Kradzież poświadczeń to rodzaj cyberataku, w którym hakerzy atakują proces obsługujący zabezpieczenia systemu Windows. Można to porównać do złodzieja, który wykrada klucze do domu i szybko je kopiuje. Dzięki tym kluczom mają dostęp do Twojego domu, kiedy tylko chcą. Co więc robisz, gdy odkrywasz, że klucze zostały skradzione? Zmieniasz zamki. Oto jak zrobić odpowiednik tego w systemie Windows, aby walczyć z kradzieżą danych uwierzytelniających.
Co to jest usługa LSASS systemu Windows?
Windows Local Security Authority Server Service (LSASS) to proces zarządzający zasadami bezpieczeństwa komputera. LSASS weryfikuje loginy, zmiany haseł, tokeny dostępu i uprawnienia administracyjne dla wielu użytkowników w systemie lub na serwerze.
Pomyśl o LSASS jako o bramkarzu, który sprawdza identyfikatory przy głównej bramie i odgradza pokoje VIP. Bez bramkarza przy drzwiach każdy może wejść do klubu z fałszywym dowodem osobistym i nic nie stoi na przeszkodzie, by wejść do stref zastrzeżonych.
Co to jest kradzież danych uwierzytelniających?
LSASS działa jako proces, lsass.exe. Po uruchomieniu lsass.exe przechowuje w pamięci dane uwierzytelniające, takie jak zaszyfrowane hasła, skróty NT, skróty LM i bilety Kerberos. Przechowywanie tych poświadczeń w pamięci umożliwia użytkownikom dostęp do plików i udostępnianie ich podczas aktywnych sesji systemu Windows bez ponownego wprowadzania poświadczeń za każdym razem, gdy muszą wykonać zadanie.
Kradzież danych uwierzytelniających ma miejsce, gdy osoby atakujące używają narzędzi takich jak Mimikatz do usuwania, przenoszenia, edytowania lub zastępowania prawdziwego pliku lsass.exe. Inne popularne narzędzia do kradzieży danych uwierzytelniających to Crackmapexec i Lsassy.
Jak hakerzy kradną dane uwierzytelniające LSASS
Zwykle podczas kradzieży danych uwierzytelniających osoby atakujące uzyskują zdalny dostęp do komputera ofiary — hakerzy uzyskują zdalny dostęp na kilka sposobów. Tymczasem wyodrębnianie lub wprowadzanie zmian w LSASS wymaga uprawnień administratora. Tak więc pierwszym zadaniem atakującego będzie podniesienie jego uprawnień. Dzięki temu dostępowi mogą instalować złośliwe oprogramowanie w celu zrzutu procesu LSASS, pobrać zrzut i lokalnie wyodrębnić z niego poświadczenia.
Jednak Microsoft Defender stał się bardziej skuteczny w identyfikowaniu i usuwaniu złośliwego oprogramowania, co oznacza, że hakerzy często się do niego uciekają Życie z ataków lądowych. W tym przypadku atakujący przejmuje podatne na ataki natywne aplikacje systemu Windows i używa ich do grabieży danych uwierzytelniających w LSASS.
Na przykład za pomocą Menedżera zadań osoba atakująca może otworzyć Menedżera zadań, przewinąć w dół do „Procesów systemu Windows” i znaleźć „Lokalny Proces organu bezpieczeństwa”. Kliknięcie tego prawym przyciskiem myszy daje osobie atakującej opcję utworzenia pliku zrzutu lub otwarcia pliku Lokalizacja. Od tego momentu decyzja atakującego zależy od jego celów. Mogą pobrać plik zrzutu, aby wyodrębnić poświadczenia lub zastąpić prawdziwy plik lsass.exe fałszywym.
Kradzież poświadczeń: jak sprawdzić i co robić
Jeśli chodzi o sprawdzenie, czy padłeś ofiarą ataku polegającego na kradzieży danych uwierzytelniających, oto pięć sposobów, aby się tego dowiedzieć.
1. Lsass.exe zużywa dużo zasobów sprzętowych
Załaduj Menedżera zadań i sprawdź użycie procesora i pamięci procesu. Zwykle ten proces powinien zużywać 0 procent procesora i około 5 MB pamięci. Jeśli widzisz duże użycie procesora i więcej niż 10 MB pamięci, a nie wykonałeś ostatnio czynności związanej z bezpieczeństwem, takiej jak zmiana danych logowania, oznacza to, że coś jest nie tak.
W takim przypadku użyj Menedżera zadań, aby zakończyć proces. Następnie przejdź do lokalizacji pliku i Shift + Usuń plik. Prawdziwy proces spowodowałby błąd, ale fałszywy nie, więc będziesz wiedział na pewno. Także dla pewności powinieneś sprawdź historię plików aby upewnić się, że system Windows nie zachował kopii zapasowej.
2. Lsass.exe ma błędną pisownię
Jak w typosquattingu, hakerzy często zmieniają nazwy procesów, które przejęli, aby wyglądały jak te rzeczywiste. W takim przypadku osoba atakująca może sprytnie nazwać fałszywy proces wielką literą „i”, aby naśladować wygląd małej litery „L”. Konwerter przypadków może pomóc łatwo wykryć plik oszusta. Fałszywa nazwa procesu może również zawierać dodatkowe „a” lub „s”. Jeśli zobaczysz takie błędnie napisane procesy, Shift + Usuń plik i przejdź do Historii plików, aby usunąć kopie zapasowe.
