Microsoft đã tạo Công cụ quản lý Windows (Windows Management Instrumentation, hay WMI) để xử lý cách máy tính Windows phân bổ tài nguyên trong môi trường hoạt động. Bên cạnh đó, WMI còn tạo điều kiện truy cập cục bộ và từ xa vào mạng máy tính.
Tuy nhiên, tin tặc có thể lọi dụng khả năng này cho các mục đích xấu thông qua một cuộc tấn công liên tục. Bài viết sau sẽ hướng dẫn cách loại bỏ WMI khỏi Windows và giữ an toàn cho bạn.
WMI Persistence là gì?
WMI persistence chỉ việc kẻ tấn công cài đặt tập lệnh, cụ thể là một event listener, luôn được kích hoạt khi sự kiện WMI xảy ra. Chẳng hạn, điều này sẽ xảy ra khi hệ thống khởi động hoặc quản trị viên hệ thống thực hiện điều gì đó trên PC như mở một thư mục hoặc sử dụng một chương trình.
Các cuộc tấn công Persistence rất nguy hiểm vì chúng diễn ra một cách lén lút. Kẻ tấn công tạo đăng ký sự kiện WMI (WMI event subscription) vĩnh viễn để thực thi một payload hoạt động như một quy trình hệ thống và xóa nhật ký thực thi của nó. Với vectơ tấn công này, kẻ tấn công có thể tránh bị phát hiện thông qua kiểm tra dòng lệnh (command-line auditing).
Cách ngăn chặn và loại bỏ WMI
Cách tốt nhất để tránh các cuộc tấn công persistence là vô hiệu hóa dịch vụ WMI. Làm điều này sẽ không ảnh hưởng đến trải nghiệm người dùng tổng thể trừ khi bạn là người dùng thành thạo.
Lựa chọn tốt thứ hai là chặn các cổng giao thức WMI bằng cách định cấu hình DCOM để sử dụng một cổng tĩnh duy nhất và chặn cổng đó. Bạn có thể xem hướng dẫn của FUNiX về cách đóng các cổng dễ bị tấn công để biết thêm về cách thực hiện việc này.
Biện pháp này cho phép dịch vụ WMI chạy cục bộ trong khi chặn truy cập từ xa. Đây là một ý tưởng tốt bởi truy cập máy tính từ xa đi kèm với rủi ro riêng.
Một quyền lực không nên nằm trong tay kẻ xấu
WMI là một trình quản lý hệ thống mạnh mẽ nhưng lại trở thành một công cụ nguy hiểm nếu rơi vào tay kẻ xấu. Tệ hơn nữa là không cần kiến thức kỹ thuật để thực hiện một cuộc tấn công Persistence. Hướng dẫn tạo và khởi chạy các cuộc tấn công WMI Persistence có sẵn miễn phí trên internet.
Vì vậy, bất kỳ ai có kiến thức này và quyền truy cập ngắn vào mạng của bạn đều có thể theo dõi bạn từ xa hoặc đánh cắp dữ liệu của bạn mà hầu như không để lại dấu vết kỹ thuật số. Tuy nhiên, tin tốt là bạn vẫn có thể ngăn chặn và loại bỏ sự tồn tại của WMI trước khi kẻ tấn công gây thiệt hại lớn.
Vân Nguyễn
Dịch từ: https://www.makeuseof.com/windows-wmi-persistence-removal/
Bình luận (0
)