Furtul de acreditări este un tip de atac cibernetic în care hackerii vizează procesul care gestionează securitatea Windows. Îl poți asemăna cu un hoț care îți glisează cheile casei și le copie rapid. Cu aceste chei, au acces la casa ta oricând doresc. Deci, ce faci când descoperi că ți-au furat cheile? Schimbați încuietorile. Iată cum să faci echivalentul pe Windows pentru a combate furtul de acreditări.
Ce este Windows LSASS?
Serviciul Windows Local Security Authority Server (LSASS) este un proces care gestionează politica de securitate a computerului dvs. LSASS validează login-urile, modificările parolei, jetoanele de acces și privilegiile administrative pentru mai mulți utilizatori pe un sistem sau server.
Gândiți-vă la LSASS ca la bouncer care verifică actele de identitate la poarta principală și izolează camerele VIP. Fără un bouncer la ușă, oricine poate intra în club cu un act de identitate fals și nimic nu-i împiedică să intre în zonele restricționate.
Ce este furtul de acreditări?
LSASS rulează ca un proces, lsass.exe. La pornire, lsass.exe stochează în memorie acreditările de autentificare precum parole criptate, hash-uri NT, hash-uri LM și bilete Kerberos. Stocarea acestor acreditări în memorie le permite utilizatorilor să acceseze și să partajeze fișiere în timpul sesiunilor active Windows fără a reintroduce acreditările de fiecare dată când trebuie să îndeplinească o sarcină.
Furtul de acreditări este atunci când atacatorii folosesc instrumente precum Mimikatz pentru a șterge, muta, edita sau înlocui fișierul real lsass.exe. Alte instrumente populare de furt de acreditări includ Crackmapexec și Lsassy.
Cum fură hackerii acreditările LSASS
De obicei, în cazul furtului de acreditări, atacatorii accesează de la distanță computerul victimei — hackerii obțin acces de la distanță în mai multe moduri. Între timp, extragerea sau efectuarea de modificări în LSASS necesită privilegii de administrator. Deci, prima ordine a atacatorului va fi să-și ridice privilegiile. Cu acest acces, ei pot instala malware pentru a descărca procesul LSASS, a descărca descărcarea și a extrage acreditările local din acesta.
Cu toate acestea, Microsoft Defender a devenit mai eficient în identificarea și eliminarea programelor malware, ceea ce înseamnă că hackerii tind să recurgă Trăind din atacurile Landului. Aici, atacatorul deturnează aplicațiile Windows native vulnerabile și le folosește pentru a jefui acreditările în LSASS.
De exemplu, folosind Task Manager, un atacator poate deschide Task Manager, derula în jos la „Procese Windows” și poate găsi „Local Procesul Autorității de Securitate.” Făcând clic dreapta pe acesta, atacatorul are opțiunea de a crea un fișier dump sau de a deschide fișierul Locație. Decizia atacatorului de aici încolo depinde de obiectivele lor. Ei pot descărca fișierul dump pentru a extrage acreditările sau pot înlocui lsass.exe real cu unul fals.
Furtul de acreditări: cum să verificați și ce să faceți
Când vine vorba de a verifica dacă ați fost victima unui atac de furt de acreditări, iată cinci moduri în care puteți afla.
1. Lsass.exe utilizează o mulțime de resurse hardware
Încărcați Managerul de activități și verificați procesul CPU și utilizarea memoriei. În mod normal, acest proces ar trebui să utilizeze 0% din CPU și aproximativ 5 MB de memorie. Dacă observați o utilizare intensă a procesorului și o utilizare a memoriei mai mare de 10 MB și nu ați efectuat o acțiune legată de securitate, cum ar fi modificarea detaliilor de conectare recent, atunci este ceva în neregulă.
În acest caz, utilizați Managerul de activități pentru a încheia procesul. Apoi, mergeți la locația fișierului și Shift + Delete fișierul. Procesul real ar arunca o eroare, dar una falsă nu, așa că ați ști sigur. De asemenea, pentru a fi sigur, ar trebui verificați Istoricul fișierelor pentru a vă asigura că Windows nu a păstrat o copie de rezervă.
2. Lsass.exe este greșit
Ca în typosquatting, hackerii redenumesc adesea procesele pe care le-au deturnat pentru a arăta ca cele reale. În acest caz, un atacator poate denumi în mod inteligent procesul fals cu un „i” majuscul pentru a imita aspectul „L” mic. Un convertor de cazuri vă poate ajuta să identificați cu ușurință fișierul impostor. Numele fals al procesului poate avea și un „a” sau „s” în plus. Dacă vedeți astfel de procese greșite, Shift + Delete fișierul și urmăriți cu Istoricul fișierelor pentru a elimina copiile de rezervă.
