Pembaca seperti Anda membantu mendukung MUO.Saat Anda melakukan pembelian menggunakan tautan di situs kami, kami dapat memperoleh komisi afiliasi.
Microsoft membuat Windows Management Instrumentation (WMI) untuk menangani bagaimana komputer Windows mengalokasikan sumber daya di lingkungan operasional.WMI juga melakukan hal penting lainnya: memfasilitasi akses lokal dan jarak jauh ke jaringan komputer.
Sayangnya, peretas topi hitam dapat membajak kemampuan ini untuk tujuan jahat melalui serangan persisten.Dengan demikian, inilah cara menghapus persistensi WMI dari Windows dan menjaga diri Anda tetap aman.
Daftar isi
Apa Itu Kegigihan WMI, dan Mengapa Berbahaya?
Kegigihan WMI mengacu pada penyerang yang memasang skrip, khususnya pendengar acara, yang selalu dipicu saat peristiwa WMI terjadi.Misalnya, ini akan terjadi ketika sistem boot atau administrator sistem melakukan sesuatu pada PC, seperti membuka folder atau menggunakan program.
Serangan persisten berbahaya karena tersembunyi.Seperti yang dijelaskan pada Microsoft Scripting, penyerang membuat langganan acara WMI permanen yang mengeksekusi muatan yang berfungsi sebagai proses sistem dan membersihkan log dari eksekusinya;setara teknis dari pengelak berseni.Dengan vektor serangan ini, penyerang dapat menghindari ditemukan melalui audit baris perintah.
Cara Mencegah dan Menghapus Persistensi WMI
Langganan acara WMI ditulis dengan cerdik untuk menghindari deteksi.Cara terbaik untuk menghindari serangan persistensi adalah dengan menonaktifkan layanan WMI.Melakukan ini seharusnya tidak memengaruhi pengalaman pengguna Anda secara keseluruhan kecuali Anda adalah pengguna yang kuat.
Opsi terbaik berikutnya adalah memblokir port protokol WMI dengan mengonfigurasi DCOM untuk menggunakan satu port statis dan memblokir port tersebut.Anda dapat melihat panduan kami tentang cara menutup port yang rentan untuk instruksi lebih lanjut tentang cara melakukan ini.
Tindakan ini memungkinkan layanan WMI berjalan secara lokal sambil memblokir akses jarak jauh.Ini adalah ide yang bagus, terutama karena akses komputer jarak jauh memiliki risikonya sendiri.
Akhirnya, Anda dapat mengonfigurasi WMI untuk memindai dan memperingatkan Anda tentang ancaman, seperti yang ditunjukkan Chad Tilbury dalam presentasi ini:
Kekuatan yang Tidak Harus Di Tangan Yang Salah
WMI adalah manajer sistem yang kuat yang menjadi alat berbahaya di tangan yang salah.Lebih buruk lagi, pengetahuan teknis tidak diperlukan untuk melakukan serangan kegigihan.Petunjuk untuk membuat dan meluncurkan serangan persistensi WMI tersedia gratis di internet.
Jadi, siapa pun yang memiliki pengetahuan ini dan akses singkat ke jaringan Anda dapat memata-matai Anda dari jarak jauh atau mencuri data tanpa jejak digital.Namun, kabar baiknya adalah tidak ada yang mutlak dalam teknologi dan keamanan siber.Masih mungkin untuk mencegah dan menghapus kegigihan WMI sebelum penyerang melakukan kerusakan besar.