Læsere som dig hjælper med at støtte MUO. Når du foretager et køb ved hjælp af links på vores websted, kan vi optjene en affiliate-kommission.
Microsoft skabte Windows Management Instrumentation (WMI) til at håndtere, hvordan Windows-computere allokerer ressourcer i et driftsmiljø. WMI gør også en anden vigtig ting: det letter lokal og fjernadgang til computernetværk.
Desværre kan hackere med sort hat kapre denne evne til ondsindede formål gennem et vedvarende angreb. Som sådan, her er, hvordan du fjerner WMI persistens fra Windows og holder dig selv sikker.
Hvad er WMI Persistens, og hvorfor er det farligt?
WMI persistens refererer til en angriber, der installerer et script, specifikt en hændelseslytter, der altid udløses, når en WMI hændelse sker. For eksempel vil dette ske, når systemet starter, eller systemadministratoren gør noget på pc'en, som at åbne en mappe eller bruge et program.
Vedholdende angreb er farlige, fordi de er snigende. Som forklaret på Microsoft Scripting, opretter angriberen et permanent WMI-hændelsesabonnement, der udfører en nyttelast, der fungerer som en systemproces og rydder op i logfiler for dens eksekvering; den tekniske ækvivalent til en kunstfærdig undviger. Med denne angrebsvektor kan angriberen undgå at blive opdaget gennem kommandolinjeauditering.
Sådan forhindrer og fjerner du WMI-persistens
WMI-begivenhedsabonnementer er smart scriptet for at undgå registrering. Den bedste måde at undgå persistensangreb på er at deaktivere WMI-tjenesten. At gøre dette bør ikke påvirke din overordnede brugeroplevelse, medmindre du er en superbruger.
Den næstbedste mulighed er at blokere WMI-protokolportene ved at konfigurere DCOM til at bruge en enkelt statisk port og blokere denne port. Du kan tjekke vores guide på hvordan man lukker sårbare havne for flere instruktioner om, hvordan du gør dette.
Denne foranstaltning lader WMI-tjenesten køre lokalt, mens den blokerer fjernadgang. Dette er en god idé, især fordi ekstern computeradgang kommer med sin egen andel af risici.
Endelig kan du konfigurere WMI til at scanne og advare dig om trusler, som Chad Tilbury demonstrerede i denne præsentation:
En magt, der ikke burde være i de forkerte hænder
WMI er en kraftfuld systemmanager, der bliver et farligt værktøj i de forkerte hænder. Endnu værre, teknisk viden er ikke nødvendig for at udføre et vedvarende angreb. Instruktioner om at oprette og starte WMI-persistensangreb er frit tilgængelige på internettet.
Så enhver med denne viden og kort adgang til dit netværk kan eksternt spionere på dig eller stjæle data med knap et digitalt fodaftryk. Den gode nyhed er dog, at der ikke er nogen absolutte inden for teknologi og cybersikkerhed. Det er stadig muligt at forhindre og fjerne WMI persistens, før en angriber gør stor skade.
