Pembaca seperti Anda membantu mendukung MUO. Saat Anda melakukan pembelian menggunakan tautan di situs kami, kami dapat memperoleh komisi afiliasi.
Microsoft menciptakan Windows Management Instrumentation (WMI) untuk menangani bagaimana komputer Windows mengalokasikan sumber daya di lingkungan operasional. WMI juga melakukan hal penting lainnya: memfasilitasi akses lokal dan jarak jauh ke jaringan komputer.
Sayangnya, peretas topi hitam dapat membajak kemampuan ini untuk tujuan jahat melalui serangan persistensi. Karena itu, inilah cara menghapus kegigihan WMI dari Windows dan menjaga diri Anda tetap aman.
Apa Kegigihan WMI, dan Mengapa Berbahaya?
Kegigihan WMI mengacu pada penyerang yang memasang skrip, khususnya pendengar acara, yang selalu dipicu saat peristiwa WMI terjadi. Misalnya, ini akan terjadi saat sistem melakukan booting atau administrator sistem melakukan sesuatu di PC, seperti membuka folder atau menggunakan program.
Serangan kegigihan berbahaya karena tersembunyi. Seperti yang dijelaskan pada
Skrip Microsoft, penyerang membuat langganan peristiwa WMI permanen yang mengeksekusi muatan yang berfungsi sebagai proses sistem dan membersihkan log eksekusinya; ekuivalen teknis dari dodger yang terampil. Dengan vektor serangan ini, penyerang dapat menghindari ketahuan melalui audit baris perintah.Cara Mencegah dan Menghapus Kegigihan WMI
Langganan acara WMI ditulis dengan cerdik untuk menghindari deteksi. Cara terbaik untuk menghindari serangan persistensi adalah dengan menonaktifkan layanan WMI. Melakukan hal ini seharusnya tidak memengaruhi pengalaman pengguna Anda secara keseluruhan kecuali Anda adalah pengguna yang kuat.
Pilihan terbaik berikutnya adalah memblokir port protokol WMI dengan mengonfigurasi DCOM untuk menggunakan satu port statis dan memblokir port tersebut. Anda dapat melihat panduan kami di cara menutup port yang rentan untuk petunjuk lebih lanjut tentang cara melakukannya.
Tindakan ini memungkinkan layanan WMI berjalan secara lokal sambil memblokir akses jarak jauh. Ini ide yang bagus, terutama karena akses komputer jarak jauh datang dengan bagian risikonya sendiri.
Terakhir, Anda dapat mengonfigurasi WMI untuk memindai dan mengingatkan Anda akan ancaman, seperti yang ditunjukkan Chad Tilbury dalam presentasi ini:
Kekuasaan yang Seharusnya Tidak Berada di Tangan Yang Salah
WMI adalah manajer sistem yang kuat yang menjadi alat berbahaya di tangan yang salah. Lebih buruk lagi, pengetahuan teknis tidak diperlukan untuk melakukan serangan persistensi. Petunjuk untuk membuat dan meluncurkan serangan persistensi WMI tersedia secara bebas di internet.
Jadi, siapa pun yang memiliki pengetahuan ini dan akses singkat ke jaringan Anda dapat memata-matai Anda dari jarak jauh atau mencuri data hanya dengan jejak digital. Namun, kabar baiknya adalah tidak ada yang mutlak dalam teknologi dan keamanan siber. Masih mungkin untuk mencegah dan menghapus kegigihan WMI sebelum penyerang melakukan kerusakan besar.
