.
O malware de persistência WMI pode se esconder em seu computador à vista de todos. Felizmente, é fácil se livrar dele em um PC com Windows.
A Microsoft criou o Windows Management Instrumentation (WMI) para lidar com a forma como os computadores Windows alocam recursos em um ambiente operacional. O WMI também faz outra coisa importante: facilita o acesso local e remoto às redes de computadores.
Infelizmente, hackers de chapéu preto podem sequestrar esse recurso para fins maliciosos por meio de um ataque de persistência. Como tal, veja como remover a persistência do WMI do Windows e manter-se seguro.
O que é persistência do WMI e por que é perigoso?
A persistência WMI refere-se a um invasor instalando um script, especificamente um ouvinte de eventos, que sempre é acionado quando ocorre um evento WMI. Por exemplo, isso ocorrerá quando o sistema for inicializado ou o administrador do sistema fizer algo no PC, como abrir uma pasta ou usar um programa.
Os ataques de persistência são perigosos porque são furtivos. Conforme explicado no Microsoft Scripting, o invasor cria uma assinatura de evento WMI permanente que executa uma carga útil que funciona como um processo do sistema e limpa os logs de sua execução; o equivalente técnico de um trapaceiro astuto. Com esse vetor de ataque, o invasor pode evitar ser descoberto por meio da auditoria de linha de comando.
Como prevenir e remover a persistência do WMI
As assinaturas de eventos WMI são roteirizadas de forma inteligente para evitar a detecção. A melhor maneira de evitar ataques de persistência é desabilitar o serviço WMI. Isso não deve afetar a experiência geral do usuário, a menos que você seja um usuário avançado.
A próxima melhor opção é bloquear as portas do protocolo WMI configurando o DCOM para usar uma única porta estática e bloqueando essa porta. Você pode conferir nosso guia sobre como fechar portas vulneráveis para obter mais instruções sobre como fazer isso.
Essa medida permite que o serviço WMI seja executado localmente enquanto bloqueia o acesso remoto. Esta é uma boa ideia, especialmente porque o acesso remoto ao computador vem com sua própria parcela de riscos.
Por fim, você pode configurar o WMI para verificar e alertá-lo sobre ameaças, como Chad Tilbury demonstrou nesta apresentação:
Um poder que não deve estar nas mãos erradas
O WMI é um poderoso gerenciador de sistemas que se torna uma ferramenta perigosa nas mãos erradas. Pior ainda, o conhecimento técnico não é necessário para realizar um ataque de persistência. Instruções sobre como criar e iniciar ataques de persistência WMI estão disponíveis gratuitamente na Internet.
Assim, qualquer pessoa com esse conhecimento e acesso breve à sua rede pode espioná-lo remotamente ou roubar dados com apenas uma pegada digital. No entanto, a boa notícia é que não há absolutos em tecnologia e segurança cibernética. Ainda é possível prevenir e remover a persistência do WMI antes que um invasor cause grandes danos.
.
