Кража учетных данных — это тип кибератаки, при которой хакеры нацелены на процесс, отвечающий за безопасность Windows. Вы можете сравнить это с вором, который ворует ваши ключи от дома и быстро их копирует. С этими ключами они имеют доступ к вашему дому, когда захотят. Итак, что вы делаете, когда обнаруживаете, что ваши ключи украдены? Вы меняете замки. Вот как можно сделать то же самое в Windows для борьбы с кражей учетных данных.
Что такое Windows LSASS?
Служба сервера локальной безопасности Windows (LSASS) — это процесс, который управляет политикой безопасности вашего компьютера. LSASS проверяет логины, изменения паролей, маркеры доступа и административные привилегии для нескольких пользователей в системе или на сервере.
Думайте о LSASS как о вышибале, которая проверяет документы у главных ворот и оцепляет VIP-комнаты. Без вышибалы у двери любой может войти в клуб с поддельным удостоверением личности, и ничто не мешает им войти в запретные зоны.
Что такое кража учетных данных?
LSASS работает как процесс lsass.exe. При загрузке lsass.exe сохраняет учетные данные для проверки подлинности, такие как зашифрованные пароли, хэши NT, LM-хэши и билеты Kerberos в памяти. Хранение этих учетных данных в памяти позволяет пользователям получать доступ к файлам и обмениваться ими во время активных сеансов Windows без повторного ввода учетных данных каждый раз, когда им нужно выполнить задачу.
Кража учетных данных — это когда злоумышленники используют такие инструменты, как Mimikatz, для удаления, перемещения, редактирования или замены реального файла lsass.exe. Другие популярные инструменты для кражи учетных данных включают Crackmapexec и Lsassy.
Как хакеры крадут учетные данные LSASS
Обычно при краже учетных данных злоумышленники получают удаленный доступ к компьютеру жертвы — хакеры получают удаленный доступ несколькими способами. Между тем, для извлечения или внесения изменений в LSASS требуются права администратора. Таким образом, первым делом злоумышленника будет повышение своих привилегий. Имея такой доступ, они могут установить вредоносное ПО для создания дампа процесса LSASS, скачать дамп и локально извлечь из него учетные данные.
Однако Microsoft Defender стал более эффективно выявлять и удалять вредоносное ПО, а это означает, что хакеры, как правило, прибегают к Жизнь за счет наземных атак. Здесь злоумышленник перехватывает уязвимые собственные приложения Windows и использует их для кражи учетных данных в LSASS.
Например, с помощью диспетчера задач злоумышленник может открыть диспетчер задач, прокрутить вниз до «Процессы Windows» и найти «Локальные процессы». Процесс службы безопасности». Щелчок правой кнопкой мыши дает злоумышленнику возможность создать файл дампа или открыть файл. расположение. Решение атакующего с этого момента зависит от его целей. Они могут загрузить файл дампа для извлечения учетных данных или заменить настоящий lsass.exe поддельным.
Кража учетных данных: как проверить и что делать
Когда дело доходит до проверки того, не стали ли вы жертвой атаки с целью кражи учетных данных, вот пять способов узнать это.
1. Lsass.exe использует много аппаратных ресурсов
Загрузите диспетчер задач и проверьте использование ЦП и памяти процессом. Обычно этот процесс должен использовать 0 процентов вашего ЦП и около 5 МБ памяти. Если вы видите высокую загрузку ЦП и использование памяти более 10 МБ, и вы недавно не выполняли действия, связанные с безопасностью, такие как изменение данных для входа, значит, что-то не так.
В этом случае используйте диспетчер задач, чтобы завершить процесс. Затем перейдите к местоположению файла и Shift + Удалить файл. Настоящий процесс выдаст ошибку, а поддельный — нет, так что вы будете знать наверняка. Кроме того, для уверенности следует проверить историю файлов чтобы убедиться, что Windows не сохранила резервную копию.
2. Lsass.exe написан с ошибкой
Как в опечатке, хакеры часто переименовывают процессы, которые они взломали, чтобы они выглядели как настоящие. В этом случае злоумышленник может искусно назвать фальшивый процесс с заглавной «i», чтобы имитировать внешний вид строчной «L». Преобразователь регистра может помочь вам легко обнаружить файл-самозванец. Фальшивое имя процесса также может содержать дополнительные буквы «a» или «s». Если вы видите такие процессы с ошибками, Shift + Удалить файл и обратитесь к истории файлов, чтобы удалить резервные копии.
