Leitores como você ajudam a apoiar o MUO. Quando você faz uma compra usando links em nosso site, podemos ganhar uma comissão de afiliado.
A Microsoft criou o Windows Management Instrumentation (WMI) para controlar como os computadores Windows alocam recursos em um ambiente operacional. O WMI também faz outra coisa importante: facilita o acesso local e remoto a redes de computadores.
Infelizmente, os hackers black hat podem sequestrar esse recurso para fins maliciosos por meio de um ataque persistente. Como tal, veja como remover a persistência WMI do Windows e manter-se seguro.
O que é persistência WMI e por que é perigoso?
A persistência WMI refere-se a um invasor instalando um script, especificamente um ouvinte de evento, que sempre é acionado quando um evento WMI ocorre. Por exemplo, isso ocorrerá quando o sistema inicializar ou o administrador do sistema fizer algo no PC, como abrir uma pasta ou usar um programa.
Os ataques de persistência são perigosos porque são furtivos. Conforme explicado em
Script da Microsoft, o invasor cria uma assinatura de evento WMI permanente que executa uma carga útil que funciona como um processo do sistema e limpa os logs de sua execução; o equivalente técnico de um trapaceiro astuto. Com esse vetor de ataque, o invasor pode evitar ser descoberto por meio de auditoria de linha de comando.Como prevenir e remover a persistência do WMI
As assinaturas de eventos WMI são escritas de forma inteligente para evitar a detecção. A melhor maneira de evitar ataques de persistência é desabilitar o serviço WMI. Fazer isso não deve afetar a experiência geral do usuário, a menos que você seja um usuário avançado.
A próxima melhor opção é bloquear as portas do protocolo WMI configurando o DCOM para usar uma única porta estática e bloquear essa porta. Você pode conferir nosso guia sobre como fechar portas vulneráveis para obter mais instruções sobre como fazer isso.
Essa medida permite que o serviço WMI seja executado localmente enquanto bloqueia o acesso remoto. Esta é uma boa ideia, especialmente porque o acesso remoto ao computador vem com sua própria parcela de riscos.
Por fim, você pode configurar o WMI para verificar e alertá-lo sobre ameaças, como Chad Tilbury demonstrou nesta apresentação:
Um poder que não deve estar nas mãos erradas
O WMI é um poderoso gerenciador de sistema que se torna uma ferramenta perigosa nas mãos erradas. Pior ainda, não é necessário conhecimento técnico para realizar um ataque de persistência. As instruções sobre como criar e iniciar ataques de persistência WMI estão disponíveis gratuitamente na Internet.
Portanto, qualquer pessoa com esse conhecimento e acesso breve à sua rede pode espioná-lo remotamente ou roubar dados com apenas uma pegada digital. No entanto, a boa notícia é que não há absolutos em tecnologia e segurança cibernética. Ainda é possível prevenir e remover a persistência do WMI antes que um invasor cause grandes danos.
