Come trovare e rimuovere il malware WMI Persistence dai PC Windows

Microsoft ha creato Strumentazione gestione Windows (WMI) per gestire il modo in cui i computer Windows allocano le risorse nell'ambiente operativo. WMI fa anche qualcos'altro di importante: facilita l'accesso locale e remoto alle reti di computer.

Sfortunatamente, gli hacker black hat possono sfruttare questa funzionalità per scopi dannosi attraverso un attacco persistente. Quindi, ecco come rimuovere il malware WMI Persistence da Windows e mantenerti al sicuro.

Cos'è la persistenza WMI e perché è pericolosa?

La persistenza WMI si riferisce a un utente malintenzionato che installa uno script, in particolare un gestore eventi, che viene sempre attivato quando si verifica un evento WMI . Ciò accadrà, ad esempio, all'avvio del sistema o all'esecuzione di un'azione dell'amministratore di sistema sul PC, come l'apertura di una cartella o l'utilizzo di un programma.

Gli attacchi sono pericolosi perché avvengono di nascosto. Come spiegato in Microsoft Scripting, un utente malintenzionato crea una sottoscrizione permanente di eventi WMI per eseguire un payload che funge da processo di sistema e pulisce il relativo registro di esecuzione. Con questo vettore di attacco, un utente malintenzionato può evitare il rilevamento tramite l'ispezione della riga di comando.

Come prevenire e rimuovere la persistenza WMI

Le sottoscrizioni agli eventi WMI sono realizzate in modo intelligente per evitare il rilevamento. Il modo migliore per evitare questi attacchi è disabilitare il servizio WMI. Ciò non influirà sulla tua esperienza utente complessiva a meno che tu non sia un utente avanzato.

L'opzione migliore successiva consiste nel bloccare le porte del protocollo WMI configurando DCOM per utilizzare una singola porta statica e bloccare tale porta. Puoi consultare la guida di Quantrimang.com su come chiudere le porte vulnerabili per ulteriori istruzioni su come eseguire questa operazione.

Questa misura consente l'esecuzione locale del servizio WMI bloccando l'accesso remoto. Questa è una buona idea, soprattutto perché l'accesso a un computer da remoto comporta i suoi rischi.

Infine, puoi configurare WMI per eseguire la scansione e avvisarti delle minacce, come dimostra Chad Tilbury in questa presentazione:

Il potere non dovrebbe essere nelle mani sbagliate

WMI è un potente gestore di sistema e ha il potenziale per diventare uno strumento pericoloso nelle mani sbagliate. Quel che è peggio, per portare a termine questo attacco non sono necessarie conoscenze tecniche molto avanzate. Le istruzioni su come creare e lanciare attacchi WMI Persistence sono disponibili gratuitamente su Internet.

Pertanto, qualsiasi malintenzionato può spiarti da remoto o rubare dati senza lasciare traccia. Tuttavia, la buona notizia è che non esistono valori assoluti nella tecnologia e nella sicurezza informatica. È ancora possibile prevenire ed eliminare l'esistenza di WMI prima che l'aggressore causi danni maggiori.