Čtenáři jako vy pomáhají podporovat MUO. Když provedete nákup pomocí odkazů na našich stránkách, můžeme získat provizi přidružené společnosti.
Společnost Microsoft vytvořila Windows Management Instrumentation (WMI), aby zvládla, jak počítače se systémem Windows přidělují prostředky v provozním prostředí. WMI dělá také další důležitou věc: usnadňuje místní a vzdálený přístup k počítačovým sítím.
Bohužel, black hat hackeři mohou tuto schopnost zneužít pro škodlivé účely prostřednictvím trvalého útoku. Zde je návod, jak odstranit WMI persistenci ze systému Windows a udržet se v bezpečí.
Co je to vytrvalost WMI a proč je to nebezpečné?
Perzistence WMI odkazuje na útočníka, který instaluje skript, konkrétně posluchač událostí, který se vždy spustí, když dojde k události WMI. Například k tomu dojde, když se systém zavede nebo správce systému něco provede na počítači, jako je otevření složky nebo použití programu.
Perzistentní útoky jsou nebezpečné, protože jsou kradmé. Jak je vysvětleno na Microsoft skriptování
útočník vytvoří trvalé předplatné událostí WMI, které spustí datovou část, která funguje jako systémový proces, a vyčistí protokoly jeho provádění; technický ekvivalent rafinovaného dodgera. S tímto vektorem útoku se útočník může vyhnout odhalení prostřednictvím auditování příkazového řádku.Jak zabránit a odstranit perzistenci WMI
Odběry událostí WMI jsou chytře napsány, aby se zabránilo detekci. Nejlepším způsobem, jak se vyhnout trvalým útokům, je zakázat službu WMI. Toto by nemělo ovlivnit vaši celkovou uživatelskou zkušenost, pokud nejste zkušený uživatel.
Další nejlepší možností je zablokovat porty protokolu WMI tak, že nakonfigurujete DCOM tak, aby používal jeden statický port, a tento port zablokujete. Můžete se podívat na našeho průvodce na jak zavřít zranitelné porty další pokyny, jak to provést.
Toto opatření umožňuje službě WMI spouštět místně a zároveň blokovat vzdálený přístup. To je dobrý nápad, zejména proto vzdálený přístup k počítači s sebou nese i svá rizika.
Nakonec můžete nakonfigurovat WMI tak, aby vás skenovalo a upozorňovalo na hrozby, jak ukázal Chad Tilbury v této prezentaci:
Síla, která by neměla být ve špatných rukou
WMI je výkonný správce systému, který se ve špatných rukou stává nebezpečným nástrojem. Ještě horší je, že k provedení trvalého útoku nejsou potřeba technické znalosti. Pokyny pro vytváření a spouštění WMI persistentních útoků jsou volně dostupné na internetu.
Takže kdokoli s těmito znalostmi a krátkým přístupem k vaší síti vás může na dálku špehovat nebo krást data se sotva digitální stopou. Dobrou zprávou však je, že v technologii a kybernetické bezpečnosti neexistují žádná absolutní pravidla. Stále je možné zabránit a odstranit persistenci WMI dříve, než útočník způsobí velké škody.
