Microsoft создала инструментарий управления Windows (WMI) для управления тем, как компьютеры Windows распределяют ресурсы в операционной среде. WMI делает еще кое-что важное: он облегчает локальный и удаленный доступ к компьютерным сетям.
К сожалению, хакеры «черной шляпы» могут использовать эту возможность в злонамеренных целях посредством постоянной атаки. Итак, вот как удалить вредоносное ПО WMI Persistence из Windows и обезопасить себя.
Что такое персистентность WMI и чем она опасна?
Сохранение WMI означает, что злоумышленник устанавливает сценарий, в частности обработчик событий, который всегда запускается при возникновении события WMI . Например, это произойдет, когда система запустится или системный администратор что-то сделает на ПК, например, откроет папку или воспользуется программой.
Нападения опасны, поскольку происходят скрытно. Как поясняется в разделе «Сценарии Microsoft», злоумышленник создает постоянную подписку на события WMI для выполнения полезной нагрузки, которая действует как системный процесс, и очищает журнал ее выполнения. Используя этот вектор атаки, злоумышленник может избежать обнаружения посредством проверки командной строки.
Как предотвратить и удалить сохранение WMI
Подписки на события WMI продуманы таким образом, чтобы избежать обнаружения. Лучший способ избежать этих атак — отключить службу WMI. Это не повлияет на ваш общий пользовательский опыт, если вы не являетесь опытным пользователем.
Следующий лучший вариант — заблокировать порты протокола WMI, настроив DCOM на использование одного статического порта и заблокировав этот порт. Вы можете ознакомиться с руководством Quantrimang.com о том, как закрыть уязвимые порты, чтобы получить дополнительные инструкции о том, как это сделать.
Эта мера позволяет службе WMI работать локально, блокируя удаленный доступ. Это хорошая идея, тем более что удаленный доступ к компьютеру сопряжен с собственными рисками.
Наконец, вы можете настроить WMI для сканирования и предупреждения об угрозах, как это демонстрирует Чад Тилбери в этой презентации:
Власть не должна находиться в чужих руках
WMI — мощный системный менеджер, который может стать опасным инструментом в чужих руках. Хуже того, для проведения этой атаки не требуется особых технических знаний. Инструкции по созданию и запуску атак WMI Persistence находятся в свободном доступе в Интернете.
Таким образом, любой злоумышленник может шпионить за вами удаленно или украсть данные, не оставив и следа. Однако хорошая новость заключается в том, что в сфере технологий и кибербезопасности не существует абсолютов. Все еще возможно предотвратить и устранить существование WMI до того, как злоумышленник нанесет серьезный ущерб.
Вы видите уведомление об активации Windows 10 в правом углу экрана? В этой статье вы узнаете, как удалить уведомление о запросе на авторские права в Windows 10.
Недавно Microsoft выпустила последнее накопительное обновление для пользователей ПК с Windows 10 под названием Build 14393.222. Это обновление, выпущенное для Windows 10, в основном исправляет ошибки на основе отзывов пользователей и повышает производительность операционной системы.
Есть ли в вашей локальной сети компьютеры, которым требуется внешний доступ? Использование хоста-бастиона в качестве привратника для вашей сети может быть хорошим решением.
Если вы предпочитаете использовать старую классическую клавиатуру, например IBM Model M, на которой нет физической клавиши Windows, есть простой способ добавить ее, позаимствовав клавишу, которую вы не часто используете.
Иногда вам может потребоваться удалить все старые журналы событий сразу. В этом руководстве Quantrimang.com покажет вам 3 способа быстрого удаления всех журналов событий в средстве просмотра событий Windows 10.
Во многих предыдущих статьях мы упоминали, что сохранять анонимность в Интернете чрезвычайно важно. Частная информация утекает каждый год, что делает безопасность в Интернете все более необходимой. По этой же причине нам следует использовать виртуальные IP-адреса. Ниже мы узнаем о методах создания поддельных IP-адресов!
WindowTop — это инструмент, который позволяет затемнять все окна приложений и программ, запущенных на компьютерах с Windows 10. Или вы можете использовать интерфейс с темным фоном в Windows.
Языковая панель в Windows 8 — это миниатюрная языковая панель инструментов, предназначенная для автоматического отображения на экране рабочего стола. Однако многие люди хотят скрыть эту языковую панель на панели задач.
Беспроводное подключение сегодня является необходимостью, и поэтому безопасность беспроводной сети необходима для обеспечения безопасности вашей внутренней сети.
Увеличение скорости Интернета имеет важное значение для оптимизации сетевого подключения. Вы можете получить оптимальные впечатления от развлечений и работы, используя компьютеры, телевизоры с возможностью подключения к Интернету, игровые приставки и т. д.