3. Lsass.exe находится в другой папке
Вам нужно будет пройти через диспетчер задач здесь. Открыть Диспетчер задач> Процессы Windowsи найдите «Процесс локального центра безопасности». Затем щелкните процесс правой кнопкой мыши, чтобы просмотреть параметры, и выберите Местонахождение открытого файла. Настоящий файл lsass.exe будет находиться в папке «C:\Windows\System32». Файл в любом другом месте, скорее всего, является вредоносным ПО; убери это.
4. Более одного процесса или файла Lsass
Когда вы используете диспетчер задач для проверки, вы должны увидеть только один «Процесс локального центра безопасности». Для этого процесса нормально запускать действия, когда вы нажимаете кнопку раскрывающегося списка. Однако, если вы видите более одного запущенного процесса Local Security Authority, скорее всего, вы стали жертвой кражи учетных данных. То же самое относится к просмотру более одного файла lsass.exe при переходе к местоположению файла. В этом случае попытайтесь удалить файлы. Настоящий lsass.exe выдаст ошибку, если вы попытаетесь его удалить.
5. Файл Lsass.exe слишком велик
Файлы Lsass.exe небольшие — размер файла на нашей машине под управлением Windows 11 составляет 83 КБ. На проверенном нами компьютере под управлением Windows 10 один из них имеет размер 60 КБ. Таким образом, файлы lsass.exe крошечные. Конечно, злоумышленники знают, что большой файл Lsass.exe — это беспроигрышный вариант, поэтому они обычно делают свою полезную нагрузку небольшой. Таким образом, небольшой размер файла, соответствующий нашим значениям, мало о чем вам говорит. Однако, если вы учтете вышеупомянутые контрольные признаки, вы можете легко обнаружить замаскированное вредоносное ПО.
Как предотвратить кражу учетных данных с помощью Windows LSASS
Безопасность на компьютерах с Windows продолжает улучшаться, но кража учетных данных по-прежнему остается серьезной проблемой. угроза, особенно для старых устройств с устаревшими операционными системами или новых устройств с программным обеспечением обновления. Вот три способа предотвратить кражу учетных данных для непродвинутых пользователей Windows.
Загрузите и установите последние обновления безопасности
Обновления безопасности исправляют уязвимости, которые злоумышленники могут использовать для захвата вашего компьютера. Поддержание устройств в вашей сети в актуальном состоянии снижает риск взлома. Итак, настройте компьютер на автоматическую загрузку и установку обновлений Windows, как только они станут доступны. Вы также должны получить обновления безопасности для сторонних программ на вашем ПК.
Используйте Credential Guard в Защитнике Windows
Защита учетных данных Защитника Windows — это функция безопасности, которая создает изолированный процесс LSASS (LSAIso). Все учетные данные надежно хранятся в этом изолированном процессе, который, в свою очередь, связывается с основным процессом LSASS для проверки пользователей. Это защищает целостность ваших учетных данных и предотвращает кражу ценных данных хакерами в случае атаки.
Credential Guard доступен в версиях Enterprise и Pro Windows 10 и Windows 11, а также в некоторых версиях Windows Server. Эти устройства также должны соответствовать строгие требования например, безопасная загрузка и 64-битная виртуализация. Вы должны включить эту функцию вручную, так как она не включена по умолчанию.
Отключить доступ к удаленному рабочему столу
Удаленный рабочий стол позволяет вам и другим уполномоченным лицам использовать компьютер, не находясь в одном физическом месте. Это удобно, когда вы хотите перенести файлы с рабочего устройства на домашний компьютер или когда служба технической поддержки хочет помочь вам решить проблему, которую вы не можете точно описать. Несмотря на удобство, доступ к удаленному рабочему столу также оставляет вас уязвимы для атак.
Чтобы отключить удаленный доступ, нажмите кнопку Ключ Windows затем введите «удаленные настройки». Выберите «Разрешить удаленный доступ к вашему компьютеру» и снимите флажок «Разрешить подключение удаленного помощника к этому компьютеру» в диалоговом окне.
Вы также хотите проверить и удалить ПО для удаленного доступа например TeamViewer, AeroAdmin и AnyDesk. Эти программы не только повышают вашу уязвимость к распространенным вредоносным программам и атакам с использованием уязвимостей, но и к атакам Living off the Land, когда хакеры используют предустановленные программы для проведения атаки.
Злоумышленники хотят получить ключи от дома, но вы можете их остановить
LSASS содержит ключи от вашего компьютера. Компрометация этого процесса позволяет злоумышленникам получить доступ к секретам вашего устройства в любое время. Хуже всего то, что они могут получить к нему доступ, как если бы они были законным пользователем. Хотя вы можете найти и удалить этих злоумышленников, лучше всего предотвратить их появление. Обновление вашего устройства и настройка параметров безопасности помогут вам достичь этой цели.