Microsoft создала инструментарий управления Windows (WMI) для управления тем, как компьютеры Windows распределяют ресурсы в операционной среде. WMI делает еще кое-что важное: он облегчает локальный и удаленный доступ к компьютерным сетям.
К сожалению, хакеры «черной шляпы» могут использовать эту возможность в злонамеренных целях посредством постоянной атаки. Итак, вот как удалить вредоносное ПО WMI Persistence из Windows и обезопасить себя.
Что такое персистентность WMI и чем она опасна?
Сохранение WMI означает, что злоумышленник устанавливает сценарий, в частности обработчик событий, который всегда запускается при возникновении события WMI . Например, это произойдет, когда система запустится или системный администратор что-то сделает на ПК, например, откроет папку или воспользуется программой.
Нападения опасны, поскольку происходят скрытно. Как поясняется в разделе «Сценарии Microsoft», злоумышленник создает постоянную подписку на события WMI для выполнения полезной нагрузки, которая действует как системный процесс, и очищает журнал ее выполнения. Используя этот вектор атаки, злоумышленник может избежать обнаружения посредством проверки командной строки.
Как предотвратить и удалить сохранение WMI
Подписки на события WMI продуманы таким образом, чтобы избежать обнаружения. Лучший способ избежать этих атак — отключить службу WMI. Это не повлияет на ваш общий пользовательский опыт, если вы не являетесь опытным пользователем.
Следующий лучший вариант — заблокировать порты протокола WMI, настроив DCOM на использование одного статического порта и заблокировав этот порт. Вы можете ознакомиться с руководством Quantrimang.com о том, как закрыть уязвимые порты, чтобы получить дополнительные инструкции о том, как это сделать.
Эта мера позволяет службе WMI работать локально, блокируя удаленный доступ. Это хорошая идея, тем более что удаленный доступ к компьютеру сопряжен с собственными рисками.
Наконец, вы можете настроить WMI для сканирования и предупреждения об угрозах, как это демонстрирует Чад Тилбери в этой презентации:
Власть не должна находиться в чужих руках
WMI — мощный системный менеджер, который может стать опасным инструментом в чужих руках. Хуже того, для проведения этой атаки не требуется особых технических знаний. Инструкции по созданию и запуску атак WMI Persistence находятся в свободном доступе в Интернете.
Таким образом, любой злоумышленник может шпионить за вами удаленно или украсть данные, не оставив и следа. Однако хорошая новость заключается в том, что в сфере технологий и кибербезопасности не существует абсолютов. Все еще возможно предотвратить и устранить существование WMI до того, как злоумышленник нанесет серьезный ущерб.
Если у вас возникли проблемы с установкой или обновлением приложения «Магазин» в Windows 10, это может быть связано с проблемой с кешем магазина. Узнайте как <strong>очистить кеш магазина Microsoft</strong> для вашей учетной записи в Windows 10.
Кейлоггер - это программное обеспечение для захвата и сбора информации о нажатиях клавиш. Узнайте о лучших бесплатных кейлоггерах для Windows. Как защитить свои данные!
Если вы используете Microsoft Edge на общем компьютере с Windows 10 и хотите сохранить конфиденциальность своей истории просмотров, узнайте, как настроить Edge для запуска в режиме InPrivate.
Вы можете решить многие проблемы, возникающие в Windows 11, с помощью настройки системы. Например, если игра не запускается, открытие и изменение настроек MSConfig может решить проблему.
VPNBook — бесплатный провайдер VPN с неограниченной пропускной способностью, идеален для доступа к заблокированным сайтам. Узнайте, как настроить VPN на Windows за считанные минуты.
Узнайте, как включить или отключить встроенное автозаполнение в адресной строке проводника и диалоговом окне «Выполнить» в Windows 10. Следуйте нашим простым шагам!
Windows 10 предоставляет <strong>меню параметров загрузки</strong>, позволяющее исправлять проблемы и перенастраивать систему. Узнайте, как получить доступ к этому меню.
Кнопка «Удобство доступа» на экране входа в Windows 10 дает возможность пользователям запускать приложения, такие как диспетчер задач и командную строку, для улучшения доступа и функциональности.
Эта статья поможет вам настроить переключение между веб-камерами на компьютере с Windows 10. Убедитесь, что у вас по умолчанию установлена нужная веб-камера.
Узнайте, как быстро и удобно открыть Блокнот в Windows 11 различными способами. Bлокнот — это незаменимое текстовое приложение, которое всегда под рукой.
