PIXEL FACEBOOK
logo-blanco

Cómo buscar y eliminar el malware de persistencia WMI de una PC con Windows

El malware de persistencia WMI puede estar al acecho en su computadora a simple vista. Afortunadamente, es fácil deshacerse de él desde una PC con Windows.

Fotografía de primer plano de teclas de teclado de computadora negras y verdes

Microsoft creó el Instrumental de administración de Windows (WMI) para administrar cómo las computadoras con Windows asignan recursos en un entorno operativo. WMI también hace otra cosa importante: facilita el acceso local y remoto a las redes informáticas.

Desafortunadamente, los piratas informáticos de sombrero negro pueden hacer un mal uso de esta capacidad con fines maliciosos a través de un ataque persistente. Como tal, aquí se explica cómo eliminar la persistencia de WMI de Windows y protegerse.

¿Qué es la persistencia de WMI y por qué es peligrosa?

La persistencia de WMI se refiere a un atacante que instala un script, específicamente un detector de eventos, que siempre se activa cuando ocurre un evento de WMI. Por ejemplo, sucederá cuando el sistema se inicie o el administrador del sistema haga algo en la PC, como abrir una carpeta o usar un programa.

Los ataques persistentes son peligrosos porque son sigilosos. Como se explica en Microsoft Scripting, el atacante crea una suscripción de eventos WMI permanente que ejecuta una carga útil que se ejecuta como un proceso del sistema y limpia los registros de su ejecución; el equivalente técnico de un dodger astuto. Con este vector de ataque, el atacante puede evitar el descubrimiento a través de la auditoría de la línea de comandos.

  Cuidado con el esquema de phishing SEABORGIUM si eres cliente de Microsoft

Cómo prevenir y eliminar la persistencia de WMI

Las suscripciones a eventos de WMI están programadas de forma inteligente para evitar la detección. La mejor manera de evitar ataques persistentes es deshabilitar el servicio WMI. Esto no debería afectar su experiencia de usuario general a menos que sea un usuario avanzado.

La siguiente mejor opción es bloquear los puertos del protocolo WMI configurando DCOM para usar un solo puerto estático y bloqueando ese puerto. Puede consultar nuestra guía sobre cómo cerrar puertos vulnerables para obtener más instrucciones sobre cómo hacerlo.

Esta medida permite que el servicio WMI se ejecute localmente mientras bloquea el acceso remoto. Es una buena idea, especialmente porque acceder a una computadora de forma remota conlleva su propio conjunto de riesgos.

Finalmente, puede configurar WMI para escanear y alertarlo sobre amenazas, como lo demostró Chad Tilbury en esta presentación:

Poder que no debería estar en las manos equivocadas

WMI es un poderoso administrador de sistemas que se convierte en una herramienta peligrosa en las manos equivocadas. Peor aún, no se requieren conocimientos técnicos para llevar a cabo un ataque persistente. Las instrucciones sobre cómo crear y lanzar ataques WMI persistentes están disponibles gratuitamente en Internet.

Entonces, cualquier persona con ese conocimiento y acceso breve a su red puede espiarlo de forma remota o robar datos con apenas una huella digital. Sin embargo, la buena noticia es que no hay absolutos cuando se trata de tecnología y ciberseguridad. Siempre es posible prevenir y eliminar la persistencia de WMI antes de que un atacante cause mucho daño.

Facebook
Twitter
LinkedIn
WhatsApp

Deja una respuesta

Artículos Relacionados

Síguenos
EnglishPortugueseSpanish