Microsoft ha creato Strumentazione gestione Windows (WMI) per gestire il modo in cui i computer Windows allocano le risorse nell'ambiente operativo. WMI fa anche qualcos'altro di importante: facilita l'accesso locale e remoto alle reti di computer.
Sfortunatamente, gli hacker black hat possono sfruttare questa funzionalità per scopi dannosi attraverso un attacco persistente. Quindi, ecco come rimuovere il malware WMI Persistence da Windows e mantenerti al sicuro.
Cos'è la persistenza WMI e perché è pericolosa?
La persistenza WMI si riferisce a un utente malintenzionato che installa uno script, in particolare un gestore eventi, che viene sempre attivato quando si verifica un evento WMI . Ciò accadrà, ad esempio, all'avvio del sistema o all'esecuzione di un'azione dell'amministratore di sistema sul PC, come l'apertura di una cartella o l'utilizzo di un programma.
Gli attacchi sono pericolosi perché avvengono di nascosto. Come spiegato in Microsoft Scripting, un utente malintenzionato crea una sottoscrizione permanente di eventi WMI per eseguire un payload che funge da processo di sistema e pulisce il relativo registro di esecuzione. Con questo vettore di attacco, un utente malintenzionato può evitare il rilevamento tramite l'ispezione della riga di comando.
Come prevenire e rimuovere la persistenza WMI
Le sottoscrizioni agli eventi WMI sono realizzate in modo intelligente per evitare il rilevamento. Il modo migliore per evitare questi attacchi è disabilitare il servizio WMI. Ciò non influirà sulla tua esperienza utente complessiva a meno che tu non sia un utente avanzato.
L'opzione migliore successiva consiste nel bloccare le porte del protocollo WMI configurando DCOM per utilizzare una singola porta statica e bloccare tale porta. Puoi consultare la guida di Quantrimang.com su come chiudere le porte vulnerabili per ulteriori istruzioni su come eseguire questa operazione.
Questa misura consente l'esecuzione locale del servizio WMI bloccando l'accesso remoto. Questa è una buona idea, soprattutto perché l'accesso a un computer da remoto comporta i suoi rischi.
Infine, puoi configurare WMI per eseguire la scansione e avvisarti delle minacce, come dimostra Chad Tilbury in questa presentazione:
Il potere non dovrebbe essere nelle mani sbagliate
WMI è un potente gestore di sistema e ha il potenziale per diventare uno strumento pericoloso nelle mani sbagliate. Quel che è peggio, per portare a termine questo attacco non sono necessarie conoscenze tecniche molto avanzate. Le istruzioni su come creare e lanciare attacchi WMI Persistence sono disponibili gratuitamente su Internet.
Pertanto, qualsiasi malintenzionato può spiarti da remoto o rubare dati senza lasciare traccia. Tuttavia, la buona notizia è che non esistono valori assoluti nella tecnologia e nella sicurezza informatica. È ancora possibile prevenire ed eliminare l'esistenza di WMI prima che l'aggressore causi danni maggiori.
Vedi una notifica di attivazione di Windows 10 nell'angolo destro dello schermo? Questo articolo ti guiderà come eliminare l'avviso di richiesta di copyright su Windows 10.
Recentemente Microsoft ha rilasciato l'ultimo aggiornamento cumulativo per gli utenti di PC Windows 10 chiamato Build 14393.222. Questo aggiornamento rilasciato per Windows 10 corregge principalmente i bug in base al feedback degli utenti e migliora l'esperienza delle prestazioni del sistema operativo.
Hai computer sulla tua rete locale che necessitano di accesso esterno? Utilizzare un bastion host come gatekeeper per la tua rete può essere una buona soluzione.
Se preferisci utilizzare una vecchia tastiera classica, come l'IBM Model M, che non include un tasto Windows fisico, esiste un metodo semplice per aggiungerne altro, prendendo in prestito un tasto che non usi spesso. .
A volte potrebbe essere necessario eliminare i vecchi registri eventi tutti in una volta. In questa guida, Quantrimang.com ti mostrerà 3 modi per eliminare rapidamente tutti i registri eventi nel Visualizzatore eventi di Windows 10.
In molti articoli precedenti abbiamo menzionato che rimanere anonimi online è estremamente importante. Ogni anno vengono divulgate informazioni private, rendendo la sicurezza online sempre più necessaria. Questo è anche il motivo per cui dovremmo utilizzare indirizzi IP virtuali. Di seguito impareremo i metodi per creare IP falsi!
WindowTop è uno strumento che ha la capacità di oscurare tutte le finestre delle applicazioni e i programmi in esecuzione su computer Windows 10. Oppure puoi utilizzare un'interfaccia con sfondo scuro su Windows.
La barra della lingua su Windows 8 è una barra degli strumenti della lingua in miniatura progettata per essere visualizzata automaticamente sullo schermo del desktop. Tuttavia, molte persone desiderano nascondere questa barra della lingua sulla barra delle applicazioni.
La connettività wireless è oggi una necessità e per questo motivo la sicurezza wireless è essenziale per garantire la sicurezza della rete interna.
Massimizzare la velocità di Internet è essenziale per ottimizzare la connessione di rete. Puoi vivere un'esperienza di intrattenimento e di lavoro ottimale utilizzando computer, TV predisposte per Internet, console di gioco, ecc.
