Microsoft ha creato Strumentazione gestione Windows (WMI) per gestire il modo in cui i computer Windows allocano le risorse nell'ambiente operativo. WMI fa anche qualcos'altro di importante: facilita l'accesso locale e remoto alle reti di computer.
Sfortunatamente, gli hacker black hat possono sfruttare questa funzionalità per scopi dannosi attraverso un attacco persistente. Quindi, ecco come rimuovere il malware WMI Persistence da Windows e mantenerti al sicuro.
Cos'è la persistenza WMI e perché è pericolosa?
La persistenza WMI si riferisce a un utente malintenzionato che installa uno script, in particolare un gestore eventi, che viene sempre attivato quando si verifica un evento WMI . Ciò accadrà, ad esempio, all'avvio del sistema o all'esecuzione di un'azione dell'amministratore di sistema sul PC, come l'apertura di una cartella o l'utilizzo di un programma.
Gli attacchi sono pericolosi perché avvengono di nascosto. Come spiegato in Microsoft Scripting, un utente malintenzionato crea una sottoscrizione permanente di eventi WMI per eseguire un payload che funge da processo di sistema e pulisce il relativo registro di esecuzione. Con questo vettore di attacco, un utente malintenzionato può evitare il rilevamento tramite l'ispezione della riga di comando.
Come prevenire e rimuovere la persistenza WMI
Le sottoscrizioni agli eventi WMI sono realizzate in modo intelligente per evitare il rilevamento. Il modo migliore per evitare questi attacchi è disabilitare il servizio WMI. Ciò non influirà sulla tua esperienza utente complessiva a meno che tu non sia un utente avanzato.
L'opzione migliore successiva consiste nel bloccare le porte del protocollo WMI configurando DCOM per utilizzare una singola porta statica e bloccare tale porta. Puoi consultare la guida di Quantrimang.com su come chiudere le porte vulnerabili per ulteriori istruzioni su come eseguire questa operazione.
Questa misura consente l'esecuzione locale del servizio WMI bloccando l'accesso remoto. Questa è una buona idea, soprattutto perché l'accesso a un computer da remoto comporta i suoi rischi.
Infine, puoi configurare WMI per eseguire la scansione e avvisarti delle minacce, come dimostra Chad Tilbury in questa presentazione:
Il potere non dovrebbe essere nelle mani sbagliate
WMI è un potente gestore di sistema e ha il potenziale per diventare uno strumento pericoloso nelle mani sbagliate. Quel che è peggio, per portare a termine questo attacco non sono necessarie conoscenze tecniche molto avanzate. Le istruzioni su come creare e lanciare attacchi WMI Persistence sono disponibili gratuitamente su Internet.
Pertanto, qualsiasi malintenzionato può spiarti da remoto o rubare dati senza lasciare traccia. Tuttavia, la buona notizia è che non esistono valori assoluti nella tecnologia e nella sicurezza informatica. È ancora possibile prevenire ed eliminare l'esistenza di WMI prima che l'aggressore causi danni maggiori.
La cache è costituita dai dati delle sessioni precedenti di applicazioni e programmi che il sistema operativo salva per consentire di scaricare più rapidamente i dati nelle sessioni successive. Tuttavia, dopo un lungo periodo senza pulizia, la cache riempirà il disco rigido e occuperà tutto lo spazio sul disco rigido.
In questo articolo, Quantrimang ti guiderà come vedere quali tipi di file occupano molto spazio di archiviazione sul tuo computer Windows 10.
Yahoo Search è un motore di ricerca legittimo. Tuttavia, è anche considerato un browser hijacker, che reindirizza gli utenti alla ricerca. yahoo. com. Questo browser hijacker prenderà il controllo della home page del browser Web e delle impostazioni del motore di ricerca per visualizzare la home page e il motore di ricerca di Yahoo Search invece della home page e del motore di ricerca precedentemente impostati.
Termina operazione è una funzionalità di Task Manager di Microsoft Windows. Si trova nella scheda Applicazioni e consente agli utenti di chiudere qualsiasi programma che risponde o non risponde.
Come molte altre piattaforme, Windows dispone anche di un gestore di appunti specializzato chiamato "Cronologia degli appunti".
La versione macOS Big Sur è stata annunciata ufficialmente alla recente conferenza WWDC. E puoi portare completamente l'interfaccia di macOS Big Sur su Windows 10 con lo strumento Rainmeter.
RDStealer è un malware che tenta di rubare credenziali e dati infettando un server RDP e monitorandone le connessioni remote.
Forse è ora di dire addio a Esplora file e utilizzare software di gestione file di terze parti? Ecco le 7 migliori alternative a Esplora file di Windows.
LoRaWAN o Long Range Wireless Area Network è utile nella comunicazione tra dispositivi a basso consumo su lunghe distanze.
Navigando verso Opzioni di avvio avanzate, puoi reimpostare Windows 10, ripristinare Windows 10, ripristinare Windows 10 da un file immagine creato in precedenza, correggere errori di avvio, aprire il prompt dei comandi per eseguire opzioni, scegliere diverse, aprire le impostazioni UEFI, modificare le impostazioni di avvio.. ..
