Tunnistetietojen varastaminen on eräänlainen kyberhyökkäys, jossa hakkerit kohdistuvat prosessiin, joka käsittelee Windowsin suojausta. Voit verrata sitä varkaaseen, joka pyyhkäisee talosi avaimia ja kopioi ne nopeasti. Näillä avaimilla he pääsevät kotiisi milloin haluavat. Mitä teet, kun huomaat, että avaimesi on varastettu? Vaihdat lukot. Näin voit tehdä vastaavan Windowsissa valtuustietojen varastamisen estämiseksi.
Mikä on Windows LSASS?
Windows Local Security Authority Server Service (LSASS) on prosessi, joka hallitsee tietokoneesi suojauskäytäntöjä. LSASS vahvistaa useiden järjestelmän tai palvelimen käyttäjien kirjautumiset, salasanan muutokset, käyttöoikeudet ja järjestelmänvalvojan oikeudet.
Ajattele LSASSia pomppijana, joka tarkistaa henkilötodistukset pääportilla ja eristää VIP-huoneet. Ilman ovella olevaa potkuria kuka tahansa voi mennä klubille väärennetyllä henkilötodistuksella, eikä mikään estä heitä pääsemästä rajoitetuille alueille.
Mitä on valtuustietojen varastaminen?
LSASS toimii prosessina, lsass.exe. Käynnistyksen yhteydessä lsass.exe tallentaa muistiin todennustiedot, kuten salatut salasanat, NT-tiivisteet, LM-tiivisteet ja Kerberos-liput. Kun nämä tunnistetiedot tallennetaan muistiin, käyttäjät voivat käyttää ja jakaa tiedostoja aktiivisten Windows-istuntojen aikana syöttämättä valtuustietoja uudelleen aina, kun heidän on suoritettava jokin tehtävä.
Tunnistetietojen varastaminen on, kun hyökkääjät käyttävät Mimikatzin kaltaisia työkaluja todellisen lsass.exe-tiedoston poistamiseen, siirtämiseen, muokkaamiseen tai korvaamiseen. Muita suosittuja tunnistetietojen varastamisen työkaluja ovat Crackmapexec ja Lsassy.
Kuinka hakkerit varastavat LSASS-tunnuksia
Yleensä tunnistetietojen varastamisen yhteydessä hyökkääjät pääsevät etäyhteydellä uhrin tietokoneeseen – hakkerit saavat etäkäytön useilla tavoilla. Sillä välin LSASS: n purkaminen tai muutosten tekeminen vaatii järjestelmänvalvojan oikeudet. Joten, hyökkääjän ensimmäinen asia on kohottaa heidän oikeuksiaan. Tämän käyttöoikeuden avulla he voivat asentaa haittaohjelmia LSASS-prosessin tyhjentämiseksi, ladata vedoksen ja poimia siitä tunnistetiedot paikallisesti.
Microsoft Defenderistä on kuitenkin tullut tehokkaampi haittaohjelmien tunnistamisessa ja poistamisessa, mikä tarkoittaa, että hakkerit turvautuvat Elää maan hyökkäyksistä. Tässä hyökkääjä kaappaa haavoittuvia alkuperäisiä Windows-sovelluksia ja käyttää niitä LSASS: n valtuustietojen ryöstelyyn.
Esimerkiksi Tehtävienhallinnan avulla hyökkääjä voi avata Tehtävienhallinnan, selata alas kohtaan "Windows-prosessit" ja etsiä "Paikallinen" Turvallisuusviranomaisen prosessi." Napsauta hiiren kakkospainikkeella tätä antaa hyökkääjälle mahdollisuuden luoda vedostiedoston tai avata tiedoston sijainti. Tästä eteenpäin hyökkääjän päätös riippuu hänen tavoitteistaan. He voivat ladata vedostiedoston poimiakseen valtuustiedot tai korvatakseen oikean lsass.exe-tiedoston väärennetyllä tiedostolla.
