Кражбата на идентификационни данни е вид кибератака, при която хакерите се насочват към процеса, който обработва сигурността на Windows. Можете да го оприличите на крадец, който грабва ключовете от дома ви и бързо ги копира. С тези ключове те имат достъп до къщата ви, когато пожелаят. И така, какво правите, когато откриете, че ключовете ви са откраднати? Сменяш ключалките. Ето как да направите еквивалента на това в Windows, за да се борите с кражбата на идентификационни данни.
Какво е Windows LSASS?
Windows Local Security Authority Server Service (LSASS) е процес, който управлява политиката за сигурност на вашия компютър. LSASS валидира влизания, промени на пароли, токени за достъп и административни привилегии за множество потребители на система или сървър.
Мислете за LSASS като за бияч, който проверява личните карти на главната порта и огражда VIP стаите. Без бияч на вратата всеки може да влезе в клуба с фалшива лична карта и нищо не го спира да влиза в забранени зони.
Какво представлява кражбата на идентификационни данни?
LSASS работи като процес, lsass.exe. При зареждане lsass.exe съхранява идентификационни данни за удостоверяване като криптирани пароли, NT хешове, LM хешове и Kerberos билети в паметта. Съхраняването на тези идентификационни данни в паметта позволява на потребителите да имат достъп и да споделят файлове по време на активни сесии на Windows, без да въвеждат повторно идентификационните данни всеки път, когато трябва да изпълнят задача.
Кражбата на идентификационни данни е, когато нападателите използват инструменти като Mimikatz, за да изтрият, преместят, редактират или заменят истинския файл lsass.exe. Други популярни инструменти за кражба на идентификационни данни включват Crackmapexec и Lsassy.
Как хакерите крадат LSASS идентификационни данни
Обикновено при кражба на идентификационни данни нападателите осъществяват отдалечен достъп до компютъра на жертвата – хакерите получават отдалечен достъп по няколко начина. Междувременно извличането или извършването на промени в LSASS изисква администраторски привилегии. Така че първата работа на нападателя ще бъде да повиши своите привилегии. С този достъп те могат да инсталират злонамерен софтуер, за да изхвърлят процеса LSASS, да изтеглят дъмпа и да извличат идентификационните данни локално от него.
Microsoft Defender обаче стана по-ефективен при идентифицирането и премахването на зловреден софтуер, което означава, че хакерите са склонни да прибягват до Да живееш от земните атаки. Тук атакуващият отвлича уязвими собствени приложения на Windows и ги използва, за да ограби идентификационните данни в LSASS.
Например, използвайки диспечера на задачите, нападателят може да отвори диспечера на задачите, да превърти надолу до „Процеси на Windows“ и да намери „Локални Процес на органа по сигурността.“ Щракването с десния бутон върху това дава на атакуващия опцията да създаде дъмп файл или да отвори файла местоположение. Решението на нападателя от тук нататък зависи от неговите цели. Те могат да изтеглят дъмп файла, за да извлекат идентификационни данни или да заменят истинския lsass.exe с фалшив.
Кражба на идентификационни данни: Как да проверите и какво да направите
Когато става въпрос за проверка дали сте били жертва на атака за кражба на идентификационни данни, ето пет начина, по които можете да разберете.
1. Lsass.exe използва много хардуерни ресурси
Заредете диспечера на задачите и проверете използването на процесора и паметта на процеса. Обикновено този процес трябва да използва 0 процента от вашия процесор и около 5 MB памет. Ако видите силно използване на процесора и повече от 10 MB използване на паметта и не сте извършили действие, свързано със сигурността, като промяна на данните ви за вход наскоро, тогава има нещо нередно.
В този случай използвайте диспечера на задачите, за да прекратите процеса. След това отидете до местоположението на файла и Shift + Delete файлът. Истинският процес би довел до грешка, но фалшивият не би, така че ще знаете със сигурност. Освен това, за да сте сигурни, трябва вижте Историята на файловете за да сте сигурни, че Windows не е запазил резервно копие.
2. Lsass.exe е грешно изписан
Както при типоскуотинг, хакерите често преименуват процесите, които са отвлекли, за да изглеждат като истинските. В този случай нападателят може умело да назове фалшивия процес с главна буква „i“, за да имитира появата на малка буква „L“. Конверторът на главни и малки букви може да ви помогне лесно да откриете файла измамник. Фалшивото име на процес може също да има допълнително „a“ или „s“. Ако видите подобни грешно изписани процеси, Shift + Delete файла и продължете с История на файловете, за да премахнете резервни копия.
