なぜか第三者が勝手にPCにログインする。

Question

https://www.cybereason.co.jp/blog/malware/2092/<br>PowerShellにはWinRMを介してリモートで実行する機能があり、これによってさらに魅力的なツールになっています。この機能により、攻撃者はWindows Firewallを通過し、PowerShellスクリプトをリモートで実行するか、単純にPowerShellの対話型セッションにドロップすることで、エンドポイントを完全に制御できるようになります。さらに、WinRMがオフになっている場合、1行のコードを使用して、WMI (Windows Management Instrumentation)を介してリモートからオンにすることができます。<br><br>ファイルレスマルウェア攻撃でPowerShellを使用すると、1台のマシンの侵害と企業全体の侵害との間の境界線が曖昧になります。攻撃者が1台のマシンのユーザー名とパスワードを取得した瞬間(これはPtHおよびPtTセッションで簡単に入手できます)、完全な侵害への道が開かれます。

こんな事が書かれています。 それで、>さらに、WinRMがオフになっている場合、1行のコードを使用して、WMI (Windows Management Instrumentation)を介してリモートからオンにすることができます。とありますが、これは、WinRMのサービスが停止していてもWMIで勝手にリモートからWinRMを起動させるという事ですか？

PowershellでEnable-PSremotingコマンドレッドやNew-PSremotingを使えばリモートのPC等にログイン出来ると思います。しかし、普通、ログインする時にIDとパスかcredentialでログインすると思いますから、パスワードなどがわからない状況でログインできますか？また、WMIは知らないのですが、WMIを使うとパスがわからなくても一行コードでリモートの他人のPC等に勝手にWinRMにログイン出来るのでしょうか？

また、これも、どこかにIDやパスのキャッシュがあり、外部から取得する事も出来るという事なのでしょうか？>攻撃者が1台のマシンのユーザー名とパスワードを取得した瞬間(これはPtHおよびPtTセッションで簡単に入手できます)、

以前、何度も不正アクセスをされたので質問しました。

また、どう対応すれば不正アクセスをされなくなりますか？

OSのデフェンダーとファイアーウォールは動いていましたし、ルーターを置いてPCをネットにつないでいました。

Answer 1

いいえ、先に書いたように、パスワードをかすめ取られないようにする手段です

Windows のサインイン オプションとアカウント保護 - Microsoft サポート

PINにするとパスワード搾取から保護されることについては以下の通り

Windows のサインイン オプションとアカウント保護 - Microsoft サポート

Microsoftアカウントのことであれば、アクティビティで覚えのないPCからのサインインが行われていないかをチェックし、パスワードを変更して2段階認証で保護する

Microsoft アカウントを安全にセキュリティで保護する方法 - Microsoft サポート

被害にあっているなら、ここではありません

例えば、サポート詐欺なら下記のページになります

マイクロソフトのサポートを装った詐欺にご注意ください - News Center Japan (microsoft.com)

Answer 2

それが、OSを入れ替えてもまたやられます。 なんで何度も何度も同じことが繰り返されるのか、どう改善すれば問題は解決するのでしょうか。

問題解決方法は、OSのログイン時にパスワードを使用せずにPINにすればリモートアクセスが無くなるという事でしょうか。 初歩的な話で申し訳ございませんが、パスワード認証をPINに変えるだけでネットワーク越しにログインされなくなるという事ですか？

Answer 3

そこに書かれてあり、引用した文章にあるように、ユーザー・パスワードが漏洩した後の心配事です

どうして漏れたのかは、あなたのPCを直接調査しないとわからないことです

とりあえず。不定期でいいのでパスワードを変更して、

キーローガーや偽の認証でパスワードを搾取されないようにPINなどHelloを使う