ne yazık ki siyah şapkalı bilgisayar korsanları, kalıcı bir saldırı yoluyla bu yeteneği kötü niyetli amaçlarla ele geçirebilirler. İşte WMI Persistence kötü amaçlı yazılımını Windows'tan nasıl kaldıracağınız ve kendinizi güvende tutacağınız.
WMI Kalıcılığı nedir ve neden tehlikelidir?
WMI Kalıcılığı, bir saldırganın bir WMI olayı oluştuğunda her zaman tetiklenen bir komut dosyasını, özellikle de bir olay işleyicisini yüklemesini ifade eder . Örneğin, sistem başlatıldığında veya sistem yöneticisi bilgisayarda bir klasör açmak veya bir programı kullanmak gibi bir işlem yaptığında bu durum meydana gelir.
Saldırılar tehlikelidir çünkü gizlice gerçekleşirler. Microsoft Komut Dosyası'nda açıklandığı gibi, bir saldırgan, sistem işlemi olarak görev yapan ve yürütme günlüğünü temizleyen bir veri yükünü yürütmek için kalıcı bir WMI olay aboneliği oluşturur. Bu saldırı vektörüyle saldırgan, komut satırı incelemesi yoluyla tespit edilmekten kaçınabilir.
WMI Kalıcılığı nasıl önlenir ve kaldırılır
WMI olay abonelikleri, tespit edilmeyi önleyecek şekilde akıllıca tasarlanmıştır. Bu saldırılardan kaçınmanın en iyi yolu WMI hizmetini devre dışı bırakmaktır. İleri düzey bir kullanıcı olmadığınız sürece bunu yapmanız genel kullanıcı deneyiminizi etkilemeyecektir.
Bir sonraki en iyi seçenek, DCOM'u tek bir statik bağlantı noktası kullanacak ve bu bağlantı noktasını engelleyecek şekilde yapılandırarak WMI protokolü bağlantı noktalarını engellemektir. Bunun nasıl yapılacağına ilişkin daha fazla talimat için Quantrimang.com'un savunmasız bağlantı noktalarının nasıl kapatılacağına ilişkin kılavuzuna göz atabilirsiniz .
Bu önlem, uzaktan erişimi engellerken WMI hizmetinin yerel olarak çalışmasına olanak tanır. Bu iyi bir fikir, özellikle de bir bilgisayara uzaktan erişmenin kendi risklerini de beraberinde getirmesi nedeniyle.
Son olarak, Chad Tilbury'nin bu sunumda gösterdiği gibi, WMI'yı tehditleri tarayacak ve sizi uyaracak şekilde yapılandırabilirsiniz:
Güç yanlış ellerde olmamalı
WMI güçlü bir sistem yöneticisidir ve yanlış ellerde tehlikeli bir araca dönüşme potansiyeline sahiptir. Daha da kötüsü, bu saldırıyı gerçekleştirmek için çok fazla ileri düzeyde teknik bilgiye gerek yoktur. WMI Kalıcılık saldırılarının nasıl oluşturulacağı ve başlatılacağına ilişkin talimatlar internette ücretsiz olarak mevcuttur.
Bu nedenle herhangi bir kötü adam sizi uzaktan gözetleyebilir veya iz bırakmadan verilerinizi çalabilir. Ancak iyi haber şu ki teknoloji ve siber güvenlikte mutlak diye bir şey yok. Saldırganın büyük hasara yol açmasından önce WMI'ın varlığını önlemek ve ortadan kaldırmak hala mümkün.
Ekranın sağ köşesinde bir Windows 10 etkinleştirme bildirimi görüyor musunuz? Bu makale, Windows 10'da telif hakkı isteği bildirimini nasıl sileceğiniz konusunda size rehberlik edecektir.
Microsoft yakın zamanda Windows 10 PC kullanıcıları için Derleme 14393.222 adlı en son toplu güncelleştirmeyi yayımladı. Windows 10 için yayımlanan bu güncelleme, esas olarak kullanıcı geri bildirimlerine dayalı olarak hataları düzeltiyor ve işletim sisteminin performans deneyimini geliştiriyor.
Yerel ağınızda harici erişime ihtiyaç duyan bilgisayarlarınız var mı? Ağınız için bir kale ana bilgisayarını ağ geçidi denetleyicisi olarak kullanmak iyi bir çözüm olabilir.
Bazen eski olay günlüklerinin tamamını bir kerede silmeniz gerekebilir. Bu kılavuzda Quantrimang.com, Windows 10 Olay Görüntüleyicisi'ndeki tüm olay günlüklerini hızlı bir şekilde silmenin 3 yolunu gösterecektir.
IBM Model M gibi fiziksel bir Windows tuşu içermeyen eski bir klasik klavye kullanmayı tercih ederseniz, sık kullanmadığınız bir anahtarı ödünç alarak daha fazlasını eklemenin kolay bir yöntemi vardır.
WindowTop, Windows 10 bilgisayarlarda çalışan tüm uygulama pencerelerini ve programlarını karartma özelliğine sahip bir araçtır.Ya da pencerelerde koyu arka planlı bir arayüz kullanabilirsiniz.
Daha önceki birçok makalemizde çevrimiçi ortamda anonim kalmanın son derece önemli olduğundan bahsetmiştik. Özel bilgilerin her yıl sızdırılması, çevrimiçi güvenliği giderek daha gerekli hale getiriyor. Sanal IP adreslerini kullanmamızın nedeni de budur. Aşağıda sahte IP'ler oluşturma yöntemlerini öğreneceğiz!
Windows 8'deki dil çubuğu, masaüstü ekranında otomatik olarak görüntülemek için tasarlanmış minyatür bir dil araç çubuğudur. Ancak, birçok kişi bu dil çubuğunu görev çubuğuna gizlemek istiyor.
İnternet hızını en üst düzeye çıkarmak, ağ bağlantınızı optimize etmek için çok önemlidir. Bilgisayarları, internete hazır TV'leri, oyun konsollarını vb. kullanarak en iyi eğlence ve iş deneyimini yaşayabilirsiniz.
Kablosuz bağlantı günümüzde bir zorunluluktur ve bu nedenle dahili ağınızın güvenliğini sağlamak için kablosuz güvenlik şarttır.
