Lezers zoals jij steunen MUO. Wanneer u een aankoop doet via links op onze site, kunnen we een aangesloten commissie verdienen.
Microsoft heeft Windows Management Instrumentation (WMI) gemaakt om te kunnen omgaan met de manier waarop Windows-computers bronnen toewijzen in een operationele omgeving. WMI doet nog iets belangrijks: het vergemakkelijkt lokale en externe toegang tot computernetwerken.
Helaas kunnen black hat-hackers deze mogelijkheid kapen voor kwaadaardige doeleinden door middel van een persistentieaanval. Daarom leest u hier hoe u WMI-persistentie uit Windows verwijdert en uzelf veilig houdt.
Wat is WMI-persistentie en waarom is het gevaarlijk?
WMI-persistentie verwijst naar een aanvaller die een script installeert, met name een gebeurtenislistener, die altijd wordt geactiveerd wanneer een WMI-gebeurtenis plaatsvindt. Dit gebeurt bijvoorbeeld wanneer het systeem opstart of de systeembeheerder iets op de pc doet, zoals het openen van een map of het gebruiken van een programma.
Aanhoudende aanvallen zijn gevaarlijk omdat ze onopvallend zijn. Zoals uitgelegd op Microsoft-script, maakt de aanvaller een permanent WMI-gebeurtenisabonnement dat een payload uitvoert die werkt als een systeemproces en logboeken van de uitvoering ervan opschoont; het technische equivalent van een listige ontwijker. Met deze aanvalsvector kan de aanvaller voorkomen dat hij ontdekt wordt via opdrachtregelcontrole.
WMI-persistentie voorkomen en verwijderen
WMI-gebeurtenisabonnementen zijn slim gescript om detectie te voorkomen. De beste manier om persistentieaanvallen te voorkomen, is door de WMI-service uit te schakelen. Als u dit doet, heeft dit geen invloed op uw algehele gebruikerservaring, tenzij u een ervaren gebruiker bent.
De volgende beste optie is om de WMI-protocolpoorten te blokkeren door DCOM te configureren voor het gebruik van een enkele statische poort en die poort te blokkeren. U kunt onze gids bekijken op hoe kwetsbare poorten te sluiten voor meer instructies over hoe u dit kunt doen.
Met deze maatregel kan de WMI-service lokaal worden uitgevoerd terwijl externe toegang wordt geblokkeerd. Dit is een goed idee, vooral omdat externe computertoegang brengt zijn eigen risico's met zich mee.
Ten slotte kunt u WMI configureren om te scannen en u te waarschuwen voor bedreigingen, zoals Chad Tilbury in deze presentatie demonstreerde:
Een kracht die niet in verkeerde handen mag komen
WMI is een krachtige systeembeheerder die in verkeerde handen een gevaarlijk hulpmiddel wordt. Erger nog, er is geen technische kennis nodig om een persistentieaanval uit te voeren. Instructies voor het maken en starten van WMI-persistentieaanvallen zijn gratis beschikbaar op internet.
Dus iedereen met deze kennis en korte toegang tot uw netwerk kan u op afstand bespioneren of gegevens stelen met nauwelijks een digitale voetafdruk. Het goede nieuws is echter dat er geen absoluutheden zijn op het gebied van technologie en cyberbeveiliging. Het is nog steeds mogelijk om WMI-persistentie te voorkomen en te verwijderen voordat een aanvaller grote schade aanricht.
