Microsoft hat Windows Management Instrumentation (WMI) entwickelt, um zu verwalten, wie Windows-Computer Ressourcen in der Betriebsumgebung zuweisen. WMI leistet noch etwas anderes Wichtiges: Es erleichtert den lokalen und Remote-Zugriff auf Computernetzwerke.
Leider können Black-Hat-Hacker diese Funktion durch einen anhaltenden Angriff für böswillige Zwecke missbrauchen. Hier erfahren Sie, wie Sie WMI Persistence-Malware von Windows entfernen und sich selbst schützen.
Was ist WMI-Persistenz und warum ist sie gefährlich?
WMI-Persistenz bezieht sich auf die Installation eines Skripts durch einen Angreifer, insbesondere eines Ereignishandlers, der immer dann ausgelöst wird, wenn ein WMI- Ereignis auftritt. Dies geschieht beispielsweise, wenn das System startet oder der Systemadministrator etwas auf dem PC ausführt, beispielsweise einen Ordner öffnet oder ein Programm verwendet.
Angriffe sind gefährlich, weil sie heimlich erfolgen. Wie bei Microsoft Scripting erläutert, erstellt ein Angreifer ein permanentes WMI-Ereignisabonnement, um eine Nutzlast auszuführen, die als Systemprozess fungiert und deren Ausführungsprotokoll bereinigt. Mit diesem Angriffsvektor kann ein Angreifer einer Entdeckung durch Befehlszeileninspektion entgehen.
So verhindern und entfernen Sie WMI-Persistenz
WMI-Ereignisabonnements sind so konzipiert, dass sie nicht entdeckt werden. Der beste Weg, diese Angriffe zu vermeiden, besteht darin, den WMI-Dienst zu deaktivieren. Dadurch wird Ihr gesamtes Benutzererlebnis nicht beeinträchtigt, es sei denn, Sie sind ein fortgeschrittener Benutzer.
Die nächstbeste Option besteht darin, WMI-Protokollports zu blockieren, indem Sie DCOM so konfigurieren, dass es einen einzelnen statischen Port verwendet und diesen Port blockiert. Weitere Anweisungen hierzu finden Sie in der Anleitung von Quantrimang.com zum Schließen anfälliger Ports .
Durch diese Maßnahme kann der WMI-Dienst lokal ausgeführt werden, während der Fernzugriff blockiert wird. Dies ist eine gute Idee, insbesondere da der Fernzugriff auf einen Computer mit Risiken verbunden ist.
Schließlich können Sie WMI so konfigurieren, dass es scannt und Sie vor Bedrohungen warnt, wie Chad Tilbury in dieser Präsentation demonstriert:
Die Macht sollte nicht in die falschen Hände geraten
WMI ist ein leistungsstarker Systemmanager und kann in den falschen Händen zu einem gefährlichen Werkzeug werden. Schlimmer noch: Um diesen Angriff durchzuführen, sind keine großen technischen Kenntnisse erforderlich. Anweisungen zum Erstellen und Starten von WMI-Persistenzangriffen sind im Internet frei verfügbar.
Daher kann jeder Bösewicht Sie aus der Ferne ausspionieren oder Daten stehlen, ohne Spuren zu hinterlassen. Die gute Nachricht ist jedoch, dass es bei Technologie und Cybersicherheit keine Absolutheiten gibt. Dennoch ist es möglich, die Existenz von WMI zu verhindern und zu beseitigen, bevor der Angreifer größeren Schaden anrichtet.
In diesem Artikel erfahren Sie, wie Sie den Internetzugriff für Benutzer oder Computer im Active Directory-Gruppenrichtlinienobjekt blockieren. Lernen Sie effektive Methoden, moderne Sicherheitsprotokolle und Best Practices kennen.
Das Formatieren eines USB-Sticks ähnelt dem Formatieren jedes anderen Laufwerks. Hier erfahren Sie, warum und wie Sie USB formatieren sollten, um optimale Ergebnisse zu erzielen.
Wenn beim Starten eines Spiels unter Windows 10 der Fehler „Game Security Violation Detected“ angezeigt wird, sind die Lösungen einfach und effektiv. Hier erfahren Sie, wie Sie dieses Problem beheben können.
Wechseln Sie mühelos zwischen Audiogeräten unter Windows 10 mit Tastenkombinationen. Erfahren Sie, wie Sie den Audio-Umschalter effizient nutzen.
Entdecken Sie 8 einfache Möglichkeiten, MSConfig in Windows 11 zu öffnen, um zahlreiche Probleme effizient zu beheben.
Freunde und Familienmitglieder zu trollen macht Spaß mit diesen harmlosen gefälschten Viren. Hier sind vier kreative Ideen, um Ihre Freunde zum Lachen zu bringen.
Entdecken Sie die Unterschiede zwischen Virtualisierung und Emulation sowie deren Vor- und Nachteile. Erfahren Sie, wie diese Technologien in modernen IT-Umgebungen eingesetzt werden.
Device Guard ist ein wichtiges Sicherheitsfeature in Windows 10, das sicherstellt, dass nur vertrauenswürdige Anwendungen ausgeführt werden. So aktivieren oder deaktivieren Sie es.
Erfahren Sie, wie Sie vDOS verwenden, um alte DOS-Software unter Windows 10 auszuführen. Dieser Emulator ist ideal für die Nutzung älterer Programme, bietet jedoch keine optimale Lösung für Spiele.
Wenn Sie Probleme mit USB-Geräten auf Ihrem Windows 11-Computer haben, sollten Sie die Funktion „USB Selective Suspend“ deaktivieren.
