Cách tìm và loại bỏ malware WMI Persistence khỏi PC chạy Windows

Microsoft đã tạo Windows Management Instrumentation (WMI) để xử lý cách máy tính Windows phân bổ tài nguyên trong môi trường hoạt động. WMI còn thực hiện một điều quan trọng khác: Nó tạo điều kiện cho việc truy cập cục bộ và từ xa vào các mạng máy tính.

Thật không may, tin tặc mũ đen có thể chiếm đoạt khả năng này cho các mục đích xấu thông qua một cuộc tấn công liên tục. Do đó, đây là cách loại bỏ malware WMI Persistence khỏi Windows và giữ an toàn cho bản thân bạn.

WMI Persistence là gì và tại sao nó lại nguy hiểm?

WMI Persistence đề cập đến việc kẻ tấn công cài đặt một script, cụ thể là một trình xử lý sự kiện, luôn được kích hoạt khi một sự kiện WMI xảy ra. Ví dụ, điều này sẽ xảy ra khi hệ thống khởi động hoặc quản trị viên hệ thống thực hiện một việc gì đó trên PC, chẳng hạn như mở một thư mục hoặc sử dụng một chương trình.

Các cuộc tấn công rất nguy hiểm vì chúng diễn ra lén lút. Như đã giải thích trên Microsoft Scripting, kẻ tấn công tạo đăng ký sự kiện WMI vĩnh viễn để thực thi payload hoạt động như một tiến trình hệ thống và dọn dẹp nhật ký thực thi của nó. Với vectơ tấn công này, kẻ tấn công có thể tránh bị phát hiện thông qua kiểm tra dòng lệnh.

Cách ngăn chặn và loại bỏ WMI Persistence

Các đăng ký sự kiện WMI được tạo một cách khéo léo để tránh bị phát hiện. Cách tốt nhất để tránh các cuộc tấn công này là vô hiệu hóa service WMI. Làm điều này sẽ không ảnh hưởng đến trải nghiệm người dùng tổng thể của bạn trừ khi bạn là người dùng nâng cao.

Lựa chọn tốt nhất tiếp theo là chặn các cổng giao thức WMI bằng cách cấu hình DCOM để sử dụng một cổng tĩnh duy nhất và chặn cổng đó. Bạn có thể xem hướng dẫn của Quantrimang.com về cách đóng các cổng dễ bị tấn công để biết thêm hướng dẫn về cách thực hiện việc này.

Biện pháp này cho phép service WMI chạy cục bộ trong khi chặn truy cập từ xa. Đây là một ý tưởng hay, đặc biệt là vì việc truy cập máy tính từ xa đi kèm với những rủi ro riêng của nó.

Cuối cùng, bạn có thể cấu hình WMI để quét và cảnh báo bạn về các mối đe dọa, như Chad Tilbury đã trình bày trong bài thuyết trình này:

Sức mạnh không nên nằm trong tay kẻ xấu

WMI là một trình quản lý hệ thống mạnh mẽ và có nguy cơ trở thành một công cụ nguy hiểm trong tay kẻ xấu. Tệ hơn nữa, để thực hiện cuộc tấn công này, không cần nhiều kiến thức kỹ thuật nâng cao. Hướng dẫn về cách tạo và khởi chạy các cuộc tấn công WMI Persistence có sẵn miễn phí trên internet.

Vì vậy, bất kỳ kẻ xấu nào cũng đều có thể theo dõi bạn từ xa hoặc đánh cắp dữ liệu mà không để lại dấu vết. Tuy nhiên, tin tốt là không có sự tuyệt đối trong công nghệ và an ninh mạng. Vẫn có thể ngăn chặn và loại bỏ sự tồn tại của WMI trước khi kẻ tấn công gây thiệt hại lớn.