Lesere som deg er med på å støtte MUO. Når du foretar et kjøp ved å bruke lenker på nettstedet vårt, kan vi tjene en tilknyttet provisjon.
Microsoft opprettet Windows Management Instrumentation (WMI) for å håndtere hvordan Windows-datamaskiner allokerer ressurser i et driftsmiljø. WMI gjør også en annen viktig ting: det letter lokal og ekstern tilgang til datanettverk.
Dessverre kan hackere med black hat kapre denne muligheten for ondsinnede formål gjennom et vedvarende angrep. Som sådan, her er hvordan du fjerner WMI-persistens fra Windows og holder deg trygg.
Hva er WMI persistens, og hvorfor er det farlig?
WMI persistens refererer til en angriper som installerer et skript, spesifikt en hendelseslytter, som alltid utløses når en WMI-hendelse skjer. Dette vil for eksempel skje når systemet starter opp eller systemadministratoren gjør noe på PC-en, som å åpne en mappe eller bruke et program.
Utholdenhetsangrep er farlige fordi de er snikende. Som forklart på Microsoft skripting, oppretter angriperen et permanent WMI-hendelsesabonnement som kjører en nyttelast som fungerer som en systemprosess og rydder opp i logger av dens kjøring; den tekniske ekvivalenten til en artful dodger. Med denne angrepsvektoren kan angriperen unngå å bli oppdaget gjennom kommandolinjerevisjon.
Hvordan forhindre og fjerne WMI-persistens
WMI-hendelsesabonnementer er smart skriptet for å unngå oppdagelse. Den beste måten å unngå vedvarende angrep på er å deaktivere WMI-tjenesten. Å gjøre dette bør ikke påvirke din generelle brukeropplevelse med mindre du er en superbruker.
Det nest beste alternativet er å blokkere WMI-protokollportene ved å konfigurere DCOM til å bruke en enkelt statisk port og blokkere den porten. Du kan sjekke ut vår guide på hvordan stenge sårbare havner for flere instruksjoner om hvordan du gjør dette.
Dette tiltaket lar WMI-tjenesten kjøre lokalt mens den blokkerer ekstern tilgang. Dette er en god idé, spesielt fordi ekstern datamaskintilgang kommer med sin egen del av risikoen.
Til slutt kan du konfigurere WMI til å skanne og varsle deg om trusler, som Chad Tilbury demonstrerte i denne presentasjonen:
En makt som ikke bør være i feil hender
WMI er en kraftig systembehandler som blir et farlig verktøy i feil hender. Enda verre, teknisk kunnskap er ikke nødvendig for å utføre et vedvarende angrep. Instruksjoner for å opprette og starte WMI-persistensangrep er fritt tilgjengelig på internett.
Så alle med denne kunnskapen og kort tilgang til nettverket ditt kan eksternt spionere på deg eller stjele data med knapt et digitalt fotavtrykk. Den gode nyheten er imidlertid at det ikke er noen absolutt innen teknologi og cybersikkerhet. Det er fortsatt mulig å forhindre og fjerne WMI-persistens før en angriper gjør stor skade.