Microsoft hat Windows Management Instrumentation (WMI) entwickelt, um zu verwalten, wie Windows-Computer Ressourcen in der Betriebsumgebung zuweisen. WMI leistet noch etwas anderes Wichtiges: Es erleichtert den lokalen und Remote-Zugriff auf Computernetzwerke.
Leider können Black-Hat-Hacker diese Funktion durch einen anhaltenden Angriff für böswillige Zwecke missbrauchen. Hier erfahren Sie, wie Sie WMI Persistence-Malware von Windows entfernen und sich selbst schützen.
Was ist WMI-Persistenz und warum ist sie gefährlich?
WMI-Persistenz bezieht sich auf die Installation eines Skripts durch einen Angreifer, insbesondere eines Ereignishandlers, der immer dann ausgelöst wird, wenn ein WMI- Ereignis auftritt. Dies geschieht beispielsweise, wenn das System startet oder der Systemadministrator etwas auf dem PC ausführt, beispielsweise einen Ordner öffnet oder ein Programm verwendet.
Angriffe sind gefährlich, weil sie heimlich erfolgen. Wie bei Microsoft Scripting erläutert, erstellt ein Angreifer ein permanentes WMI-Ereignisabonnement, um eine Nutzlast auszuführen, die als Systemprozess fungiert und deren Ausführungsprotokoll bereinigt. Mit diesem Angriffsvektor kann ein Angreifer einer Entdeckung durch Befehlszeileninspektion entgehen.
So verhindern und entfernen Sie WMI-Persistenz
WMI-Ereignisabonnements sind so konzipiert, dass sie nicht entdeckt werden. Der beste Weg, diese Angriffe zu vermeiden, besteht darin, den WMI-Dienst zu deaktivieren. Dadurch wird Ihr gesamtes Benutzererlebnis nicht beeinträchtigt, es sei denn, Sie sind ein fortgeschrittener Benutzer.
Die nächstbeste Option besteht darin, WMI-Protokollports zu blockieren, indem Sie DCOM so konfigurieren, dass es einen einzelnen statischen Port verwendet und diesen Port blockiert. Weitere Anweisungen hierzu finden Sie in der Anleitung von Quantrimang.com zum Schließen anfälliger Ports .
Durch diese Maßnahme kann der WMI-Dienst lokal ausgeführt werden, während der Fernzugriff blockiert wird. Dies ist eine gute Idee, insbesondere da der Fernzugriff auf einen Computer mit Risiken verbunden ist.
Schließlich können Sie WMI so konfigurieren, dass es scannt und Sie vor Bedrohungen warnt, wie Chad Tilbury in dieser Präsentation demonstriert:
Die Macht sollte nicht in die falschen Hände geraten
WMI ist ein leistungsstarker Systemmanager und kann in den falschen Händen zu einem gefährlichen Werkzeug werden. Schlimmer noch: Um diesen Angriff durchzuführen, sind keine großen technischen Kenntnisse erforderlich. Anweisungen zum Erstellen und Starten von WMI-Persistenzangriffen sind im Internet frei verfügbar.
Daher kann jeder Bösewicht Sie aus der Ferne ausspionieren oder Daten stehlen, ohne Spuren zu hinterlassen. Die gute Nachricht ist jedoch, dass es bei Technologie und Cybersicherheit keine Absolutheiten gibt. Dennoch ist es möglich, die Existenz von WMI zu verhindern und zu beseitigen, bevor der Angreifer größeren Schaden anrichtet.
Cache sind Daten in früheren Sitzungen von Anwendungen und Programmen, die das Betriebssystem speichert, um das Herunterladen von Daten in späteren Sitzungen schneller zu erleichtern. Nach einer langen Zeit ohne Reinigung wird der Cache jedoch Ihre Festplatte füllen und den gesamten Festplattenspeicher beanspruchen.
In diesem Artikel zeigt Ihnen Quantrimang, wie Sie feststellen können, welche Dateitypen viel Speicherplatz auf Ihrem Windows 10-Computer beanspruchen.
Yahoo Search ist eine legitime Suchmaschine. Es wird jedoch auch als Browser-Hijacker angesehen, der Benutzer zur Suche umleitet. Yahoo. com. Dieser Browser-Hijacker kapert die Startseite und die Suchmaschineneinstellungen des Webbrowsers, um die Startseite und die Suchmaschine der Yahoo-Suche anstelle der zuvor eingerichteten Startseite und Suchmaschine anzuzeigen.
Task beenden ist eine Funktion im Microsoft Windows Task-Manager. Es befindet sich auf der Registerkarte „Anwendungen“ und ermöglicht Benutzern das Schließen aller reagierenden oder nicht reagierenden Programme.
Die macOS Big Sur-Version wurde kürzlich auf der WWDC-Konferenz offiziell angekündigt. Und mit dem Rainmeter-Tool können Sie die Benutzeroberfläche von macOS Big Sur vollständig auf Windows 10 übertragen.
RDStealer ist Malware, die versucht, Anmeldeinformationen und Daten zu stehlen, indem sie einen RDP-Server infiziert und seine Remote-Verbindungen überwacht.
Vielleicht ist es an der Zeit, sich vom Datei-Explorer zu verabschieden und Dateiverwaltungssoftware von Drittanbietern zu verwenden? Hier sind die 7 besten Windows-Datei-Explorer-Alternativen.
LoRaWAN oder Long Range Wireless Area Network ist nützlich für die Kommunikation zwischen Geräten mit geringem Stromverbrauch über große Entfernungen.
Durch Navigieren zu „Erweiterte Startoptionen“ können Sie Windows 10 zurücksetzen, Windows 10 wiederherstellen, Windows 10 aus einer zuvor erstellten Image-Datei wiederherstellen, Startfehler beheben, die Eingabeaufforderung öffnen, um Optionen auszuführen, andere auswählen, UEFI-Einstellungen öffnen und Starteinstellungen ändern. ..
Jedes Mal, wenn Sie sich für einen neuen Dienst anmelden, können Sie einen Benutzernamen und ein Passwort wählen oder sich einfach mit Facebook oder Twitter anmelden. Aber solltest du es tun?
