Malware persistensi WMI dapat bersembunyi di komputer Anda di depan mata. Untungnya, mudah untuk menghapusnya dari PC Windows.
Microsoft menciptakan Windows Management Instrumentation (WMI) untuk menangani bagaimana komputer Windows mengalokasikan sumber daya dalam lingkungan operasional. WMI juga melakukan hal penting lainnya: memfasilitasi akses lokal dan jarak jauh ke jaringan komputer.
Sayangnya, peretas topi hitam dapat membajak kemampuan ini untuk tujuan jahat melalui serangan persisten. Dengan demikian, inilah cara menghapus persistensi WMI dari Windows dan menjaga diri Anda tetap aman.
Apa Kegigihan WMI, dan Mengapa Berbahaya?
Kegigihan WMI mengacu pada penyerang yang memasang skrip, khususnya pendengar acara, yang selalu dipicu saat peristiwa WMI terjadi. Misalnya, ini akan terjadi ketika sistem boot atau administrator sistem melakukan sesuatu pada PC, seperti membuka folder atau menggunakan program.
Serangan kegigihan berbahaya karena mereka diam-diam. Seperti yang dijelaskan pada Microsoft Scripting, penyerang membuat langganan acara WMI permanen yang mengeksekusi muatan yang berfungsi sebagai proses sistem dan membersihkan log dari eksekusinya; setara teknis dari pengelak berseni. Dengan vektor serangan ini, penyerang dapat menghindari ditemukan melalui audit baris perintah.
Cara Mencegah dan Menghapus Kegigihan WMI
Langganan acara WMI ditulis dengan cerdik untuk menghindari deteksi. Cara terbaik untuk menghindari serangan persistensi adalah dengan menonaktifkan layanan WMI. Melakukan hal ini seharusnya tidak memengaruhi pengalaman pengguna Anda secara keseluruhan kecuali Anda adalah pengguna yang kuat.
Opsi terbaik berikutnya adalah memblokir port protokol WMI dengan mengonfigurasi DCOM untuk menggunakan satu port statis dan memblokir port tersebut. Anda dapat melihat panduan kami di cara menutup port yang rentan untuk petunjuk lebih lanjut tentang cara melakukannya.
Tindakan ini memungkinkan layanan WMI berjalan secara lokal sambil memblokir akses jarak jauh. Ini adalah ide yang bagus, terutama karena akses komputer jarak jauh datang dengan bagian risikonya sendiri.
Terakhir, Anda dapat mengonfigurasi WMI untuk memindai dan memperingatkan Anda tentang ancaman, seperti yang ditunjukkan Chad Tilbury dalam presentasi ini:
Sebuah Kekuatan Yang Tidak Seharusnya Berada di Tangan Yang Salah
WMI adalah manajer sistem yang kuat yang menjadi alat berbahaya di tangan yang salah. Lebih buruk lagi, pengetahuan teknis tidak diperlukan untuk melakukan serangan kegigihan. Petunjuk untuk membuat dan meluncurkan serangan persistensi WMI tersedia secara gratis di internet.
Jadi, siapa pun yang memiliki pengetahuan ini dan akses singkat ke jaringan Anda dapat memata-matai Anda dari jarak jauh atau mencuri data hanya dengan jejak digital. Namun, kabar baiknya adalah tidak ada yang mutlak dalam teknologi dan keamanan siber. Masih mungkin untuk mencegah dan menghapus kegigihan WMI sebelum penyerang melakukan kerusakan besar.
