A Microsoft létrehozta a Windows Management Instrumentation (WMI) rendszert annak kezelésére, hogy a Windows számítógépek hogyan allokálják az erőforrásokat az operációs környezetben. A WMI még valami fontosat tesz: megkönnyíti a helyi és távoli hozzáférést a számítógépes hálózatokhoz.
Sajnos a black hat hackerek rosszindulatú célokra eltéríthetik ezt a képességet egy tartós támadáson keresztül. Tehát a következőképpen távolíthatja el a WMI Persistence rosszindulatú programját a Windows rendszerből, és tarthatja magát biztonságban.
Mi az a WMI perzisztencia és miért veszélyes?
A WMI-perzisztencia arra utal, hogy a támadó egy szkriptet telepít, különösen egy eseménykezelőt, amely mindig aktiválódik, ha WMI- esemény történik. Ez például akkor fordul elő, amikor a rendszer elindul, vagy a rendszergazda végrehajt valamit a számítógépen, például megnyit egy mappát vagy egy programot használ.
A támadások veszélyesek, mert lopva történnek. Amint azt a Microsoft Scriptingnél elmagyaráztuk, a támadó állandó WMI-esemény-előfizetést hoz létre a rendszerfolyamatként működő hasznos adat végrehajtásához, és megtisztítja a végrehajtási naplóját. Ezzel a támadási vektorral a támadó elkerülheti az észlelést a parancssori ellenőrzéssel.
Hogyan lehet megelőzni és eltávolítani a WMI perzisztenciát
A WMI-esemény-előfizetések ügyesen vannak kialakítva, hogy elkerüljék az észlelést. A támadások elkerülésének legjobb módja a WMI szolgáltatás letiltása. Ez nem befolyásolja az általános felhasználói élményt, hacsak nem haladó felhasználó.
A következő legjobb lehetőség a WMI-protokoll-portok blokkolása úgy, hogy a DCOM-ot úgy konfigurálják, hogy egyetlen statikus portot használjon, és blokkolja azt. Tekintse meg a Quantrimang.com útmutatóját a sebezhető portok bezárásáról, ha további útmutatást szeretne kapni erről.
Ez az intézkedés lehetővé teszi a WMI-szolgáltatás helyi futtatását, miközben blokkolja a távoli hozzáférést. Ez jó ötlet, különösen azért, mert a számítógép távoli elérése saját kockázatokkal jár.
Végül beállíthatja a WMI-t, hogy ellenőrizze és figyelmeztesse a fenyegetésekre, ahogy Chad Tilbury bemutatja ebben a bemutatóban:
A hatalom nem lehet rossz kezekben
A WMI egy hatékony rendszerkezelő, és veszélyes eszközzé válhat rossz kezekben. Még ennél is rosszabb, hogy ennek a támadásnak a végrehajtásához nincs szükség magas szintű technikai tudásra. A WMI Persistence támadások létrehozására és elindítására vonatkozó utasítások ingyenesen elérhetők az interneten.
Ezért bármely rosszfiú nyom nélkül kémkedhet utánad, vagy adatokat lophat el. A jó hír azonban az, hogy a technológia és a kiberbiztonság terén nincsenek abszolútumok. Továbbra is lehetséges megelőzni és megszüntetni a WMI létezését, mielőtt a támadó komoly károkat okozna.
A statikus IP-cím a számítógép vagy az útválasztó beállításaiban konfigurált rögzített IP-cím. Egyes internetszolgáltatók (ISP) megkövetelik, hogy statikus IP-címet adjon meg a számítógépén vagy az útválasztó TCP/IP-beállításaiban, hogy csatlakozhasson az internethez.
A fertőzés módja szerint a PublicBoardSearch a böngésző-gépeltérítő kategóriába tartozik. Ez egy olyan típusú rosszindulatú program, amelyet arra terveztek, hogy átvegye egy ismerős böngésző beállításait.
Nagy felbontású háttérképek gyűjteménye számítógép- és laptopfelhasználók számára teljes felbontásban Full HD-tól 4K-ig.
A Unix rendszer, más néven „visszacsatolás”, képes hálózati kommunikációt küldeni és fogadni magának egy virtuális hálózati eszközön keresztül. A számítógép képes üzeneteket küldeni magának, lehetővé téve a kommunikációt aktív hálózat nélkül.
Biztosan hallottad már azt a mondást, hogy azt kapod, amiért fizetsz, de mi a helyzet a víruskereső szoftverrel? Vásároljon szoftvercsomagokat az ingyenes védelmi megoldások helyett? Talán nem ez a helyzet, és itt van az ok!
A mai cikkben a Quantrimang összefoglalja a piacon lévő népszerű víruskereső szoftvermárkákat, és megnézi, miben különböznek a Windows PC-k és a macOS között.
Nem világos, hogy a Sun Valley mit hoz a legfelső szintű felhasználói felület változtatásokon és fejlesztéseken túl. Tehát íme, amit a felhasználók látni fognak a Windows 10 nagy Sun Valley frissítésétől, amikor az jövőre indul.
A Windows a Futtatás rendszergazdaként lehetőséget biztosít, amely lehetővé teszi a felhasználók számára, hogy rendszergazdai jogosultságokkal futtassák az alkalmazásokat és programokat. Használhatja számítógépe hibaelhárítására is. De mi van, ha ez a funkció hibásan működik, és elveszi a rendszergazdai jogokat?
A számítógép meghajtójával kapcsolatos hibák megakadályozhatják a rendszer megfelelő indítását, és korlátozhatják a hozzáférést a fájlokhoz és az alkalmazásokhoz.
Egyes rosszindulatú programváltozatok különböző modulokat használhatnak a célrendszerre gyakorolt hatásuk megváltoztatására. Tehát mi az a moduláris kártevő, és hogyan működik?
