Cách tìm và loại bỏ phần mềm độc hại WMI Persistence khỏi PC chạy Windows

Phần mềm độc hại liên tục WMI có thể ẩn trên máy tính của bạn trong tầm nhìn rõ ràng. May mắn thay, thật dễ dàng để loại bỏ nó khỏi PC Windows.


Microsoft đã tạo Công cụ quản lý Windows (WMI) để xử lý cách máy tính Windows phân bổ tài nguyên trong môi trường hoạt động. WMI còn thực hiện một điều quan trọng khác: nó tạo điều kiện cho việc truy cập cục bộ và từ xa vào các mạng máy tính.


Thật không may, tin tặc mũ đen có thể chiếm đoạt khả năng này cho các mục đích xấu thông qua một cuộc tấn công liên tục. Do đó, đây là cách loại bỏ tính liên tục của WMI khỏi Windows và giữ an toàn cho bản thân.


Sự bền bỉ của WMI là gì và tại sao nó lại nguy hiểm?

Sự bền bỉ của WMI đề cập đến việc kẻ tấn công cài đặt một tập lệnh, cụ thể là một trình xử lý sự kiện, luôn được kích hoạt khi một sự kiện WMI xảy ra. Ví dụ, điều này sẽ xảy ra khi hệ thống khởi động hoặc quản trị viên hệ thống thực hiện một việc gì đó trên PC, chẳng hạn như mở một thư mục hoặc sử dụng một chương trình.

Các cuộc tấn công dai dẳng rất nguy hiểm vì chúng diễn ra lén lút. Như đã giải thích trên Microsoft Scripting, kẻ tấn công tạo đăng ký sự kiện WMI vĩnh viễn để thực thi tải trọng hoạt động như một quy trình hệ thống và dọn dẹp nhật ký thực thi của nó; kỹ thuật tương đương với một chiếc máy dodger đầy nghệ thuật. Với vectơ tấn công này, kẻ tấn công có thể tránh bị phát hiện thông qua kiểm tra dòng lệnh.

Cách ngăn chặn và loại bỏ sự tồn tại của WMI

Các đăng ký sự kiện WMI được viết kịch bản khéo léo để tránh bị phát hiện. Cách tốt nhất để tránh các cuộc tấn công liên tục là vô hiệu hóa dịch vụ WMI. Làm điều này sẽ không ảnh hưởng đến trải nghiệm người dùng tổng thể của bạn trừ khi bạn là người dùng thành thạo.

Lựa chọn tốt nhất tiếp theo là chặn các cổng giao thức WMI bằng cách cấu hình DCOM để sử dụng một cổng tĩnh duy nhất và chặn cổng đó. Bạn có thể xem hướng dẫn của chúng tôi về cách đóng các cổng dễ bị tấn công để biết thêm hướng dẫn về cách thực hiện việc này.

Biện pháp này cho phép dịch vụ WMI chạy cục bộ trong khi chặn truy cập từ xa. Đây là một ý tưởng hay, đặc biệt là vì việc truy cập máy tính từ xa đi kèm với những rủi ro riêng của nó.

Cuối cùng, bạn có thể định cấu hình WMI để quét và cảnh báo bạn về các mối đe dọa, như Chad Tilbury đã trình bày trong bài thuyết trình này:

Một sức mạnh không thể có trong tay kẻ xấu

WMI là một trình quản lý hệ thống mạnh mẽ trở thành một công cụ nguy hiểm trong tay kẻ xấu. Tệ hơn nữa, kiến ​​thức kỹ thuật là không cần thiết để thực hiện một cuộc tấn công bền bỉ. Hướng dẫn tạo và khởi chạy các cuộc tấn công bền bỉ WMI có sẵn miễn phí trên internet.

Vì vậy, bất kỳ ai có kiến ​​thức này và truy cập ngắn gọn vào mạng của bạn đều có thể theo dõi bạn từ xa hoặc đánh cắp dữ liệu mà hầu như không có dấu vết kỹ thuật số. Tuy nhiên, tin tốt là không có sự tuyệt đối trong công nghệ và an ninh mạng. Vẫn có thể ngăn chặn và loại bỏ sự tồn tại của WMI trước khi kẻ tấn công gây thiệt hại lớn.

Previous Post
Next Post

post written by: