欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

零C++基础,打造Windows事件钩子:对WMI的深入分析

来源:本站整理 作者:佚名 时间:2017-08-08 TAG: 我要投稿
至此,我们已经了解攻击者是如何使用WMI和MOF脚本来执行想要的操作。可以在特定的时间(用于决定何时从目标系统中获取信息)、进程或服务启动/停止时(用于停用安全产品)、某个文件被写入或删除时、Windows登录时去执行指定的操作。
如何防范
我们已经知道WMI攻击有多强大,接下来的问题就是如何去防范此类攻击。最重要的是,管理员需要了解系统中正在运行的内容。具体而言,需要知道在系统中注册了哪些事件,以便监控它们的创建和删除。用户可以使用以下PowerShell命令列出Event Consumers、Event Filters和Filter To Consumer Bindings:

gwmi -Namespace "root/subscription" -Class __EventFilter gwmi -Namespace "root/subscription" -Class __EventConsumer gwmi -Namespace "root/subscription" -Class __FilterToConsumerBinding
可以使用下列命令删除事件:

gwmi -Namespace "root/subscription" -Class __EventConsumer | where name -eq "" | Remove-WmiObject gwmi -Namespace "root/subscription" -Class __EventFilter | where name -eq "" | Remove-WmiObject
我们还可以编写自己的脚本,监视系统事件并删除不应该存在的所有内容。此外,还可以使用Windows的事件跟踪器来跟踪WMI活动。
 
总结
众所周知,每一个强大的工具,都有其正反两面。目前,WMI攻击已经被一些恶意软件使用,例如Wiper(在索尼影业泄密事件中被用于横向移动)、Flame(通过一个MOF文件执行使用rundll32的DLL)、Kjw0rm(在法国TV5Monde网络攻击事件中被用于获取系统信息)、PowerWorm(持续感染U盘文件的恶意软件)和Operation Mangal(安装自定义的恶意软件)等。
希望通过本文,能让大家了解到WMI的作用,能充分意识到其潜在的危险,并将其加入到大家的威胁模型之中
 

上一页  [1] [2] [3] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载