Akreditācijas datu zagšana ir kiberuzbrukuma veids, kurā hakeri vēršas pret procesu, kas apstrādā Windows drošību. Varat to pielīdzināt zaglim, kas velk jūsu mājas atslēgas un ātri tās kopē. Ar šīm atslēgām viņi var piekļūt jūsu mājai, kad vien vēlas. Tātad, ko jūs darāt, kad atklājat, ka jūsu atslēgas ir nozagtas? Jūs maināt slēdzenes. Lūk, kā operētājsistēmā Windows veikt līdzvērtīgu darbību, lai cīnītos pret akreditācijas datu zādzību.
Kas ir Windows LSASS?
Windows vietējās drošības iestādes servera pakalpojums (LSASS) ir process, kas pārvalda jūsu datora drošības politiku. LSASS apstiprina pieteikšanās vārdus, paroļu izmaiņas, piekļuves pilnvaras un administratīvās privilēģijas vairākiem sistēmas vai servera lietotājiem.
Padomājiet par LSASS kā izlēcēju, kas pārbauda ID pie galvenajiem vārtiem un norobežo VIP telpas. Ja pie durvīm nav izlēcēja, ikviens var iekļūt klubā ar viltotu ID, un nekas neliedz iekļūt aizliegtajās zonās.
Kas ir akreditācijas datu zagšana?
LSASS darbojas kā process, lsass.exe. Sāknēšanas laikā lsass.exe atmiņā saglabā autentifikācijas akreditācijas datus, piemēram, šifrētas paroles, NT jaucējus, LM jaucējus un Kerberos biļetes. Šo akreditācijas datu saglabāšana atmiņā ļauj lietotājiem piekļūt un koplietot failus aktīvo Windows sesiju laikā, neievadot akreditācijas datus katru reizi, kad jāveic kāds uzdevums.
Akreditācijas datu zādzība ir tad, kad uzbrucēji izmanto tādus rīkus kā Mimikatz, lai dzēstu, pārvietotu, rediģētu vai aizstātu īsto lsass.exe failu. Citi populāri akreditācijas datu zagšanas rīki ir Crackmapexec un Lsassy.
Kā hakeri nozog LSASS akreditācijas datus
Parasti akreditācijas datu zādzībās uzbrucēji attālināti piekļūst upura datoram — hakeri attālo piekļuvi iegūst vairākos veidos. Tikmēr LSASS izvilkšanai vai izmaiņu veikšanai ir nepieciešamas administratora privilēģijas. Tātad uzbrucēja pirmā darba kārtība būs viņu privilēģiju paaugstināšana. Izmantojot šo piekļuvi, viņi var instalēt ļaunprātīgu programmatūru, lai izmestu LSASS procesu, lejupielādētu izdruku un lokāli no tā izņemtu akreditācijas datus.
Tomēr Microsoft Defender ir kļuvis efektīvāks ļaunprātīgas programmatūras identificēšanā un noņemšanā, kas nozīmē, ka hakeri mēdz izmantot Dzīvošana no zemes uzbrukumiem. Šeit uzbrucējs nolaupa ievainojamās vietējās Windows lietotnes un izmanto tās, lai izlaupītu LSASS akreditācijas datus.
Piemēram, izmantojot uzdevumu pārvaldnieku, uzbrucējs var atvērt uzdevumu pārvaldnieku, ritināt uz leju līdz “Windows procesi” un atrast “Vietējais Drošības iestādes process. Ar peles labo pogu noklikšķinot uz tā, uzbrucējs var izveidot izgāztuves failu vai atvērt failu atrašanās vieta. Uzbrucēja lēmums turpmāk ir atkarīgs no viņa mērķiem. Viņi var lejupielādēt izgāztuves failu, lai iegūtu akreditācijas datus vai aizstātu īsto lsass.exe ar viltotu.
Akreditācijas datu zādzība: kā pārbaudīt un ko darīt
Pārbaudot, vai esat bijis akreditācijas datu zādzības uzbrukuma upuris, šeit ir pieci veidi, kā to uzzināt.