3. Lsass.exe е в друга папка
Ще трябва да преминете през диспечера на задачите тук. Отворете Диспечер на задачите> Процеси на Windowsи потърсете „Процес на местния орган за сигурност“. След това щракнете с десния бутон върху процеса, за да видите вашите опции и да изберете Отворете местоположението на файла. Истинският файл lsass.exe ще бъде в папката "C:\Windows\System32". Файл на друго място най-вероятно е зловреден софтуер; Премахни го.
4. Повече от един Lsass процес или файл
Когато използвате диспечера на задачите за проверка, трябва да видите само един „Процес на местния орган за сигурност“. Нормално е този процес да има активни дейности, когато щракнете върху падащия бутон. Въпреки това, ако видите да се изпълняват повече от един процес на местен орган за сигурност, има вероятност да сте били жертва на кражба на идентификационни данни. Същото важи и за виждането на повече от един файл lsass.exe, когато отидете до местоположението на файла. В този случай опитайте да изтриете файловете. Истинският lsass.exe ще изведе грешка, ако се опитате да го изтриете.
5. Файлът Lsass.exe е твърде голям
Файловете Lsass.exe са малки – този на нашата машина, работеща под Windows 11, е 83 KB. Компютърът с Windows 10, който проверихме, има един голям 60 KB. Така че файловете lsass.exe са малки. Разбира се, нападателите знаят, че големият файл Lsass.exe е безпроблемен, така че обикновено правят своите полезни натоварвания малки. Следователно малък размер на файла, съответстващ на нашите ценности, не ви казва много. Въпреки това, ако вземете предвид гореспоменатите сигнални знаци, можете лесно да забележите прикрития злонамерен софтуер.
Как да предотвратите кражба на идентификационни данни чрез Windows LSASS
Сигурността на компютрите с Windows продължава да се подобрява, но кражбата на идентификационни данни все още е мощна заплаха, особено за стари устройства, работещи с остарели операционни системи или нови, изостанали в софтуера актуализации. Ето три начина за предотвратяване на кражба на идентификационни данни за ненапреднали потребители на Windows.
Изтеглете и инсталирайте най-новите актуализации за защита
Актуализациите за защита коригират уязвимости, които нападателите могат да използват, за да превземат компютъра ви. Поддържането на устройствата във вашата мрежа актуални намалява риска от хакване. Така че, настройте компютъра си автоматично да изтегля и инсталира актуализации на Windows веднага щом станат достъпни. Вие също трябва да получите актуализации за сигурност за програми на трети страни на вашия компютър.
Използвайте Windows Defender Credential Guard
Windows Defender Credential Guard е защитна функция, която създава изолиран LSASS процес (LSAIso). Всички идентификационни данни се съхраняват сигурно в този изолиран процес, който от своя страна комуникира с основния процес LSASS за валидиране на потребителите. Това защитава целостта на вашите идентификационни данни и не позволява на хакерите да откраднат ценни данни в случай на атака.
Credential Guard се предлага във версиите Enterprise и Pro на Windows 10 и Windows 11, както и в избрани версии на Windows Servers. Тези устройства също трябва да отговарят строги изисквания като Secure Boot и 64-битова виртуализация. Трябва да активирате тази функция ръчно, тъй като не е активирана по подразбиране.
Деактивирайте достъпа до отдалечен работен плот
Отдалеченият работен плот позволява на вас и други упълномощени лица да използвате компютър, без да сте на едно и също физическо място. Това е чудесно, когато искате да получите файлове от работно устройство на домашната си машина или когато техническата поддръжка иска да ви помогне да отстраните проблем, който не можете да опишете точно. Въпреки удобството, достъпът до отдалечен работен плот също ви оставя уязвими на атаки.
За да деактивирате отдалечения достъп, натиснете Windows ключ след това въведете „дистанционни настройки“. Изберете „Разрешаване на отдалечен достъп до вашия компютър и махнете отметката от „Разрешаване на свързване на отдалечена помощ към този компютър“ в диалоговия прозорец.
Вие също искате да проверите и премахнете софтуер за отдалечен достъп като TeamViewer, AeroAdmin и AnyDesk. Тези програми не само увеличават излагането ви на често срещан злонамерен софтуер и атаки за уязвимост, но и атаки Living off the Land—където хакерите експлоатират предварително инсталирани програми, за да извършат атака.
Нападателите искат ключовете от къщата, но вие можете да ги спрете
LSASS държи ключовете на вашия компютър. Компрометирането на този процес позволява на нападателите да получат достъп до тайните на вашето устройство по всяко време. Най-лошото е, че те имат достъп до него, сякаш са легитимен потребител. Въпреки че можете да намерите и премахнете тези натрапници, най-добре е да ги предотвратите на първо място. Поддържането на вашето устройство актуализирано и коригирането на настройките за сигурност ви помага да постигнете тази цел.
