Éliminez les logiciels malveillants de persistance WMI de votre PC Windows

Les logiciels malveillants persistants WMI peuvent se cacher à la vue de tous sur votre ordinateur. Heureusement, il est facile de s’en débarrasser à partir d’un ordinateur Windows.


Microsoft a créé Windows Management Instrumentation (WMI) pour gérer la manière dont les ordinateurs Windows allouent les ressources dans un environnement opérationnel. WMI fait également une autre chose importante : il facilite l’accès local et distant aux réseaux informatiques.


Malheureusement, les hackers black hat peuvent détourner cette capacité à des fins malveillantes via une attaque persistante. En tant que tel, voici comment supprimer la persistance WMI de Windows et vous protéger.


Qu’est-ce que la persistance WMI et pourquoi est-elle dangereuse ?

La persistance WMI fait référence à un attaquant installant un script, en particulier un écouteur d’événement, qui est toujours déclenché lorsqu’un événement WMI se produit. Par exemple, cela se produira lorsque le système démarre ou que l’administrateur système fait quelque chose sur l’ordinateur, comme ouvrir un dossier ou exécuter un programme.

Les attaques soutenues sont dangereuses car elles sont furtives. Comme expliqué sur Script Microsoft, l’attaquant crée un abonnement permanent aux événements WMI qui exécute une charge utile qui s’exécute en tant que processus système et efface les journaux de son exécution ; l’équivalent technique d’un cagnard astucieux. Avec ce vecteur d’attaque, l’attaquant peut éviter d’être découvert par l’audit de la ligne de commande.

Comment prévenir et supprimer la persistance WMI

Les abonnements aux événements WMI sont écrits intelligemment pour éviter la détection. La meilleure façon d’éviter les attaques persistantes est de désactiver le service WMI. Cela ne devrait pas affecter votre expérience utilisateur globale, sauf si vous êtes un utilisateur expérimenté.

La meilleure option suivante consiste à bloquer les ports du protocole WMI en configurant DCOM pour utiliser un seul port statique et en bloquant ce port. Vous pouvez consulter notre guide comment fermer les ports vulnérables pour plus d’instructions sur la façon de procéder.

Cette mesure permet au service WMI de s’exécuter localement tout en bloquant l’accès à distance. C’est une bonne idée, surtout parce que l’accès à distance à un ordinateur comporte son lot de risques.

Enfin, vous pouvez configurer WMI pour analyser et vous alerter des menaces, comme Chad Tilbury l’a démontré dans cette présentation :

Un pouvoir qui ne devrait pas être entre de mauvaises mains

WMI est un gestionnaire de système puissant qui devient un outil dangereux entre de mauvaises mains. Pire encore, aucune connaissance technique n’est requise pour mener une attaque persistante. Des instructions sur la création et le lancement d’attaques persistantes WMI sont disponibles gratuitement sur Internet.

Ainsi, toute personne disposant de ces connaissances et d’un accès court à votre réseau peut vous espionner à distance ou voler des données avec à peine une empreinte numérique. Cependant, la bonne nouvelle est qu’il n’y a pas d’absolu en matière de technologie et de cybersécurité. Il est toujours possible d’empêcher et de supprimer la persistance WMI avant qu’un attaquant ne cause des dommages majeurs.

Mathieu
Lire aussi :  Comment restaurer et mettre à l'échelle des images gratuitement avec l'intelligence artificielle

Laisser un commentaire

Publicité :