Comments 16
Так, как быстро проверить наличие этой вредины для нубов?
Это резонный вопрос! Насколько быстро и оперативно, не могу сказать. Вот вредина, как Вы говорите, работает и никак не проявляет себя. Либо должны задетектить внешние проявления, либо Вы должны знать конкретно, где и что искать, а это не просто. Когда малварь закрепилась и закрепилась нетривиально, без повода ее найти, увы, достаточно не просто.
Сейчас современный подход строится больше на предотвращении угроз. На основе известных угроз искать подобные, предотвращать и обнаруживать их. А более продвинутый вариант, не отставать от атакующих и хантить новые угрозы, то есть стараться предвидеть их и соответственно строить свою защиту проактивно.
То есть зная про такую угрозу, если у Вас есть EDR, то, конечно, будете мониторить события, связанные с вызовами mofcomp.exe, строить какие-то правила для этого
Либо радикальный вариант, если это возможно, запретить WMI совсем.
Я не автор, но подозреваю, что информация вот отсюда - https://docs.microsoft.com/en-us/windows/win32/wmisdk/tracing-wmi-activity - может помочь.
Как вариант, можно использовать утилиту Autoruns от Sysinternals
wmic job list
показывает такие задачи?
У меня все события в этом логе имеют код 5857.
Autoruns имеет отдельную вкладку wmi.
Читается на одном дыхании, как детектив. Автору и переводчику огромное спасибо.
Анализ вредоносных программ. Интересные трюки