像您這樣的讀者幫助支持 MUO。 當您使用我們網站上的鏈接進行購買時,我們可能會賺取聯屬會員佣金。
Microsoft 創建了 Windows Management Instrumentation (WMI) 來處理 Windows 計算機在操作環境中分配資源的方式。WMI 還做了另一件重要的事情:它促進了對計算機網絡的本地和遠程訪問。
不幸的是,黑帽黑客可以通過持久性攻擊劫持此功能用於惡意目的。 因此,以下是如何從 Windows 中刪除 WMI 持久性並確保自己的安全。
目錄
什麼是 WMI 持久性,為什麼它很危險?
WMI 持久性是指攻擊者安裝腳本,特別是事件偵聽器,當 WMI 事件發生時始終觸發該腳本。 例如,當系統啟動或系統管理員在 PC 上執行某些操作時會發生這種情況,例如打開文件夾或使用程序。
持久性攻擊很危險,因為它們是隱蔽的。 正如 Microsoft Scripting 中所解釋的,攻擊者創建了一個永久 WMI 事件訂閱,該訂閱執行作為系統進程工作的有效負載並清理其執行日誌; 技術上相當於狡猾的躲閃者。 使用此攻擊向量,攻擊者可以避免通過命令行審計被發現。
如何防止和刪除 WMI 持久性
WMI 事件訂閱被巧妙地編寫腳本以避免檢測。 避免持久性攻擊的最佳方法是禁用 WMI 服務。 除非您是高級用戶,否則這樣做不會影響您的整體用戶體驗。
下一個最佳選項是通過將 DCOM 配置為使用單個靜態端口並阻止該端口來阻止 WMI 協議端口。 您可以查看我們關於如何關閉易受攻擊端口的指南,以獲取有關如何執行此操作的更多說明。
此措施允許 WMI 服務在本地運行,同時阻止遠程訪問。 這是一個好主意,尤其是因為遠程計算機訪問有其自身的風險。
最後,您可以將 WMI 配置為掃描威脅並向您發出警報,正如 Chad Tilbury 在本演示文稿中所展示的那樣:
一種不應該落入壞人手中的力量
WMI 是一個強大的系統管理器,一旦落入壞人之手,它就會變成一個危險的工具。 更糟糕的是,執行持久性攻擊不需要技術知識。 有關創建和啟動 WMI 持久性攻擊的說明可在 Internet 上免費獲得。
因此,任何了解這些知識並短暫訪問您的網絡的人都可以遠程監視您或竊取幾乎沒有數字足蹟的數據。 然而,好消息是在技術和網絡安全方面沒有絕對的。 在攻擊者造成重大破壞之前,仍然可以防止和刪除 WMI 持久性。