당신과 같은 독자는 MUO를 지원하는 데 도움이 됩니다.당사 사이트의 링크를 사용하여 구매하면 제휴 수수료를 받을 수 있습니다.
Microsoft는 Windows 컴퓨터가 운영 환경에서 리소스를 할당하는 방법을 처리하기 위해 WMI(Windows Management Instrumentation)를 만들었습니다.WMI는 또한 컴퓨터 네트워크에 대한 로컬 및 원격 액세스를 용이하게 하는 또 다른 중요한 작업을 수행합니다.
안타깝게도 블랙햇 해커는 지속 공격을 통해 악의적인 목적으로 이 기능을 가로챌 수 있습니다.따라서 Windows에서 WMI 지속성을 제거하고 자신을 안전하게 유지하는 방법은 다음과 같습니다.
목차
WMI 지속성이란 무엇이며 왜 위험한가요?
WMI 지속성은 WMI 이벤트가 발생할 때 항상 트리거되는 스크립트, 특히 이벤트 리스너를 설치하는 공격자를 말합니다.예를 들어, 시스템이 부팅되거나 시스템 관리자가 PC에서 폴더 열기 또는 프로그램 사용과 같은 작업을 수행할 때 발생합니다.
지속성 공격은 은밀하기 때문에 위험합니다.Microsoft Scripting에서 설명한 대로 공격자는 시스템 프로세스로 작동하는 페이로드를 실행하고 실행 로그를 정리하는 영구 WMI 이벤트 구독을 만듭니다.교묘한 다저의 기술적 동등물.이 공격 벡터를 통해 공격자는 명령줄 감사를 통해 발견되는 것을 피할 수 있습니다.
WMI 지속성을 방지하고 제거하는 방법
WMI 이벤트 구독은 감지를 피하기 위해 교묘하게 스크립팅됩니다.지속성 공격을 피하는 가장 좋은 방법은 WMI 서비스를 비활성화하는 것입니다.이렇게 하면 고급 사용자가 아닌 한 전반적인 사용자 경험에 영향을 미치지 않습니다.
다음으로 가장 좋은 옵션은 단일 고정 포트를 사용하도록 DCOM을 구성하고 해당 포트를 차단하여 WMI 프로토콜 포트를 차단하는 것입니다.이 작업을 수행하는 방법에 대한 자세한 지침은 취약한 포트를 닫는 방법에 대한 가이드를 참조하세요.
이 방법을 사용하면 원격 액세스를 차단하면서 WMI 서비스를 로컬로 실행할 수 있습니다.특히 원격 컴퓨터 액세스에는 위험 부담이 따르기 때문에 이는 좋은 생각입니다.
마지막으로 Chad Tilbury가 이 프레젠테이션에서 설명한 것처럼 위협을 검색하고 경고하도록 WMI를 구성할 수 있습니다.
악의적인 손에 있어서는 안 되는 힘
WMI는 잘못된 사람의 손에 들어가면 위험한 도구가 되는 강력한 시스템 관리자입니다.설상가상으로 지속성 공격을 수행하는 데 기술 지식이 필요하지 않습니다.WMI 지속성 공격 생성 및 실행에 대한 지침은 인터넷에서 무료로 사용할 수 있습니다.
따라서 이 지식과 네트워크에 대한 짧은 액세스 권한이 있는 사람은 누구나 원격으로 사용자를 감시하거나 디지털 공간이 거의 없는 데이터를 훔칠 수 있습니다.그러나 좋은 소식은 기술과 사이버 보안에 절대적인 것은 없다는 것입니다.공격자가 큰 피해를 입히기 전에 WMI 지속성을 방지하고 제거하는 것은 여전히 가능합니다.