Такие читатели, как вы, помогают поддерживать MUO. Когда вы совершаете покупку по ссылкам на нашем сайте, мы можем получать партнерскую комиссию.
Microsoft создала инструментарий управления Windows (WMI) для управления тем, как компьютеры Windows распределяют ресурсы в операционной среде. WMI также делает еще одну важную вещь: облегчает локальный и удаленный доступ к компьютерным сетям.
К сожалению, черные хакеры могут захватить эту возможность в злонамеренных целях с помощью персистентной атаки. Таким образом, вот как удалить постоянство WMI из Windows и обезопасить себя.
Что такое сохраняемость WMI и почему она опасна?
Постоянство WMI означает, что злоумышленник устанавливает сценарий, в частности прослушиватель событий, который всегда срабатывает при возникновении события WMI. Например, это произойдет, когда система загружается или системный администратор делает что-то на ПК, например, открывает папку или использует программу.
Настойчивые атаки опасны, потому что они незаметны. Как объяснено на
Сценарии Майкрософт, злоумышленник создает постоянную подписку на события WMI, которая выполняет полезную нагрузку, работающую как системный процесс, и очищает журналы ее выполнения; технический эквивалент искусного уклонения. При таком векторе атаки злоумышленник может избежать обнаружения с помощью аудита из командной строки.Как предотвратить и удалить персистентность WMI
Подписки на события WMI продуманы так, чтобы избежать обнаружения. Лучший способ избежать персистентных атак — отключить службу WMI. Это не должно повлиять на ваш общий пользовательский опыт, если вы не являетесь опытным пользователем.
Следующий лучший вариант — заблокировать порты протокола WMI, настроив DCOM на использование одного статического порта и заблокировав этот порт. Вы можете ознакомиться с нашим руководством по как закрыть уязвимые порты для получения дополнительных инструкций о том, как это сделать.
Эта мера позволяет службе WMI работать локально, блокируя удаленный доступ. Это хорошая идея, тем более что удаленный доступ к компьютеру имеет свою долю рисков.
Наконец, вы можете настроить WMI для сканирования и оповещения об угрозах, как продемонстрировал Чад Тилбери в этой презентации:
Сила, которая не должна быть в чужих руках
WMI — это мощный системный менеджер, который становится опасным инструментом в чужих руках. Что еще хуже, для проведения персистентной атаки не требуются технические знания. Инструкции по созданию и запуску персистентных атак WMI находятся в свободном доступе в Интернете.
Таким образом, любой, кто обладает этими знаниями и кратким доступом к вашей сети, может удаленно шпионить за вами или красть данные, практически не оставляя цифрового следа. Однако хорошая новость заключается в том, что в технологиях и кибербезопасности не существует абсолюта. По-прежнему можно предотвратить и удалить персистентность WMI до того, как злоумышленник нанесет серьезный ущерб.
