Läsare som du hjälper till att stödja MUO. När du gör ett köp med hjälp av länkar på vår webbplats kan vi tjäna en affiliate-provision.
Microsoft skapade Windows Management Instrumentation (WMI) för att hantera hur Windows-datorer allokerar resurser i en operativ miljö. WMI gör också en annan viktig sak: det underlättar lokal och fjärråtkomst till datornätverk.
Tyvärr kan hackare med svart hatt kapa den här förmågan i skadliga syften genom en uthållighetsattack. Som sådan, här är hur du tar bort WMI persistens från Windows och skyddar dig själv.
Vad är WMI Persistens, och varför är det farligt?
WMI persistens hänvisar till en angripare som installerar ett skript, specifikt en händelseavlyssnare, som alltid utlöses när en WMI-händelse inträffar. Detta kommer till exempel att inträffa när systemet startar eller systemadministratören gör något på datorn, som att öppna en mapp eller använda ett program.
Persistensattacker är farliga eftersom de är smygande. Som förklarat på Microsoft scripting, skapar angriparen en permanent WMI-händelseprenumeration som exekverar en nyttolast som fungerar som en systemprocess och rensar upp loggar av dess exekvering; den tekniska motsvarigheten till en artful dodger. Med denna attackvektor kan angriparen undvika att bli upptäckt genom kommandoradsgranskning.
Hur man förhindrar och tar bort WMI Persistens
WMI-händelseprenumerationer är skickligt skriptade för att undvika upptäckt. Det bästa sättet att undvika persistensattacker är att inaktivera WMI-tjänsten. Att göra detta bör inte påverka din övergripande användarupplevelse om du inte är en avancerad användare.
Det näst bästa alternativet är att blockera WMI-protokollportarna genom att konfigurera DCOM att använda en enda statisk port och blockera den porten. Du kan kolla in vår guide på hur man stänger sårbara hamnar för mer instruktioner om hur du gör detta.
Denna åtgärd låter WMI-tjänsten köras lokalt samtidigt som fjärråtkomst blockeras. Detta är en bra idé, särskilt därför fjärrdatoråtkomst kommer med sin egen del av riskerna.
Slutligen kan du konfigurera WMI för att skanna och varna dig för hot, som Chad Tilbury demonstrerade i den här presentationen:
En makt som inte borde vara i fel händer
WMI är en kraftfull systemhanterare som blir ett farligt verktyg i fel händer. Ännu värre, teknisk kunskap behövs inte för att utföra en uthållighetsattack. Instruktioner för att skapa och starta WMI-persistensattacker är fritt tillgängliga på internet.
Så alla med denna kunskap och kort tillgång till ditt nätverk kan fjärrspionera på dig eller stjäla data med knappt ett digitalt fotavtryck. Den goda nyheten är dock att det inte finns några absoluta egenskaper inom teknik och cybersäkerhet. Det är fortfarande möjligt att förhindra och ta bort WMI-beständighet innan en angripare gör stor skada.
