如何從 Windows PC 中尋找並刪除 WMI 持久性惡意軟體

Microsoft 建立了 Windows Management Instrumentation (WMI) 來處理 Windows 電腦如何在操作環境中指派資源。 WMI 也做了其他一些重要的事情：它促進對電腦網路的本地和遠端存取。

不幸的是，黑帽駭客可以透過持續攻擊劫持此功能以達到惡意目的。因此，以下是如何從 Windows 中移除 WMI Persistence 惡意軟體並確保自身安全的方法。

什麼是 WMI 持久性以及為什麼它很危險？

WMI 持久性是指攻擊者安裝腳本，特別是事件處理程序，該腳本在WMI事件發生時始終被觸發。例如，當系統啟動或系統管理員在PC上執行某些操作（例如開啟資料夾或使用程式）時，就會發生這種情況。

攻擊是危險的，因為它們是秘密發生的。正如 Microsoft 腳本中所解釋的，攻擊者會建立永久 WMI 事件訂閱來執行充當系統程序的有效負載並清除其執行日誌。透過此攻擊向量，攻擊者可以透過命令列檢查來避免偵測。

如何防止和刪除 WMI 持久性

WMI 事件訂閱經過精心設計，可以避免偵測。避免這些攻擊的最佳方法是停用 WMI 服務。除非您是高級用戶，否則這樣做不會影響您的整體用戶體驗。

下一個最佳選擇是透過將 DCOM 配置為使用單一靜態連接埠並阻止該連接埠來阻止 WMI 協定連接埠。您可以查看 Quantrimang.com 關於如何關閉易受攻擊的連接埠的指南，以獲取有關如何執行此操作的更多說明。

此措施允許 WMI 服務在本地運行，同時阻止遠端存取。這是一個好主意，特別是因為遠端存取電腦本身就有風險。

最後，您可以配置 WMI 來掃描威脅並發出警告，如 Chad Tilbury 在本演示中演示的那樣：

權力不該落入壞人手中

WMI 是一個功能強大的系統管理器，如果落入壞人之手，就有可能成為危險的工具。更糟的是，執行這種攻擊不需要太多先進的技術知識。有關如何建立和啟動 WMI 持久性攻擊的說明可在 Internet 上免費取得。

因此，任何壞人都可以遠端監視您或竊取資料而不留下痕跡。然而，好消息是技術和網路安全沒有絕對的。在攻擊者造成重大損害之前，仍然可以預防和消除 WMI 的存在。