1. Lsass.exe izmanto daudz aparatūras resursu
Ielādējiet uzdevumu pārvaldnieku un pārbaudiet procesa CPU un atmiņas lietojumu. Parasti šim procesam vajadzētu izmantot 0 procentus no jūsu CPU un aptuveni 5 MB atmiņas. Ja redzat intensīvu CPU un vairāk nekā 10 MB atmiņas lietojumu un pēdējā laikā neesat veicis ar drošību saistītu darbību, piemēram, mainījis pierakstīšanās informāciju, tad kaut kas nav kārtībā.
Šādā gadījumā izmantojiet uzdevumu pārvaldnieku, lai pabeigtu procesu. Pēc tam dodieties uz faila atrašanās vietu un Shift + Delete fails. Īsts process radītu kļūdu, bet viltots nē, tāpēc jūs noteikti zinātu. Turklāt, lai pārliecinātos, jums vajadzētu pārbaudiet failu vēsturi lai pārliecinātos, ka sistēma Windows nav saglabājusi dublējumu.
2. Lsass.exe ir uzrakstīts nepareizi
Tāpat kā drukas skvotā, hakeri bieži pārdēvē nolaupītos procesus, lai tie izskatītos kā īstie. Šādā gadījumā uzbrucējs viltus procesu var gudri nosaukt ar lielo burtu "i", lai atdarinātu mazā burta "L" izskatu. Korpusa pārveidotājs var palīdzēt viegli pamanīt viltus failu. Viltus procesa nosaukumā var būt arī papildu “a” vai “s”. Ja redzat šādus nepareizi uzrakstītus procesus, Shift + Delete failu un sekojiet līdzi failu vēsturei, lai noņemtu dublējumus.
3. Lsass.exe atrodas citā mapē
Šeit jums būs jāiet caur uzdevumu pārvaldnieku. Atvērt Uzdevumu pārvaldnieks> Windows procesiun meklējiet “Vietējās drošības iestādes process”. Pēc tam ar peles labo pogu noklikšķiniet uz procesa, lai redzētu savas opcijas, un izvēlieties Atveriet Faila atrašanās vietu. Īstais lsass.exe fails atradīsies mapē "C:\Windows\System32". Fails jebkurā citā vietā, visticamāk, ir ļaunprātīga programmatūra; noņemiet to.
4. Vairāk nekā viens Lsass process vai fails
Kad izmantojat uzdevumu pārvaldnieku, lai pārbaudītu, jums vajadzētu redzēt tikai vienu “Vietējās drošības iestādes process”. Tas ir normāli, ja noklikšķināt uz nolaižamās pogas, šajā procesā tiek veiktas darbības. Tomēr, ja redzat, ka darbojas vairāk nekā viens vietējās drošības iestādes process, pastāv iespēja, ka esat kļuvis par akreditācijas datu zādzības upuri. Tas pats attiecas uz vairāk nekā viena lsass.exe faila skatīšanu, kad dodaties uz faila atrašanās vietu. Šādā gadījumā mēģiniet izdzēst failus. Īstā lsass.exe parādīs kļūdu, ja mēģināsit to izdzēst.
5. Fails Lsass.exe ir pārāk liels
Lsass.exe faili ir mazi — mūsu datorā, kurā darbojas operētājsistēma Windows 11, ir 83 KB. Mūsu pārbaudītajam Windows 10 datoram ir viens 60 KB liels. Tātad lsass.exe faili ir niecīgi. Protams, uzbrucēji zina, ka liels Lsass.exe fails ir nāvējošs, tāpēc viņi parasti samazina savu lietderīgo slodzi. Neliels faila izmērs, kas atbilst mūsu vērtībām, neko daudz nepasaka. Tomēr, ja ņemat vērā iepriekš minētās indikatora zīmes, varat viegli pamanīt slēpto ļaunprātīgo programmatūru.