Tunnusten varastaminen: kuinka tarkistaa ja mitä tehdä
Tässä on viisi tapaa, joilla voit tarkistaa, oletko joutunut henkilötietojen varastamisen uhriksi.
1. Lsass.exe käyttää paljon laitteistoresursseja
Lataa Task Manager ja tarkista prosessin suorittimen ja muistin käyttö. Normaalisti tämän prosessin pitäisi käyttää 0 prosenttia suorittimestasi ja noin 5 Mt muistia. Jos näet runsaasti suorittimen käyttöä ja yli 10 megatavua muistia, etkä ole äskettäin suorittanut turvallisuuteen liittyviä toimenpiteitä, kuten muuttanut kirjautumistietojasi, jokin on vialla.
Tässä tapauksessa lopeta prosessi Task Managerilla. Siirry sitten tiedoston sijaintiin ja Vaihto + Delete tiedosto. Todellinen prosessi aiheuttaisi virheen, mutta väärennös ei, joten tiedät varmasti. Lisäksi sinun pitäisi olla varma tarkista tiedostohistoria varmistaaksesi, ettei Windows ole säilyttänyt varmuuskopiota.
2. Lsass.exe on kirjoitettu väärin
Kuten kirjoituskyykkyssä, hakkerit nimeävät usein kaapamansa prosessit uudelleen näyttämään todellisilta. Tässä tapauksessa hyökkääjä voi ovelasti nimetä väärennetyn prosessin isolla "i"-kirjaimella jäljitelläkseen pientä "L" -kirjainta. Kotelonmuunnin voi auttaa sinua löytämään huijaustiedoston helposti. Väärennetyssä prosessinimessä voi myös olla ylimääräinen "a" tai "s". Jos näet tällaisia väärin kirjoitettuja prosesseja, Vaihto + Delete tiedoston ja poista varmuuskopiot käyttämällä Tiedostohistoriaa.
3. Lsass.exe on toisessa kansiossa
Sinun täytyy käydä Tehtävienhallinnan läpi täällä. Avata Tehtävienhallinta> Windows-prosessitja etsi "Paikallisen turvaviranomaisen prosessi". Napsauta sitten prosessia hiiren kakkospainikkeella nähdäksesi vaihtoehdot ja valitse Avaa tiedoston sijainti. Todellinen lsass.exe-tiedosto on "C:\Windows\System32"-kansiossa. Missä tahansa muussa paikassa oleva tiedosto on todennäköisesti haittaohjelma; Poista se.
4. Enemmän kuin yksi Lsass-prosessi tai tiedosto
Kun käytät Task Manageria tarkistamiseen, sinun pitäisi nähdä vain yksi "Paikallisen suojausviranomaisen prosessi". On normaalia, että tässä prosessissa on toimintoja käynnissä, kun napsautat avattavaa painiketta. Jos kuitenkin näet useamman kuin yhden paikallisen turvaviranomaisen prosessin käynnissä, olet todennäköisesti joutunut valtuustietojen varastamisen uhriksi. Sama koskee useamman kuin yhden lsass.exe-tiedoston näkemistä, kun siirryt tiedoston sijaintiin. Yritä tässä tapauksessa poistaa tiedostot. Todellinen lsass.exe antaa virheilmoituksen, jos yrität poistaa sen.
5. Lsass.exe-tiedosto on liian suuri
Lsass.exe-tiedostot ovat pieniä – Windows 11:ssä toimivan koneemme tiedosto on 83 kt. Tarkistamassamme Windows 10 -tietokoneessa on yksi 60 kt: n kokoinen. Joten lsass.exe-tiedostot ovat pieniä. Hyökkääjät tietävät tietysti, että suuri Lsass.exe-tiedosto on kuollut lahja, joten he yleensä tekevät hyötykuormistaan pieniä. Arvojemme mukainen pieni tiedostokoko ei siis kerro paljon. Jos kuitenkin huomioidaan edellä mainitut ilmaisimet, voit helposti havaita naamioituneen haittaohjelman.
