Microsoft создала инструментарий управления Windows (WMI) для управления тем, как компьютеры Windows распределяют ресурсы в операционной среде. WMI делает еще кое-что важное: он облегчает локальный и удаленный доступ к компьютерным сетям.
К сожалению, хакеры «черной шляпы» могут использовать эту возможность в злонамеренных целях посредством постоянной атаки. Итак, вот как удалить вредоносное ПО WMI Persistence из Windows и обезопасить себя.
Что такое персистентность WMI и чем она опасна?
Сохранение WMI означает, что злоумышленник устанавливает сценарий, в частности обработчик событий, который всегда запускается при возникновении события WMI . Например, это произойдет, когда система запустится или системный администратор что-то сделает на ПК, например, откроет папку или воспользуется программой.
Нападения опасны, поскольку происходят скрытно. Как поясняется в разделе «Сценарии Microsoft», злоумышленник создает постоянную подписку на события WMI для выполнения полезной нагрузки, которая действует как системный процесс, и очищает журнал ее выполнения. Используя этот вектор атаки, злоумышленник может избежать обнаружения посредством проверки командной строки.
Как предотвратить и удалить сохранение WMI
Подписки на события WMI продуманы таким образом, чтобы избежать обнаружения. Лучший способ избежать этих атак — отключить службу WMI. Это не повлияет на ваш общий пользовательский опыт, если вы не являетесь опытным пользователем.
Следующий лучший вариант — заблокировать порты протокола WMI, настроив DCOM на использование одного статического порта и заблокировав этот порт. Вы можете ознакомиться с руководством Quantrimang.com о том, как закрыть уязвимые порты, чтобы получить дополнительные инструкции о том, как это сделать.
Эта мера позволяет службе WMI работать локально, блокируя удаленный доступ. Это хорошая идея, тем более что удаленный доступ к компьютеру сопряжен с собственными рисками.
Наконец, вы можете настроить WMI для сканирования и предупреждения об угрозах, как это демонстрирует Чад Тилбери в этой презентации:
Власть не должна находиться в чужих руках
WMI — мощный системный менеджер, который может стать опасным инструментом в чужих руках. Хуже того, для проведения этой атаки не требуется особых технических знаний. Инструкции по созданию и запуску атак WMI Persistence находятся в свободном доступе в Интернете.
Таким образом, любой злоумышленник может шпионить за вами удаленно или украсть данные, не оставив и следа. Однако хорошая новость заключается в том, что в сфере технологий и кибербезопасности не существует абсолютов. Все еще возможно предотвратить и устранить существование WMI до того, как злоумышленник нанесет серьезный ущерб.
Кэш — это данные предыдущих сеансов приложений и программ, которые операционная система сохраняет, чтобы ускорить загрузку данных в последующих сеансах. Однако после длительного отсутствия очистки кеш заполнит ваш жесткий диск и займет все место на нем.
В этой статье Quantrimang расскажет вам, как узнать, какие типы файлов занимают много места на вашем компьютере с Windows 10.
Yahoo Search — это законная поисковая система. Однако его также считают угонщиком браузера, перенаправляющим пользователей на поиск. йаху. ком. Этот угонщик браузера захватит домашнюю страницу веб-браузера и настройки поисковой системы, чтобы отобразить домашнюю страницу Yahoo Search и поисковую систему вместо домашней страницы и поисковой системы, которые вы ранее настроили.
Завершить задачу — это функция диспетчера задач Microsoft Windows. Он расположен на вкладке «Приложения» и позволяет пользователям закрывать любую отвечающую или не отвечающую программу.
Как и на многих других платформах, в Windows также имеется специализированный менеджер буфера обмена, который называется «История буфера обмена».
Версия Big Sur для macOS была официально анонсирована на недавней конференции WWDC. И вы можете полностью перенести интерфейс macOS Big Sur на Windows 10 с помощью инструмента Rainmeter.
RDStealer — это вредоносное ПО, которое пытается украсть учетные данные и данные путем заражения RDP-сервера и мониторинга его удаленных подключений.
Может быть, пришло время попрощаться с Проводником и использовать стороннее программное обеспечение для управления файлами? Вот 7 лучших альтернатив Windows File Explorer.
LoRaWAN или беспроводная сеть дальнего действия полезна для связи между маломощными устройствами на больших расстояниях.
Перейдя к «Дополнительным параметрам запуска», вы можете сбросить Windows 10, восстановить Windows 10, восстановить Windows 10 из файла образа, который вы создали ранее, исправить ошибки запуска, открыть командную строку для выполнения параметров, выбрать другие, открыть настройки UEFI, изменить настройки запуска. ..
