Microsoft hat Windows Management Instrumentation (WMI) entwickelt, um zu verwalten, wie Windows-Computer Ressourcen in der Betriebsumgebung zuweisen. WMI leistet noch etwas anderes Wichtiges: Es erleichtert den lokalen und Remote-Zugriff auf Computernetzwerke.
Leider können Black-Hat-Hacker diese Funktion durch einen anhaltenden Angriff für böswillige Zwecke missbrauchen. Hier erfahren Sie, wie Sie WMI Persistence-Malware von Windows entfernen und sich selbst schützen.
Was ist WMI-Persistenz und warum ist sie gefährlich?
WMI-Persistenz bezieht sich auf die Installation eines Skripts durch einen Angreifer, insbesondere eines Ereignishandlers, der immer dann ausgelöst wird, wenn ein WMI- Ereignis auftritt. Dies geschieht beispielsweise, wenn das System startet oder der Systemadministrator etwas auf dem PC ausführt, beispielsweise einen Ordner öffnet oder ein Programm verwendet.
Angriffe sind gefährlich, weil sie heimlich erfolgen. Wie bei Microsoft Scripting erläutert, erstellt ein Angreifer ein permanentes WMI-Ereignisabonnement, um eine Nutzlast auszuführen, die als Systemprozess fungiert und deren Ausführungsprotokoll bereinigt. Mit diesem Angriffsvektor kann ein Angreifer einer Entdeckung durch Befehlszeileninspektion entgehen.
So verhindern und entfernen Sie WMI-Persistenz
WMI-Ereignisabonnements sind so konzipiert, dass sie nicht entdeckt werden. Der beste Weg, diese Angriffe zu vermeiden, besteht darin, den WMI-Dienst zu deaktivieren. Dadurch wird Ihr gesamtes Benutzererlebnis nicht beeinträchtigt, es sei denn, Sie sind ein fortgeschrittener Benutzer.
Die nächstbeste Option besteht darin, WMI-Protokollports zu blockieren, indem Sie DCOM so konfigurieren, dass es einen einzelnen statischen Port verwendet und diesen Port blockiert. Weitere Anweisungen hierzu finden Sie in der Anleitung von Quantrimang.com zum Schließen anfälliger Ports .
Durch diese Maßnahme kann der WMI-Dienst lokal ausgeführt werden, während der Fernzugriff blockiert wird. Dies ist eine gute Idee, insbesondere da der Fernzugriff auf einen Computer mit Risiken verbunden ist.
Schließlich können Sie WMI so konfigurieren, dass es scannt und Sie vor Bedrohungen warnt, wie Chad Tilbury in dieser Präsentation demonstriert:
Die Macht sollte nicht in die falschen Hände geraten
WMI ist ein leistungsstarker Systemmanager und kann in den falschen Händen zu einem gefährlichen Werkzeug werden. Schlimmer noch: Um diesen Angriff durchzuführen, sind keine großen technischen Kenntnisse erforderlich. Anweisungen zum Erstellen und Starten von WMI-Persistenzangriffen sind im Internet frei verfügbar.
Daher kann jeder Bösewicht Sie aus der Ferne ausspionieren oder Daten stehlen, ohne Spuren zu hinterlassen. Die gute Nachricht ist jedoch, dass es bei Technologie und Cybersicherheit keine Absolutheiten gibt. Dennoch ist es möglich, die Existenz von WMI zu verhindern und zu beseitigen, bevor der Angreifer größeren Schaden anrichtet.
ActivateWindowsSearch ist eine geplante Aufgabe der Windows-Suchfunktion, die unter Windows 7, Windows 8.1 und Windows 10 verfügbar ist. Die Aufgabe ActivateWindowsSearch ist ein wesentlicher Bestandteil der Suchfunktion.
Microsoft hat dem Windows 10 Update im April 2018 eine Funktion namens Ultimate Performance hinzugefügt. Es ist verständlich, dass es sich dabei um eine Funktion handelt, die dem System hilft, in den Hochleistungs-Arbeitsmodus zu wechseln.
Wenn Ihnen das neue Symbol für den Datei-Explorer wie Windows 10 Sun Valley gefällt, folgen Sie dem folgenden Artikel, um die völlig neue Benutzeroberfläche für den Datei-Explorer zu ändern.
Die Überprüfung, ob die Webcam auf einem Windows-Computer ordnungsgemäß funktioniert, ist schnell und einfach. Im Folgenden finden Sie die Schritte, die Ihnen bei der Überprüfung der Kamera helfen.
Möglicherweise haben Sie hochwertige Kopfhörer angeschlossen, aber aus irgendeinem Grund versucht der Windows-Laptop ständig, mit seinem schrecklichen eingebauten Mikrofon aufzunehmen. Im folgenden Artikel erfahren Sie, wie Sie das Windows 10-Mikrofon testen.
Wenn Sie es nicht mehr benötigen, können Sie die Option „Mit Malwarebytes scannen“ aus dem Kontextmenü mit der rechten Maustaste entfernen. Hier ist wie.
Das Border Gateway Protocol (BGP) dient zum Austausch von Routing-Informationen für das Internet und ist das zwischen ISPs (unterschiedliche ASs) verwendete Protokoll.
Wenn Sie Tipps lesen, sehen Sie, dass Leute häufig Registrierungs-Hackdateien verwenden, um Windows-Computer anzupassen und zu optimieren, und sich fragen, wie man sie erstellt. Dieser Artikel führt Sie durch die grundlegenden Schritte zum Erstellen Ihrer eigenen Registry-Hack-Datei.
Früher hat Microsoft die Registrierung automatisch gesichert, aber diese Funktion wurde in Windows 10 stillschweigend deaktiviert. In diesem Artikel führt Sie Quantrimang.com durch die Schritte zum automatischen Sichern der Registrierung in einem Ordner. RegBack (Windows\System32\config \RegBack) unter Windows 10.
Bei der Nutzung eines Computers ist es völlig normal, Fehler zu machen.
