Čitatelia ako vy pomáhajú podporovať MUO. Keď uskutočníte nákup pomocou odkazov na našej stránke, môžeme získať pridruženú províziu.
Spoločnosť Microsoft vytvorila Windows Management Instrumentation (WMI), aby zvládla, ako počítače so systémom Windows prideľujú zdroje v operačnom prostredí. WMI robí aj ďalšiu dôležitú vec: uľahčuje lokálny a vzdialený prístup do počítačových sietí.
Bohužiaľ, black hat hackeri môžu túto schopnosť zneužiť na škodlivé účely prostredníctvom trvalého útoku. Tu je postup, ako odstrániť WMI persistenciu zo systému Windows a udržať sa v bezpečí.
Čo je to vytrvalosť WMI a prečo je to nebezpečné?
Trvalosť WMI sa týka toho, že útočník inštaluje skript, konkrétne poslucháč udalostí, ktorý sa vždy spustí, keď nastane udalosť WMI. Napríklad sa to stane, keď sa systém zavedie alebo správca systému urobí niečo na počítači, napríklad otvorí priečinok alebo použije program.
Perzistentné útoky sú nebezpečné, pretože sú kradmé. Ako je vysvetlené na Microsoft Scriptingútočník vytvorí trvalé predplatné udalostí WMI, ktoré spustí užitočné zaťaženie, ktoré funguje ako systémový proces, a vyčistí protokoly jeho vykonávania; technický ekvivalent rafinovaného dodgera. S týmto vektorom útoku sa útočník môže vyhnúť odhaleniu prostredníctvom auditovania príkazového riadka.
Ako zabrániť a odstrániť pretrvávanie WMI
Odbery udalostí WMI sú inteligentne napísané, aby sa zabránilo ich odhaleniu. Najlepším spôsobom, ako sa vyhnúť pretrvávajúcim útokom, je vypnúť službu WMI. Toto by nemalo ovplyvniť vašu celkovú používateľskú skúsenosť, pokiaľ nie ste skúsený používateľ.
Ďalšou najlepšou možnosťou je blokovať porty protokolu WMI konfiguráciou DCOM na používanie jedného statického portu a zablokovaním tohto portu. Môžete si pozrieť nášho sprievodcu na ako zatvoriť zraniteľné porty pre ďalšie pokyny, ako to urobiť.
Toto opatrenie umožňuje službe WMI bežať lokálne a zároveň blokuje vzdialený prístup. Je to dobrý nápad, najmä preto vzdialený prístup k počítaču so sebou prináša aj určité riziká.
Nakoniec môžete nakonfigurovať WMI na skenovanie a upozorňovanie na hrozby, ako to ukázal Chad Tilbury v tejto prezentácii:
Sila, ktorá by nemala byť v nesprávnych rukách
WMI je výkonný správca systému, ktorý sa v nesprávnych rukách stáva nebezpečným nástrojom. Ešte horšie je, že na vykonanie trvalého útoku nie sú potrebné technické znalosti. Návod na vytváranie a spúšťanie WMI persistentných útokov je voľne dostupný na internete.
Takže ktokoľvek s týmito znalosťami a krátkym prístupom k vašej sieti vás môže na diaľku špehovať alebo kradnúť údaje s sotva digitálnou stopou. Dobrou správou však je, že v technológii a kybernetickej bezpečnosti neexistujú absolútne žiadne. Stále je možné zabrániť a odstrániť pretrvávanie WMI skôr, ako útočník spôsobí veľké škody.
