Microsoft hat Windows Management Instrumentation (WMI) entwickelt, um zu verwalten, wie Windows-Computer Ressourcen in der Betriebsumgebung zuweisen. WMI leistet noch etwas anderes Wichtiges: Es erleichtert den lokalen und Remote-Zugriff auf Computernetzwerke.
Leider können Black-Hat-Hacker diese Funktion durch einen anhaltenden Angriff für böswillige Zwecke missbrauchen. Hier erfahren Sie, wie Sie WMI Persistence-Malware von Windows entfernen und sich selbst schützen.
Was ist WMI-Persistenz und warum ist sie gefährlich?
WMI-Persistenz bezieht sich auf die Installation eines Skripts durch einen Angreifer, insbesondere eines Ereignishandlers, der immer dann ausgelöst wird, wenn ein WMI- Ereignis auftritt. Dies geschieht beispielsweise, wenn das System startet oder der Systemadministrator etwas auf dem PC ausführt, beispielsweise einen Ordner öffnet oder ein Programm verwendet.
Angriffe sind gefährlich, weil sie heimlich erfolgen. Wie bei Microsoft Scripting erläutert, erstellt ein Angreifer ein permanentes WMI-Ereignisabonnement, um eine Nutzlast auszuführen, die als Systemprozess fungiert und deren Ausführungsprotokoll bereinigt. Mit diesem Angriffsvektor kann ein Angreifer einer Entdeckung durch Befehlszeileninspektion entgehen.
So verhindern und entfernen Sie WMI-Persistenz
WMI-Ereignisabonnements sind so konzipiert, dass sie nicht entdeckt werden. Der beste Weg, diese Angriffe zu vermeiden, besteht darin, den WMI-Dienst zu deaktivieren. Dadurch wird Ihr gesamtes Benutzererlebnis nicht beeinträchtigt, es sei denn, Sie sind ein fortgeschrittener Benutzer.
Die nächstbeste Option besteht darin, WMI-Protokollports zu blockieren, indem Sie DCOM so konfigurieren, dass es einen einzelnen statischen Port verwendet und diesen Port blockiert. Weitere Anweisungen hierzu finden Sie in der Anleitung von Quantrimang.com zum Schließen anfälliger Ports .
Durch diese Maßnahme kann der WMI-Dienst lokal ausgeführt werden, während der Fernzugriff blockiert wird. Dies ist eine gute Idee, insbesondere da der Fernzugriff auf einen Computer mit Risiken verbunden ist.
Schließlich können Sie WMI so konfigurieren, dass es scannt und Sie vor Bedrohungen warnt, wie Chad Tilbury in dieser Präsentation demonstriert:
Die Macht sollte nicht in die falschen Hände geraten
WMI ist ein leistungsstarker Systemmanager und kann in den falschen Händen zu einem gefährlichen Werkzeug werden. Schlimmer noch: Um diesen Angriff durchzuführen, sind keine großen technischen Kenntnisse erforderlich. Anweisungen zum Erstellen und Starten von WMI-Persistenzangriffen sind im Internet frei verfügbar.
Daher kann jeder Bösewicht Sie aus der Ferne ausspionieren oder Daten stehlen, ohne Spuren zu hinterlassen. Die gute Nachricht ist jedoch, dass es bei Technologie und Cybersicherheit keine Absolutheiten gibt. Dennoch ist es möglich, die Existenz von WMI zu verhindern und zu beseitigen, bevor der Angreifer größeren Schaden anrichtet.
Sehen Sie in der rechten Ecke des Bildschirms eine Windows 10-Aktivierungsbenachrichtigung? In diesem Artikel erfahren Sie, wie Sie den Copyright-Anfragehinweis unter Windows 10 löschen.
Kürzlich hat Microsoft das neueste kumulative Update für Windows 10-PC-Benutzer namens Build 14393.222 veröffentlicht. Dieses für Windows 10 veröffentlichte Update behebt hauptsächlich Fehler basierend auf Benutzerfeedback und verbessert die Leistung des Betriebssystems.
Gibt es Computer in Ihrem lokalen Netzwerk, die externen Zugriff benötigen? Die Verwendung eines Bastion-Hosts als Gatekeeper für Ihr Netzwerk kann eine gute Lösung sein.
Wenn Sie lieber eine alte klassische Tastatur wie das IBM Model M verwenden möchten, die keine physische Windows-Taste enthält, können Sie ganz einfach weitere hinzufügen, indem Sie sich eine Taste ausleihen, die Sie nicht oft verwenden. .
Manchmal müssen Sie möglicherweise alle alten Ereignisprotokolle auf einmal löschen. In dieser Anleitung zeigt Ihnen Quantrimang.com drei Möglichkeiten zum schnellen Löschen aller Ereignisprotokolle in der Windows 10-Ereignisanzeige.
In vielen früheren Artikeln haben wir erwähnt, dass es äußerst wichtig ist, online anonym zu bleiben. Jedes Jahr werden private Informationen preisgegeben, wodurch Online-Sicherheit immer wichtiger wird. Das ist auch der Grund, warum wir virtuelle IP-Adressen verwenden sollten. Im Folgenden erfahren Sie mehr über Methoden zur Erstellung gefälschter IPs!
WindowTop ist ein Tool, das alle Anwendungsfenster und Programme, die auf Windows 10-Computern ausgeführt werden, dimmen kann. Alternativ können Sie unter Windows eine Benutzeroberfläche mit dunklem Hintergrund verwenden.
Die Sprachleiste unter Windows 8 ist eine Miniatur-Sprachsymbolleiste, die automatisch auf dem Desktop-Bildschirm angezeigt wird. Viele Leute möchten diese Sprachleiste jedoch in der Taskleiste ausblenden.
Drahtlose Konnektivität ist heutzutage eine Notwendigkeit und daher ist drahtlose Sicherheit unerlässlich, um die Sicherheit in Ihrem internen Netzwerk zu gewährleisten.
Die Maximierung der Internetgeschwindigkeit ist für die Optimierung Ihrer Netzwerkverbindung von entscheidender Bedeutung. Mit Computern, internetfähigen Fernsehern, Spielekonsolen usw. können Sie ein optimales Unterhaltungs- und Arbeitserlebnis genießen.