Kā novērst akreditācijas datu zādzību, izmantojot Windows LSASS
Drošība Windows datoros turpina uzlaboties, taču akreditācijas datu zādzība joprojām ir spēcīga draudi, jo īpaši vecām ierīcēm, kurās darbojas novecojušas operētājsistēmas vai jaunas, kas ir atpalikušas no programmatūras atjauninājumus. Šeit ir trīs veidi, kā novērst akreditācijas datu zagšanu Windows lietotājiem, kas nav pieredzējuši.
Lejupielādējiet un instalējiet jaunākos drošības atjauninājumus
Drošības atjauninājumi izlabo ievainojamības, ko uzbrucēji var izmantot, lai pārņemtu jūsu datoru. Tīklā esošo ierīču atjaunināšana samazina uzlaušanas risku. Tāpēc iestatiet datoru, lai tas automātiski lejupielādētu un instalētu Windows atjauninājumus, tiklīdz tie kļūst pieejami. Jums arī vajadzētu saņemt drošības atjauninājumi trešo pušu programmām jūsu datorā.
Izmantojiet Windows Defender Credential Guard
Windows Defender akreditācijas datu aizsargs ir drošības līdzeklis, kas izveido izolētu LSASS procesu (LSAIso). Visi akreditācijas dati tiek droši glabāti šajā izolētajā procesā, kas, savukārt, sazinās ar galveno LSASS procesu, lai apstiprinātu lietotājus. Tas aizsargā jūsu akreditācijas datu integritāti un neļauj hakeriem nozagt vērtīgus datus uzbrukuma gadījumā.
Credential Guard ir pieejams Windows 10 un Windows 11 Enterprise un Pro versijām, kā arī atsevišķām Windows serveru versijām. Šīm ierīcēm arī jāatbilst stingras prasības piemēram, drošā sāknēšana un 64 bitu virtualizācija. Šī funkcija ir jāiespējo manuāli, jo pēc noklusējuma tā nav iespējota.
Atspējot attālās darbvirsmas piekļuvi
Attālā darbvirsma ļauj jums un citām pilnvarotām personām izmantot datoru, neatrodoties tajā pašā fiziskajā vietā. Tas ir lieliski piemērots, ja vēlaties iegūt failus no darba ierīces savā mājas ierīcē vai ja tehniskais atbalsts vēlas palīdzēt novērst problēmu, kuru nevarat precīzi aprakstīt. Neskatoties uz ērtībām, jūs varat piekļūt arī attālajai darbvirsmai neaizsargāti pret uzbrukumiem.
Lai atspējotu attālo piekļuvi, nospiediet Windows atslēga pēc tam ierakstiet “tālvadības iestatījumi”. Dialoglodziņā atlasiet “Atļaut attālo piekļuvi datoram un noņemiet atzīmi no izvēles rūtiņas “Atļaut attālās palīdzības savienojumu ar šo datoru”.
Jūs arī vēlaties pārbaudīt un noņemt attālās piekļuves programmatūra piemēram, TeamViewer, AeroAdmin un AnyDesk. Šīs programmas ne tikai palielina jūsu pakļaušanu izplatītiem ļaunprātīgas programmatūras un ievainojamības uzbrukumiem, bet arī Living off the Land uzbrukumiem, kur hakeri izmanto iepriekš instalētas programmas, lai veiktu uzbrukumu.
Uzbrucēji vēlas mājas atslēgas, bet jūs varat viņus apturēt
LSASS satur jūsu datora atslēgas. Ja šis process tiek apdraudēts, uzbrucēji jebkurā laikā var piekļūt jūsu ierīces noslēpumiem. Sliktākais ir tas, ka viņi var tai piekļūt tā, it kā būtu likumīgs lietotājs. Lai gan jūs varat atrast un noņemt šos iebrucējus, vislabāk ir tos novērst. Ierīces atjaunināšana un drošības iestatījumu pielāgošana palīdz sasniegt šo mērķi.
