COMODO怎么防通过《WMI》的无文件攻击？

显示全部楼层 · 发表于 2019-1-6 11:20:47

本帖最后由啦啦啦的吗西亚于 2019-1-6 11:23 编辑

显示全部楼层 · 发表于 2019-1-6 12:46:44

对的，大胆拦截

显示全部楼层 · 发表于 2019-1-6 18:17:21

WMI则是重灾区，WMI内置于操作系统中，并允许攻击者通过wmic.exe并配合PowerShell脚本直接跟终端进行交互,其中 powershell.exe、cscript.exe、cmd.exe和mshta.exe 必须管理.
无文件攻击其实就是脚本攻击技术.

显示全部楼层 · 发表于 2019-1-6 18:43:05

KK院长发表于 2019-1-6 18:17
WMI则是重灾区，WMI内置于操作系统中，并允许攻击者通过wmic.exe并配合PowerShell脚本直接跟终端进行交互, ...

wmic.exe这个用不用加进去？

显示全部楼层 · 发表于 2019-1-6 19:12:49

本帖最后由 con16 于 2019-1-6 19:15 编辑

你有開自動沙盒不用加
腳本或惡意程式觸發wmic.exe這類的都會一起隔離進去

显示全部楼层 · 发表于 2019-1-6 23:58:23

本帖最后由 HEMM 于 2019-1-6 23:59 编辑

wmic.exe........这个我似乎没管过......
cmd和powershell被我降权了....反正平时也不用，只有游戏用的到cmd......
看了下大略，确实没有该进程的规则......

显示全部楼层 · 发表于 2019-1-9 08:13:40

羽扇纶巾发表于 2019-1-6 12:46
对的，大胆拦截

好强，还拦截啥？分享否？

显示全部楼层 · 发表于 2019-2-15 01:26:13

按默认的来就可以了，不用担心太多

显示全部楼层 · 发表于 2019-3-10 00:31:04

KK院长发表于 2019-1-6 18:17
WMI则是重灾区，WMI内置于操作系统中，并允许攻击者通过wmic.exe并配合PowerShell脚本直接跟终端进行交互, ...

正解

显示全部楼层 · 发表于 2019-3-10 09:11:39

这个问题，空口讨论，有点抽象。楼主有心的话，样本区找点实际样本，测试一下比较清楚。理论上的说明，3楼解释的不错。

[求助] COMODO怎么防通过《WMI》的无文件攻击？