3. Lsass.exe se află într-un alt folder
Va trebui să treceți prin Task Manager aici. Deschis Gestionar de sarcini> Procese Windowsși căutați „Procesul autorității locale de securitate”. Apoi, faceți clic dreapta pe proces pentru a vedea opțiunile și alegeți Deschide locația fișierului. Fișierul real lsass.exe va fi în folderul „C:\Windows\System32”. Un fișier în orice altă locație este cel mai probabil malware; scoateți-l.
4. Mai mult de un proces sau fișier Lsass
Când utilizați Managerul de activități pentru a verifica, ar trebui să vedeți doar un „Proces de autoritate locală de securitate”. Este normal ca acest proces să aibă activități care rulează atunci când faceți clic pe butonul drop-down. Cu toate acestea, dacă vedeți mai multe procese ale autorităților locale de securitate în curs de desfășurare, probabil că ați fost victima furtului de acreditări. Același lucru este valabil și pentru a vedea mai mult de un fișier lsass.exe atunci când accesați locația fișierului. În acest caz, încercați să ștergeți fișierele. Adevăratul lsass.exe va genera o eroare dacă încercați să-l ștergeți.
5. Fișierul Lsass.exe este prea mare
Fișierele Lsass.exe sunt mici – cel de pe mașina noastră care rulează pe Windows 11 are 83 KB. Computerul cu Windows 10 pe care l-am verificat are unul de 60 KB mare. Deci fișierele lsass.exe sunt mici. Bineînțeles, atacatorii știu că un fișier Lsass.exe mare este un dezavantaj, așa că, în general, își fac sarcinile mici. Prin urmare, o dimensiune mică a fișierului, în concordanță cu valorile noastre, nu vă spune prea multe. Cu toate acestea, dacă luați în considerare semnele indicatoare menționate mai sus, puteți identifica cu ușurință malware-ul deghizat.
Cum să preveniți furtul de acreditări prin Windows LSASS
Securitatea pe computerele Windows continuă să se îmbunătățească, dar furtul de acreditări este încă unul puternic amenințare, în special pentru dispozitivele vechi care rulează sisteme de operare învechite sau altele noi în urmă în software actualizări. Iată trei moduri de a preveni furtul de acreditări pentru utilizatorii Windows neavansați.
Descărcați și instalați cele mai recente actualizări de securitate
Actualizările de securitate corectează vulnerabilitățile pe care atacatorii le pot exploata pentru a prelua computerul. Menținerea la zi a dispozitivelor din rețea reduce riscul de a fi piratat. Așadar, setați computerul să descarce și să instaleze automat actualizările Windows de îndată ce acestea devin disponibile. Ar trebui să primești și tu actualizări de securitate pentru programe terțe de pe computer.
Utilizați Windows Defender Credential Guard
Windows Defender Credential Guard este o caracteristică de securitate care creează un proces LSASS izolat (LSAIso). Toate acreditările sunt stocate în siguranță în acest proces izolat, care, la rândul său, comunică cu procesul principal LSASS pentru a valida utilizatorii. Acest lucru vă protejează integritatea acreditărilor și împiedică hackerii să fure date valoroase în cazul unui atac.
Credential Guard este disponibil pe versiunile Enterprise și Pro ale Windows 10 și Windows 11, precum și pe versiuni selectate de servere Windows. Aceste dispozitive trebuie, de asemenea, să se îndeplinească cerințe stricte precum Secure Boot și virtualizarea pe 64 de biți. Trebuie să activați această funcție manual, deoarece nu este activată în mod implicit.
Dezactivați accesul la desktop la distanță
Desktop la distanță vă permite dvs. și altor persoane autorizate să utilizați un computer fără a vă afla în aceeași locație fizică. Este grozav atunci când doriți să obțineți fișiere de pe un dispozitiv de lucru pe aparatul dvs. de acasă sau când asistența tehnică dorește să vă ajute să remediați o problemă pe care nu o puteți descrie exact. În ciuda confortului, accesul la desktop la distanță te lasă și el vulnerabile la atacuri.
Pentru a dezactiva accesul la distanță, apăsați tasta Tasta Windows apoi tastați „setări la distanță”. Selectați „Permiteți accesul de la distanță la computerul dvs. și debifați „Permiteți conexiunea de asistență la distanță la acest computer” în caseta de dialog.
De asemenea, doriți să verificați și să eliminați software de acces la distanță cum ar fi TeamViewer, AeroAdmin și AnyDesk. Aceste programe nu numai că vă măresc expunerea la atacurile comune de malware și vulnerabilități, ci și atacurile Living off the Land, unde hackerii exploatează programe preinstalate pentru a efectua un atac.
Atacatorii vor cheile casei, dar tu îi poți opri
LSASS deține cheile computerului dvs. Dacă compromiteți acest proces, atacatorii pot accesa în orice moment secretele dispozitivului dvs. Partea cea mai rea este că îl pot accesa ca și cum ar fi un utilizator legitim. Deși puteți găsi și elimina acești intruși, cel mai bine este să îi preveniți în primul rând. Menținerea dispozitivului actualizat și ajustarea setărilor de securitate vă ajută să atingeți acest obiectiv.
