خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

چگونه بدافزار WMI Persistence را از رایانه ویندوزی پیدا و حذف کنیم

ارشیا یوسفی ادیب ۲۰ آبان, ۱۴۰۱ 3 دقیقه زمان مطالعه

بدافزار پایداری WMI می تواند در دید ساده روی رایانه شما پنهان شود. خوشبختانه، خلاص شدن از شر آن از طریق رایانه شخصی ویندوزی آسان است.

مایکروسافت ابزار مدیریت ویندوز (WMI) را برای مدیریت نحوه تخصیص منابع رایانه‌های ویندوز در یک محیط عملیاتی ایجاد کرد. WMI کار مهم دیگری را نیز انجام می دهد: دسترسی محلی و راه دور به شبکه های کامپیوتری را تسهیل می کند.

متأسفانه، هکرهای کلاه سیاه می توانند از طریق یک حمله مداوم، این قابلیت را برای اهداف مخرب ربودند. به این ترتیب، در اینجا نحوه حذف ماندگاری WMI از ویندوز و حفظ امنیت خود آورده شده است.

WMI Persistence چیست و چرا خطرناک است؟

ماندگاری WMI به حمله کننده ای اشاره دارد که یک اسکریپت را نصب می کند، به ویژه شنونده رویداد، که همیشه هنگام وقوع یک رویداد WMI فعال می شود. به عنوان مثال، هنگامی که سیستم بوت می شود یا مدیر سیستم کاری را روی رایانه شخصی انجام می دهد، مانند باز کردن یک پوشه یا استفاده از یک برنامه، این اتفاق می افتد.

حملات مداوم خطرناک هستند زیرا مخفیانه هستند. همانطور که در مایکروسافت اسکریپت توضیح داده شد، مهاجم یک اشتراک رویداد WMI دائمی ایجاد می کند که یک بار را اجرا می کند که به عنوان یک فرآیند سیستم عمل می کند و گزارش های اجرای آن را پاک می کند. معادل فنی یک طفره زن باهوش. با این بردار حمله، مهاجم می تواند از طریق ممیزی خط فرمان از کشف شدن جلوگیری کند.

نحوه جلوگیری و حذف ماندگاری WMI

اشتراک‌های رویداد WMI برای جلوگیری از شناسایی هوشمندانه برنامه‌نویسی شده‌اند. بهترین راه برای جلوگیری از حملات مداوم، غیرفعال کردن سرویس WMI است. انجام این کار نباید روی تجربه کاربری کلی شما تأثیر بگذارد مگر اینکه کاربر قدرتمندی باشید.

مطلب مرتبط:   نحوه فعال و غیرفعال کردن کلید ویندوز

بهترین گزینه بعدی مسدود کردن پورت های پروتکل WMI با پیکربندی DCOM برای استفاده از یک پورت استاتیک و مسدود کردن آن پورت است. برای دستورالعمل های بیشتر در مورد نحوه انجام این کار، می توانید راهنمای ما را در مورد نحوه بستن پورت های آسیب پذیر بررسی کنید.

این معیار به سرویس WMI اجازه می دهد در حالی که دسترسی از راه دور را مسدود می کند، به صورت محلی اجرا شود. این ایده خوبی است، به خصوص به این دلیل که دسترسی از راه دور به رایانه خطرات خاص خود را دارد.

در نهایت، همانطور که Chad Tilbury در این ارائه نشان داد، می‌توانید WMI را برای اسکن و هشدار در مورد تهدیدات پیکربندی کنید:

قدرتی که نباید در دستان اشتباه باشد

WMI یک مدیر سیستم قدرتمند است که به یک ابزار خطرناک در دستان اشتباه تبدیل می شود. بدتر از آن، دانش فنی برای انجام یک حمله پایدار مورد نیاز نیست. دستورالعمل های ایجاد و راه اندازی حملات پایدار WMI به صورت رایگان در اینترنت در دسترس است.

بنابراین، هر کسی با این دانش و دسترسی کوتاه به شبکه شما می‌تواند از راه دور از شما جاسوسی کند یا داده‌ها را با یک ردپای دیجیتالی بدزدد. با این حال، خبر خوب این است که هیچ چیز مطلقی در فناوری و امنیت سایبری وجود ندارد. هنوز هم می توان از ماندگاری WMI جلوگیری کرد و آن را حذف کرد قبل از اینکه یک مهاجم آسیب بزرگی وارد کند.

Tags: