Kredencialų vagystė yra kibernetinės atakos rūšis, kai įsilaužėliai taikosi į procesą, kuris tvarko „Windows“ saugą. Galite palyginti tai su vagimi, braukiančiu jūsų namų raktus ir greitai juos nukopijuojančiu. Su šiais raktais jie gali patekti į jūsų namus, kai tik nori. Taigi, ką daryti, kai pamatysite, kad jūsų raktai pavogti? Keičiate spynas. Štai kaip tai padaryti „Windows“ sistemoje, kad būtų išvengta kredencialų vagystės.
Kas yra „Windows LSASS“?
„Windows Local Security Authority Server Service“ (LSASS) yra procesas, valdantis jūsų kompiuterio saugos politiką. LSASS patvirtina kelių sistemos ar serverio naudotojų prisijungimus, slaptažodžių keitimus, prieigos žetonus ir administravimo teises.
Pagalvokite apie LSASS kaip atšokėją, kuris tikrina asmens dokumentus prie pagrindinių vartų ir atitveria VIP kambarius. Neturint atmuštuvo prie durų, kiekvienas gali patekti į klubą su padirbtu asmens tapatybės dokumentu ir niekas netrukdo patekti į draudžiamas zonas.
Kas yra kredencialų vagystė?
LSASS veikia kaip procesas, lsass.exe. Paleidus lsass.exe atmintyje išsaugo autentifikavimo kredencialus, tokius kaip užšifruoti slaptažodžiai, NT maišos, LM maišos ir Kerberos bilietai. Išsaugodami šiuos kredencialus atmintyje, vartotojai gali pasiekti ir bendrinti failus aktyvių „Windows“ seansų metu, kiekvieną kartą neįvedant kredencialų kiekvieną kartą, kai reikia atlikti užduotį.
Kredencialų vagystė yra tada, kai užpuolikai naudoja tokius įrankius kaip Mimikatz, kad ištrintų, perkeltų, redaguotų arba pakeistų tikrąjį lsass.exe failą. Kiti populiarūs kredencialų vagystės įrankiai yra „Crackmapexec“ ir „Lsassy“.
Kaip įsilaužėliai pavagia LSASS kredencialus
Paprastai kredencialų vagystės metu užpuolikai nuotoliniu būdu pasiekia aukos kompiuterį – įsilaužėliai nuotolinę prieigą gauna keliais būdais. Tuo tarpu norint išgauti arba atlikti LSASS pakeitimus, reikia administratoriaus teisių. Taigi, pirmoji užpuoliko darbo tvarka bus padidinti savo privilegijas. Turėdami šią prieigą, jie gali įdiegti kenkėjiškas programas, kad pašalintų LSASS procesą, atsisiųstų išklotinę ir iš jos ištrauktų kredencialus.
Tačiau „Microsoft Defender“ tapo veiksmingesnis nustatant ir pašalinant kenkėjiškas programas, o tai reiškia, kad įsilaužėliai linkę griebtis Gyvenimas iš žemės atakų. Čia užpuolikas užgrobia pažeidžiamas vietines „Windows“ programas ir naudoja jas LSASS kredencialams grobti.
Pavyzdžiui, naudodamas užduočių tvarkytuvę, užpuolikas gali atidaryti užduočių tvarkyklę, slinkti žemyn iki „Windows procesai“ ir rasti „Vietinis Saugumo institucijos procesas“. Dešiniuoju pelės mygtuku spustelėjus tai, užpuolikas gali sukurti iškelties failą arba atidaryti failą vieta. Nuo šiol užpuoliko sprendimas priklauso nuo jo tikslų. Jie gali atsisiųsti iškelties failą, kad ištrauktų kredencialus arba pakeistų tikrąjį lsass.exe netikru.
Kredito duomenų vagystė: kaip patikrinti ir ką daryti
Kai reikia patikrinti, ar tapote kredencialų vagystės atakos auka, pateikiame penkis būdus, kuriuos galite sužinoti.
1. Lsass.exe naudoja daug aparatinės įrangos išteklių
Įkelkite Task Manager ir patikrinkite proceso procesoriaus ir atminties naudojimą. Paprastai šis procesas turėtų naudoti 0 procentų jūsų procesoriaus ir apie 5 MB atminties. Jei matote daug procesoriaus ir daugiau nei 10 MB atminties, o neseniai neatlikote su sauga susijusių veiksmų, pvz., nepakeitėte prisijungimo informacijos, vadinasi, kažkas negerai.
Tokiu atveju naudokite Task Manager, kad užbaigtumėte procesą. Tada eikite į failo vietą ir Shift + Delete failas. Tikrasis procesas sukeltų klaidą, o netikras – ne, todėl žinotumėte tikrai. Be to, norėdami būti tikri, turėtumėte patikrinkite failų istoriją kad įsitikintumėte, jog „Windows“ neišsaugo atsarginės kopijos.
2. Lsass.exe yra neteisingai parašyta
Kaip ir typosquatting, įsilaužėliai dažnai pervadina užgrobtus procesus, kad atrodytų kaip tikrieji. Tokiu atveju užpuolikas gali sumaniai pavadinti netikrą procesą didžiąja „i“ raide, kad imituotų mažosios „L“ raidės išvaizdą. Dėklo keitiklis gali padėti lengvai aptikti apsimetėlio failą. Netikras proceso pavadinimas taip pat gali turėti papildomą „a“ arba „s“. Jei matote tokius neteisingai parašytus procesus, Shift + Delete failą ir sekite failų istoriją, kad pašalintumėte atsargines kopijas.
3. Lsass.exe yra kitame aplanke
Čia turėsite pereiti per Task Manager. Atviras Užduočių tvarkyklė> Windows procesaiir ieškokite „Vietinės saugos institucijos procesas“. Tada dešiniuoju pelės mygtuku spustelėkite procesą, kad pamatytumėte parinktis ir pasirinkite Atidarykite failo vietą. Tikrasis lsass.exe failas bus aplanke „C:\Windows\System32“. Failas bet kurioje kitoje vietoje greičiausiai yra kenkėjiška programa; Pašalinti.
4. Daugiau nei vienas Lsass procesas arba failas
Kai tikrinate naudodami užduočių tvarkytuvę, turėtumėte matyti tik vieną „Vietinės saugos institucijos procesą“. Normalu, kad spustelėjus išskleidžiamąjį mygtuką šiame procese vykdoma veikla. Tačiau jei matote, kad veikia daugiau nei vienas Vietinės saugos institucijos procesas, tikėtina, kad tapote kredencialų vagystės auka. Tas pats pasakytina ir apie daugiau nei vieną lsass.exe failą, kai einate į failo vietą. Tokiu atveju pabandykite ištrinti failus. Tikrasis lsass.exe parodys klaidą, jei bandysite ją ištrinti.
5. Lsass.exe failas yra per didelis
Lsass.exe failai yra nedideli – mūsų kompiuteryje, kuriame veikia „Windows 11“, yra 83 KB. Mūsų patikrintame „Windows 10“ kompiuteryje yra vienas 60 KB. Taigi lsass.exe failai yra maži. Žinoma, užpuolikai žino, kad didelis Lsass.exe failas yra negyvas dovana, todėl paprastai jie sumažina savo naudingumą. Taigi mažas failo dydis, atitinkantis mūsų vertybes, nieko daug nepasako. Tačiau jei atsižvelgsite į pirmiau minėtus signalinius ženklus, nesunkiai pastebėsite užmaskuotą kenkėjišką programą.
Kaip užkirsti kelią kredencialų vagystei naudojant „Windows LSASS“.
„Windows“ kompiuterių saugumas ir toliau gerėja, tačiau kredencialų vagystės vis dar yra stiprios grėsmė, ypač seniems įrenginiams, kuriuose veikia pasenusios operacinės sistemos arba naujos programinės įrangos atnaujinimus. Štai trys būdai, kaip išvengti kredencialų vagystės nepatyrusiems „Windows“ vartotojams.
Atsisiųskite ir įdiekite naujausius saugos naujinimus
Saugos naujinimai pataiso pažeidžiamumą, kurį užpuolikai gali išnaudoti norėdami užvaldyti jūsų kompiuterį. Nuolat atnaujindami įrenginius tinkle sumažinsite įsilaužimo riziką. Taigi nustatykite, kad jūsų kompiuteris automatiškai atsisiųstų ir įdiegtų „Windows“ naujinimus, kai tik jie pasirodys. Jūs taip pat turėtumėte gauti saugos naujinimai trečiųjų šalių programoms jūsų kompiuteryje.
Naudokite „Windows Defender“ kredencialų apsaugą
„Windows Defender“ kredencialų apsauga yra saugos funkcija, kuri sukuria izoliuotą LSASS procesą (LSAIso). Visi kredencialai yra saugiai saugomi šiame atskirtame procese, kuris, savo ruožtu, palaiko ryšį su pagrindiniu LSASS procesu, kad patvirtintų vartotojus. Tai apsaugo jūsų kredencialų vientisumą ir neleidžia įsilaužėliams pavogti vertingų duomenų atakos atveju.
„Credential Guard“ galima naudoti „Enterprise“ ir „Pro“ versijose „Windows 10“ ir „Windows 11“, taip pat kai kuriose „Windows Server“ versijose. Šie įrenginiai taip pat turi atitikti griežti reikalavimai kaip saugus įkrovimas ir 64 bitų virtualizacija. Šią funkciją turite įjungti rankiniu būdu, nes ji neįjungta pagal numatytuosius nustatymus.
Išjungti nuotolinę prieigą prie darbalaukio
Nuotolinis darbalaukis leidžia jums ir kitiems įgaliotiems asmenims naudotis kompiuteriu nebūdami toje pačioje fizinėje vietoje. Tai puikiai tinka, kai norite gauti failus iš darbo įrenginio savo namų kompiuteryje arba kai techninė pagalba nori padėti pašalinti triktį, kurios negalite tiksliai apibūdinti. Nepaisant patogumo, nuotolinė prieiga prie darbalaukio taip pat palieka jus pažeidžiami atakų.
Norėdami išjungti nuotolinę prieigą, paspauskite „Windows“ raktas tada įveskite „nuotoliniai nustatymai“. Dialogo lange pasirinkite „Leisti nuotolinę prieigą prie kompiuterio ir panaikinkite žymėjimą „Leisti nuotolinės pagalbos ryšį su šiuo kompiuteriu“.
Taip pat norite patikrinti ir pašalinti nuotolinės prieigos programinė įranga kaip „TeamViewer“, „AeroAdmin“ ir „AnyDesk“. Šios programos padidina ne tik įprastų kenkėjiškų programų ir pažeidžiamumo atakų poveikį, bet ir Living off the Land atakas, kai įsilaužėliai naudoja iš anksto įdiegtas programas, kad įvykdytų ataką.
Užpuolikai nori namo raktų, bet jūs galite juos sustabdyti
LSASS laiko jūsų kompiuterio raktus. Pažeidus šį procesą, užpuolikai gali bet kada pasiekti jūsų įrenginio paslaptis. Blogiausia yra tai, kad jie gali prieiti prie jo taip, lyg būtų teisėtas vartotojas. Nors galite rasti ir pašalinti šiuos įsibrovėlius, geriausia pirmiausia jų užkirsti kelią. Įrenginio atnaujinimas ir saugos nustatymų reguliavimas padeda pasiekti šį tikslą.
