วิธีค้นหาและลบมัลแวร์ WMI Persistence จากพีซี Windows

Microsoft ได้สร้าง Windows Management Instrumentation (WMI) เพื่อจัดการกับวิธีที่คอมพิวเตอร์ Windows จัดสรรทรัพยากรในสภาพแวดล้อมการทำงาน WMI ยังทำอย่างอื่นที่สำคัญอีกด้วย: อำนวยความสะดวกในการเข้าถึงเครือข่ายคอมพิวเตอร์ทั้งในพื้นที่และระยะไกล

น่าเสียดายที่แฮกเกอร์หมวกดำสามารถแย่งชิงความสามารถนี้เพื่อวัตถุประสงค์ที่เป็นอันตรายผ่านการโจมตีอย่างต่อเนื่อง ต่อไปนี้เป็นวิธีลบมัลแวร์ WMI Persistence ออกจาก Windows และดูแลตัวเองให้ปลอดภัย

WMI Persistence คืออะไร และเหตุใดจึงเป็นอันตราย

WMI Persistence หมายถึงผู้โจมตีที่ติดตั้งสคริปต์ โดยเฉพาะตัวจัดการเหตุการณ์ ซึ่งจะถูกทริกเกอร์เสมอเมื่อ มีเหตุการณ์ WMIเกิดขึ้น ตัวอย่างเช่น สิ่งนี้จะเกิดขึ้นเมื่อระบบเริ่มทำงานหรือผู้ดูแลระบบทำอะไรบางอย่างบนพีซี เช่น การเปิดโฟลเดอร์หรือใช้โปรแกรม

การโจมตีเป็นสิ่งที่อันตรายเนื่องจากเกิดขึ้นอย่างลับๆ ตามที่อธิบายไว้ใน Microsoft Scripting ผู้โจมตีจะสร้างการสมัครสมาชิกเหตุการณ์ WMI แบบถาวรเพื่อดำเนินการเพย์โหลดที่ทำหน้าที่เป็นกระบวนการของระบบและล้างบันทึกการดำเนินการ ด้วยเวกเตอร์การโจมตีนี้ ผู้โจมตีสามารถหลีกเลี่ยงการตรวจจับผ่านการตรวจสอบบรรทัดคำสั่ง

วิธีป้องกันและกำจัด WMI Persistence

การสมัครรับข้อมูลกิจกรรม WMI ได้รับการออกแบบอย่างชาญฉลาดเพื่อหลีกเลี่ยงการตรวจจับ วิธีที่ดีที่สุดในการหลีกเลี่ยงการโจมตีเหล่านี้คือการปิดใช้งานบริการ WMI การทำเช่นนี้จะไม่ส่งผลต่อประสบการณ์การใช้งานโดยรวมของคุณ เว้นแต่คุณจะเป็นผู้ใช้ขั้นสูง

ตัวเลือกที่ดีที่สุดถัดไปคือการ บล็อกพอร์ตโปรโตคอล WMI โดยการกำหนดค่า DCOM เพื่อใช้พอร์ตแบบคงที่เดียว และบล็อกพอร์ตนั้น คุณสามารถดูคำแนะนำของ Quantrimang.com เกี่ยวกับวิธีปิดพอร์ตที่มีช่องโหว่เพื่อดูคำแนะนำเพิ่มเติมเกี่ยวกับวิธีการทำเช่นนี้

มาตรการนี้อนุญาตให้บริการ WMI ทำงานภายในเครื่องในขณะที่บล็อกการเข้าถึงระยะไกล นี่เป็นความคิดที่ดี โดยเฉพาะอย่างยิ่งเมื่อการเข้าถึงคอมพิวเตอร์จากระยะไกลมาพร้อมกับความเสี่ยงในตัวมันเอง

สุดท้ายนี้ คุณสามารถกำหนดค่า WMI ให้สแกนและเตือนคุณเกี่ยวกับภัยคุกคามได้ ดังที่ Chad Tilbury แสดงให้เห็นในการนำเสนอนี้:

อำนาจไม่ควรตกไปอยู่ในมือคนผิด

WMI เป็นผู้จัดการระบบที่ทรงพลังและมีศักยภาพที่จะกลายเป็นเครื่องมืออันตรายเมื่อตกอยู่ในมือของคนผิด ที่แย่กว่านั้นคือ ในการทำการโจมตีนี้ ไม่จำเป็นต้องมีความรู้ด้านเทคนิคขั้นสูงมากนัก คำแนะนำเกี่ยวกับวิธีการสร้างและเปิดใช้งานการโจมตี WMI Persistence มีให้ใช้งานฟรีบนอินเทอร์เน็ต

ดังนั้นผู้ร้ายจึงสามารถสอดแนมคุณจากระยะไกลหรือขโมยข้อมูลได้โดยไม่ทิ้งร่องรอย อย่างไรก็ตาม ข่าวดีก็คือว่าเทคโนโลยีและความปลอดภัยทางไซเบอร์ไม่มีความสมบูรณ์แบบ ยังคงเป็นไปได้ที่จะป้องกันและกำจัดการมีอยู่ของ WMI ก่อนที่ผู้โจมตีจะสร้างความเสียหายร้ายแรง