Windows PC から WMI Persistence マルウェアを見つけて削除する方法

Microsoft は、Windows コンピューターがオペレーティング環境でリソースを割り当てる方法を処理するために、Windows Management Instrumentation (WMI) を作成しました。 WMI は、他にも重要な機能を備えています。それは、コンピュータ ネットワークへのローカルおよびリモート アクセスを容易にすることです。

残念ながら、ブラックハットハッカーは持続的な攻撃を通じて悪意のある目的でこの機能を乗っ取ることができます。そこで、Windows から WMI Persistence マルウェアを削除して安全を守る方法を紹介します。

WMI Persistence とは何ですか? なぜ危険なのでしょうか?

WMI 永続化とは、攻撃者がスクリプト、特にWMIイベントの発生時に常にトリガーされるイベント ハンドラーをインストールすることを指します。たとえば、これはシステムが起動したとき、またはシステム管理者が PC 上でフォルダを開いたりプログラムを使用したりしたときに発生します。

攻撃は密かに行われるため危険です。 Microsoft Scripting で説明されているように、攻撃者は永続的な WMI イベント サブスクリプションを作成して、システム プロセスとして機能するペイロードを実行し、その実行ログを消去します。この攻撃ベクトルを使用すると、攻撃者はコマンド ライン検査による検出を回避できます。

WMI 永続化を防止および削除する方法

WMI イベント サブスクリプションは、検出を回避するために巧妙に作成されています。これらの攻撃を回避する最善の方法は、WMI サービスを無効にすることです。上級ユーザーでない限り、これを実行しても全体的なユーザー エクスペリエンスには影響しません。

次善のオプションは、単一の静的ポートを使用し、そのポートをブロックするように DCOM を構成することで、WMI プロトコル ポートをブロックすることです。これを行う方法の詳細については、脆弱なポートを閉じる方法に関する Quantrimang.com のガイドを参照してください。

この措置により、リモート アクセスをブロックしながら、WMI サービスをローカルで実行できるようになります。特にコンピュータへのリモート アクセスにはリスクが伴うため、これは良い考えです。

最後に、Chad Tilbury がこのプレゼンテーションで実証しているように、脅威をスキャンして警告するように WMI を構成できます。

権力は間違った手に渡ってはなりません

WMI は強力なシステム マネージャーですが、悪者の手に渡れば危険なツールになる可能性があります。さらに悪いことに、この攻撃を実行するには高度な技術的知識はほとんど必要ありません。 WMI Persistence 攻撃を作成して実行する方法に関する説明は、インターネット上で無料で入手できます。

したがって、悪者はリモートからあなたをスパイしたり、痕跡を残さずにデータを盗んだりすることができます。ただし、良いニュースは、テクノロジーとサイバーセキュリティに絶対的なものはないということです。攻撃者が大きな被害を引き起こす前に、WMI の存在を防止して排除することは可能です。