Αναγνώστες σαν εσάς βοηθούν στην υποστήριξη του MUO. Όταν κάνετε μια αγορά χρησιμοποιώντας συνδέσμους στον ιστότοπό μας, ενδέχεται να κερδίσουμε μια προμήθεια θυγατρικών.
Η Microsoft δημιούργησε το Windows Management Instrumentation (WMI) για να χειριστεί τον τρόπο με τον οποίο οι υπολογιστές Windows κατανέμουν πόρους σε ένα λειτουργικό περιβάλλον. Το WMI κάνει επίσης ένα άλλο σημαντικό πράγμα: διευκολύνει την τοπική και απομακρυσμένη πρόσβαση σε δίκτυα υπολογιστών.
Δυστυχώς, οι χάκερ μαύρου καπέλου μπορούν να παραβιάσουν αυτή τη δυνατότητα για κακόβουλους σκοπούς μέσω μιας επίθεσης εμμονής. Ως εκ τούτου, δείτε πώς μπορείτε να αφαιρέσετε το WMI persistence από τα Windows και να διατηρήσετε τον εαυτό σας ασφαλή.
Τι είναι το WMI Persistence και γιατί είναι επικίνδυνο;
Η επιμονή WMI αναφέρεται σε έναν εισβολέα που εγκαθιστά ένα σενάριο, συγκεκριμένα ένα πρόγραμμα ακρόασης συμβάντων, το οποίο ενεργοποιείται πάντα όταν συμβαίνει ένα συμβάν WMI. Για παράδειγμα, αυτό θα συμβεί όταν το σύστημα εκκινεί ή ο διαχειριστής του συστήματος κάνει κάτι στον υπολογιστή, όπως το άνοιγμα ενός φακέλου ή η χρήση ενός προγράμματος.
Οι επιθέσεις επιμονής είναι επικίνδυνες επειδή είναι κρυφές. Όπως εξηγείται στο Microsoft Scripting, ο εισβολέας δημιουργεί μια μόνιμη συνδρομή συμβάντων WMI που εκτελεί ένα ωφέλιμο φορτίο που λειτουργεί ως διαδικασία συστήματος και καθαρίζει τα αρχεία καταγραφής της εκτέλεσής του. το τεχνικό ισοδύναμο ενός έντεχνου ντατζέρ. Με αυτό το διάνυσμα επίθεσης, ο εισβολέας μπορεί να αποφύγει τον εντοπισμό μέσω του ελέγχου της γραμμής εντολών.
Πώς να αποτρέψετε και να αφαιρέσετε το WMI Persistence
Οι συνδρομές συμβάντων WMI είναι έξυπνα γραμμένες για να αποφεύγεται ο εντοπισμός. Ο καλύτερος τρόπος για να αποφύγετε τις επιθέσεις επιμονής είναι να απενεργοποιήσετε την υπηρεσία WMI. Αυτό δεν θα πρέπει να επηρεάσει τη συνολική εμπειρία χρήστη, εκτός εάν είστε ισχυρός χρήστης.
Η επόμενη καλύτερη επιλογή είναι να αποκλείσετε τις θύρες πρωτοκόλλου WMI διαμορφώνοντας το DCOM ώστε να χρησιμοποιεί μια μόνο στατική θύρα και αποκλείοντας αυτήν τη θύρα. Μπορείτε να δείτε τον οδηγό μας στο πώς να κλείσετε ευάλωτες θύρες για περισσότερες οδηγίες σχετικά με το πώς να το κάνετε αυτό.
Αυτό το μέτρο επιτρέπει στην υπηρεσία WMI να εκτελείται τοπικά ενώ αποκλείει την απομακρυσμένη πρόσβαση. Αυτή είναι μια καλή ιδέα, ειδικά επειδή Η απομακρυσμένη πρόσβαση σε υπολογιστή συνοδεύεται από το δικό της μερίδιο κινδύνων.
Τέλος, μπορείτε να ρυθμίσετε το WMI ώστε να σαρώνει και να σας ειδοποιεί για απειλές, όπως έδειξε ο Chad Tilbury σε αυτήν την παρουσίαση:
Μια δύναμη που δεν πρέπει να βρίσκεται σε λάθος χέρια
Το WMI είναι ένας ισχυρός διαχειριστής συστήματος που γίνεται ένα επικίνδυνο εργαλείο σε λάθος χέρια. Ακόμα χειρότερα, δεν χρειάζονται τεχνικές γνώσεις για να πραγματοποιηθεί μια επίθεση εμμονής. Οδηγίες για τη δημιουργία και την έναρξη επιθέσεων εμμονής WMI είναι δωρεάν διαθέσιμες στο διαδίκτυο.
Έτσι, οποιοσδήποτε έχει αυτές τις γνώσεις και σύντομη πρόσβαση στο δίκτυό σας μπορεί να σας κατασκοπεύσει εξ αποστάσεως ή να κλέψει δεδομένα με μόλις ένα ψηφιακό αποτύπωμα. Ωστόσο, τα καλά νέα είναι ότι δεν υπάρχουν απόλυτα στην τεχνολογία και την ασφάλεια στον κυβερνοχώρο. Είναι ακόμα δυνατό να αποτραπεί και να αφαιρεθεί η επιμονή του WMI προτού ένας εισβολέας κάνει μεγάλη ζημιά.