Kuinka estää valtuustietojen varastaminen Windows LSASS: n kautta
Windows-tietokoneiden suojaus paranee edelleen, mutta tunnistetietojen varastaminen on edelleen voimakasta uhka, erityisesti vanhoille laitteille, joissa on vanhentuneita käyttöjärjestelmiä tai uusia, ohjelmistoista jäljessä olevia päivitykset. Tässä on kolme tapaa estää kirjautumistietojen varastaminen muille kuin kokeneille Windows-käyttäjille.
Lataa ja asenna uusimmat tietoturvapäivitykset
Tietoturvapäivitykset korjaavat haavoittuvuuksia, joita hyökkääjät voivat hyödyntää hallitakseen tietokoneesi. Verkossa olevien laitteiden pitäminen ajan tasalla vähentää hakkeroinnin riskiä. Joten aseta tietokoneesi lataamaan ja asentamaan Windows-päivitykset automaattisesti heti, kun ne tulevat saataville. Sinun pitäisi myös saada tietoturvapäivitykset kolmannen osapuolen ohjelmille tietokoneellasi.
Käytä Windows Defender Credential Guardia
Windows Defender Credential Guard on suojausominaisuus, joka luo erillisen LSASS-prosessin (LSAIso). Kaikki valtuustiedot on tallennettu turvallisesti tähän eristettyyn prosessiin, joka puolestaan kommunikoi LSASS-pääprosessin kanssa käyttäjien vahvistamiseksi. Tämä suojaa valtuustietojesi eheyttä ja estää hakkereita varastamasta arvokasta tietoa hyökkäyksen sattuessa.
Credential Guard on saatavilla Windows 10:n ja Windows 11:n Enterprise- ja Pro-versioihin sekä tiettyihin Windows Server -versioihin. Näiden laitteiden on myös täytettävä tiukat vaatimukset kuten Secure Boot ja 64-bittinen virtualisointi. Tämä ominaisuus on otettava käyttöön manuaalisesti, koska se ei ole oletusarvoisesti käytössä.
Poista etätyöpöytäkäyttö käytöstä
Remote Desktop antaa sinun ja muiden valtuutettujen henkilöiden käyttää tietokonetta olematta samassa fyysisessä paikassa. Se sopii erinomaisesti, kun haluat saada tiedostoja työlaitteelta kotikoneellesi tai kun tekninen tuki haluaa auttaa sinua vianmäärityksessä, jota et voi tarkasti kuvailla. Kätevyydestä huolimatta etätyöpöytäkäyttö jättää sinut myös sinulle alttiina hyökkäyksille.
Voit poistaa etäkäytön käytöstä painamalla Windows-avain kirjoita sitten "etäasetukset". Valitse valintaikkunassa Salli etäkäyttö tietokoneellesi ja poista valinta kohdasta Salli etätukiyhteys tähän tietokoneeseen.
Haluat myös tarkistaa ja poistaa etäkäyttöohjelmisto kuten TeamViewer, AeroAdmin ja AnyDesk. Nämä ohjelmat eivät ainoastaan lisää altistumistasi tavallisille haittaohjelmille ja haavoittuvuushyökkäyksille, vaan myös Living off the Land -hyökkäyksille, joissa hakkerit käyttävät hyväkseen esiasennettuja ohjelmia hyökkäykseen.
Hyökkääjät haluavat avaimet taloon, mutta sinä voit pysäyttää heidät
LSASS pitää sisällään tietokoneesi avaimet. Tämän prosessin vaarantaminen antaa hyökkääjille mahdollisuuden päästä käsiksi laitteesi salaisuuksiin milloin tahansa. Pahinta on, että he voivat käyttää sitä ikään kuin he olisivat lailliset käyttäjät. Vaikka voit löytää ja poistaa nämä tunkeilijat, on parasta estää ne ensin. Laitteesi päivittäminen ja suojausasetusten säätäminen auttavat sinua saavuttamaan tämän tavoitteen.