3. Lsass.exe znajduje się w innym folderze
Musisz przejść przez Menedżera zadań tutaj. otwarty Menadżer zadań> Procesy systemu Windowsi wyszukaj „Proces organu bezpieczeństwa lokalnego”. Następnie kliknij proces prawym przyciskiem myszy, aby wyświetlić opcje i wybrać Otwórz lokalizację pliku. Prawdziwy plik lsass.exe będzie znajdował się w folderze „C:\Windows\System32”. Plik w dowolnej innej lokalizacji to najprawdopodobniej złośliwe oprogramowanie; usunąć to.
4. Więcej niż jeden proces lub plik Lsass
Gdy używasz Menedżera zadań do sprawdzenia, powinieneś zobaczyć tylko jeden "Proces lokalnego urzędu bezpieczeństwa". To normalne, że ten proces ma uruchomione działania po kliknięciu przycisku rozwijanego. Jeśli jednak zobaczysz uruchomiony więcej niż jeden proces lokalnego urzędu bezpieczeństwa, istnieje duże prawdopodobieństwo, że padłeś ofiarą kradzieży danych uwierzytelniających. To samo dotyczy wyświetlania więcej niż jednego pliku lsass.exe po przejściu do lokalizacji pliku. W takim przypadku spróbuj usunąć pliki. Prawdziwy lsass.exe zgłosi błąd, jeśli spróbujesz go usunąć.
5. Plik Lsass.exe jest za duży
Pliki Lsass.exe są małe — ten na naszym komputerze z systemem Windows 11 ma rozmiar 83 KB. Komputer z systemem Windows 10, który sprawdziliśmy, ma jeden rozmiar 60 KB. Więc pliki lsass.exe są małe. Oczywiście napastnicy wiedzą, że duży plik Lsass.exe to śmiertelna gratka, więc generalnie ograniczają swoje ładunki. Mały rozmiar pliku zgodny z naszymi wartościami nie mówi więc wiele. Jeśli jednak weźmiesz pod uwagę wyżej wymienione znaki ostrzegawcze, możesz łatwo wykryć złośliwe oprogramowanie w przebraniu.
Jak zapobiegać kradzieży poświadczeń za pośrednictwem systemu Windows LSASS
Bezpieczeństwo na komputerach z systemem Windows stale się poprawia, ale kradzież danych uwierzytelniających jest nadal potężna zagrożenie, szczególnie w przypadku starych urządzeń z przestarzałymi systemami operacyjnymi lub nowymi, opóźnionymi w oprogramowaniu aktualizacje. Oto trzy sposoby zapobiegania kradzieży poświadczeń dla niezaawansowanych użytkowników systemu Windows.
Pobierz i zainstaluj najnowsze aktualizacje zabezpieczeń
Aktualizacje zabezpieczeń łatają luki w zabezpieczeniach, które atakujący mogą wykorzystać do przejęcia komputera. Aktualizowanie urządzeń w sieci zmniejsza ryzyko włamania. Dlatego ustaw komputer tak, aby automatycznie pobierał i instalował aktualizacje systemu Windows, gdy tylko staną się dostępne. Powinieneś też dostać aktualizacje zabezpieczeń dla programów innych firm na twoim komputerze.
Użyj zabezpieczenia poświadczeń usługi Windows Defender
Ochrona poświadczeń usługi Windows Defender to funkcja bezpieczeństwa, która tworzy izolowany proces LSASS (LSAIso). Wszystkie poświadczenia są bezpiecznie przechowywane w tym izolowanym procesie, który z kolei komunikuje się z głównym procesem LSASS w celu weryfikacji użytkowników. Chroni to integralność Twoich danych uwierzytelniających i uniemożliwia hakerom kradzież cennych danych w przypadku ataku.
Funkcja Credential Guard jest dostępna w wersjach Enterprise i Pro systemów Windows 10 i Windows 11, a także w wybranych wersjach serwerów Windows. Urządzenia te muszą również spełniać surowe wymagania jak Bezpieczny rozruch i 64-bitowa wirtualizacja. Musisz włączyć tę funkcję ręcznie, ponieważ domyślnie nie jest włączona.
Wyłącz dostęp do pulpitu zdalnego
Pulpit zdalny umożliwia Tobie i innym upoważnionym osobom korzystanie z komputera bez przebywania w tej samej fizycznej lokalizacji. Jest to świetne rozwiązanie, gdy chcesz pobrać pliki z urządzenia służbowego na komputer domowy lub gdy pomoc techniczna chce pomóc Ci rozwiązać problem, którego nie możesz dokładnie opisać. Pomimo wygody zdalny dostęp do pulpitu również Cię opuszcza podatny na ataki.
Aby wyłączyć zdalny dostęp, naciśnij Klucz Windowsa następnie wpisz „ustawienia zdalne”. Wybierz „Zezwalaj na zdalny dostęp do komputera i odznacz„ Zezwalaj na połączenie Pomocy zdalnej z tym komputerem” w oknie dialogowym.
Chcesz również sprawdzić i usunąć oprogramowanie do zdalnego dostępu takich jak TeamViewer, AeroAdmin i AnyDesk. Programy te nie tylko zwiększają narażenie na typowe złośliwe oprogramowanie i ataki wykorzystujące luki w zabezpieczeniach, ale także ataki Living off the Land — w których hakerzy wykorzystują wstępnie zainstalowane programy do przeprowadzenia ataku.
Napastnicy chcą kluczy do domu, ale możesz ich powstrzymać
LSASS przechowuje klucze do twojego komputera. Naruszenie tego procesu umożliwia atakującym uzyskanie dostępu do tajemnic urządzenia w dowolnym momencie. Najgorsze jest to, że mogą uzyskać do niego dostęp tak, jakby byli legalnymi użytkownikami. Chociaż możesz znaleźć i usunąć tych intruzów, najlepiej jest przede wszystkim im zapobiegać. Aktualizowanie urządzenia i dostosowywanie ustawień zabezpieczeń pomaga osiągnąć ten cel.
