Leser wie Sie helfen, MUO zu unterstützen. Wenn Sie über Links auf unserer Website einen Kauf tätigen, erhalten wir möglicherweise eine Affiliate-Provision.
Microsoft hat Windows Management Instrumentation (WMI) entwickelt, um zu handhaben, wie Windows-Computer Ressourcen in einer Betriebsumgebung zuweisen. WMI erfüllt noch eine weitere wichtige Funktion: Es erleichtert den lokalen und Remote-Zugriff auf Computernetzwerke.
Leider können Black-Hat-Hacker diese Funktion durch einen Persistenzangriff für böswillige Zwecke missbrauchen. Daher erfahren Sie hier, wie Sie die WMI-Persistenz von Windows entfernen und sich schützen können.
Was ist WMI-Persistenz und warum ist sie gefährlich?
WMI-Persistenz bezieht sich auf einen Angreifer, der ein Skript installiert, insbesondere einen Ereignis-Listener, der immer dann ausgelöst wird, wenn ein WMI-Ereignis eintritt. Dies tritt beispielsweise auf, wenn das System hochfährt oder der Systemadministrator etwas auf dem PC tut, z. B. einen Ordner öffnet oder ein Programm verwendet.
Persistenzangriffe sind gefährlich, weil sie heimlich sind. Wie auf erklärt Microsoft-Skripterstellungerstellt der Angreifer ein permanentes WMI-Ereignisabonnement, das eine Nutzlast ausführt, die als Systemprozess fungiert, und Protokolle seiner Ausführung bereinigt; das technische Äquivalent eines raffinierten Dodgers. Mit diesem Angriffsvektor kann der Angreifer vermeiden, durch Auditing über die Befehlszeile entdeckt zu werden.
So verhindern und entfernen Sie die WMI-Persistenz
WMI-Ereignisabonnements sind geschickt skriptgesteuert, um eine Erkennung zu vermeiden. Die beste Möglichkeit, Persistenzangriffe zu vermeiden, besteht darin, den WMI-Dienst zu deaktivieren. Dies sollte Ihre allgemeine Benutzererfahrung nicht beeinträchtigen, es sei denn, Sie sind ein Power-User.
Die nächstbeste Option besteht darin, die WMI-Protokollports zu blockieren, indem Sie DCOM für die Verwendung eines einzelnen statischen Ports konfigurieren und diesen Port blockieren. Sie können sich unseren Leitfaden ansehen wie man anfällige Ports schließt für weitere Anweisungen dazu.
Durch diese Maßnahme kann der WMI-Dienst lokal ausgeführt werden, während der Remotezugriff blockiert wird. Das ist eine gute Idee, vor allem weil Der Fernzugriff auf Computer ist mit eigenen Risiken verbunden.
Schließlich können Sie WMI so konfigurieren, dass es Bedrohungen scannt und Sie vor Bedrohungen warnt, wie Chad Tilbury in dieser Präsentation demonstriert:
Eine Macht, die nicht in die falschen Hände geraten sollte
WMI ist ein leistungsstarker Systemmanager, der in den falschen Händen zu einem gefährlichen Werkzeug wird. Schlimmer noch, technisches Wissen ist nicht erforderlich, um einen Persistenzangriff durchzuführen. Anweisungen zum Erstellen und Starten von WMI-Persistenzangriffen sind im Internet frei verfügbar.
Jeder mit diesem Wissen und einem kurzen Zugriff auf Ihr Netzwerk kann Sie also aus der Ferne ausspionieren oder Daten mit kaum einem digitalen Fußabdruck stehlen. Die gute Nachricht ist jedoch, dass es in Technologie und Cybersicherheit keine Absoluten gibt. Es ist immer noch möglich, die WMI-Persistenz zu verhindern und zu entfernen, bevor ein Angreifer großen Schaden anrichtet.
