Bralci, kot ste vi, pomagajo podpirati MUO. Ko opravite nakup prek povezav na našem spletnem mestu, lahko zaslužimo partnersko provizijo.
Microsoft je ustvaril Windows Management Instrumentation (WMI) za upravljanje, kako računalniki Windows dodeljujejo vire v operativnem okolju. WMI naredi še eno pomembno stvar: omogoča lokalni in oddaljeni dostop do računalniških omrežij.
Na žalost lahko črni hekerji ugrabijo to zmožnost za zlonamerne namene z vztrajnim napadom. Tukaj je opisano, kako odstraniti obstojnost WMI iz sistema Windows in se zaščititi.
Kaj je obstojnost WMI in zakaj je nevarna?
Vztrajnost WMI se nanaša na napadalca, ki namesti skript, natančneje poslušalca dogodkov, ki se vedno sproži, ko se zgodi dogodek WMI. To se na primer zgodi, ko se sistem zažene ali sistemski skrbnik naredi nekaj v računalniku, na primer odpre mapo ali uporabi program.
Vztrajni napadi so nevarni, ker so prikriti. Kot je pojasnjeno na Microsoft Scripting, napadalec ustvari trajno naročnino na dogodek WMI, ki izvaja koristni tovor, ki deluje kot sistemski proces, in čisti dnevnike njegovega izvajanja; tehnični ekvivalent premetenega izmikavca. S tem vektorjem napada se lahko napadalec izogne temu, da bi ga odkrili z revizijo ukazne vrstice.
Kako preprečiti in odstraniti obstojnost WMI
Naročnine na dogodke WMI so premišljeno skriptirane, da se prepreči odkrivanje. Najboljši način, da se izognete napadom obstojnosti, je, da onemogočite storitev WMI. To ne bi smelo vplivati na vašo splošno uporabniško izkušnjo, razen če ste napreden uporabnik.
Naslednja najboljša možnost je, da blokirate vrata protokola WMI tako, da DCOM konfigurirate tako, da uporablja ena sama statična vrata in ta vrata blokirate. Naš vodnik si lahko ogledate na kako zapreti ranljiva vrata za več navodil, kako to storiti.
Ta ukrep omogoča lokalno izvajanje storitve WMI, hkrati pa blokira oddaljeni dostop. To je dobra ideja, še posebej zato, ker dostop do oddaljenega računalnika prinaša svoj delež tveganja.
Končno lahko konfigurirate WMI za skeniranje in opozarjanje na grožnje, kot je Chad Tilbury pokazal v tej predstavitvi:
Moč, ki ne bi smela biti v napačnih rokah
WMI je zmogljiv sistemski upravitelj, ki v napačnih rokah postane nevarno orodje. Še huje, tehnično znanje ni potrebno za izvedbo vztrajnega napada. Navodila za ustvarjanje in zagon vztrajnih napadov WMI so prosto dostopna na internetu.
Torej lahko vsakdo s tem znanjem in kratkim dostopom do vašega omrežja na daljavo vohuni za vami ali ukrade podatke s komaj digitalnim odtisom. Vendar pa je dobra novica ta, da v tehnologiji in kibernetski varnosti ni nobenih absolutov. Še vedno je mogoče preprečiti in odstraniti obstojnost WMI, preden napadalec povzroči veliko škodo.
