Kraja poverilnic je vrsta kibernetskega napada, pri katerem hekerji ciljajo na proces, ki skrbi za varnost sistema Windows. To lahko primerjate s tatom, ki potegne ključe vaše hiše in jih hitro prepiše. S temi ključi imajo dostop do vaše hiše, kadar koli želijo. Kaj torej storite, ko odkrijete, da so vam ključi ukradeni? Zamenjaš ključavnice. Tukaj je opisano, kako narediti enakovredno temu v sistemu Windows za boj proti kraji poverilnic.
Kaj je Windows LSASS?
Storitev lokalnega varnostnega strežnika sistema Windows (LSASS) je postopek, ki upravlja varnostno politiko vašega računalnika. LSASS preverja prijave, spremembe gesel, žetone za dostop in skrbniške privilegije za več uporabnikov v sistemu ali strežniku.
Predstavljajte si LSASS kot odbijača, ki preverja osebne dokumente pri glavnih vratih in ogradi VIP sobe. Brez odbijača na vratih lahko kdorkoli vstopi v klub s ponarejeno osebno izkaznico in nič mu ne preprečuje vstopa v omejena območja.
Kaj je kraja poverilnic?
LSASS deluje kot proces, lsass.exe. Ob zagonu lsass.exe v pomnilnik shrani poverilnice za preverjanje pristnosti, kot so šifrirana gesla, zgoščene vrednosti NT, zgoščene vrednosti LM in vstopnice Kerberos. Shranjevanje teh poverilnic v pomnilnik omogoča uporabnikom dostop do datotek in njihovo skupno rabo med aktivnimi sejami sistema Windows brez ponovnega vnosa poverilnic vsakič, ko morajo opraviti nalogo.
Do kraje poverilnic pride, ko napadalci uporabljajo orodja, kot je Mimikatz, da izbrišejo, premaknejo, uredijo ali zamenjajo pravo datoteko lsass.exe. Druga priljubljena orodja za krajo poverilnic vključujejo Crackmapexec in Lsassy.
Kako hekerji ukradejo poverilnice LSASS
Običajno pri kraji poverilnic napadalci oddaljeno dostopajo do žrtvinega računalnika – hekerji pridobijo oddaljen dostop na več načinov. Medtem ekstrahiranje ali spreminjanje LSASS zahteva skrbniške pravice. Torej bo napadalčeva prva naloga povišati svoje privilegije. S tem dostopom lahko namestijo zlonamerno programsko opremo za izpis postopka LSASS, prenesejo izpis in iz njega lokalno izvlečejo poverilnice.
Vendar je Microsoft Defender postal učinkovitejši pri prepoznavanju in odstranjevanju zlonamerne programske opreme, kar pomeni, da se hekerji pogosto zatečejo k Živeti od kopenskih napadov. Tukaj napadalec ugrabi ranljive izvorne aplikacije Windows in jih uporabi za plenjenje poverilnic v LSASS.
Na primer, z uporabo upravitelja opravil lahko napadalec odpre upravitelja opravil, se pomakne navzdol do »Procesi Windows« in poišče »Lokalno Postopek varnostnega organa.« Z desnim klikom na to lahko napadalec ustvari datoteko izpisa ali odpre datoteko lokacijo. Odločitev napadalca je od tu naprej odvisna od njegovih ciljev. Lahko prenesejo datoteko izpisa, da izvlečejo poverilnice ali zamenjajo pravi lsass.exe s ponarejenim.
Kraja poverilnic: Kako preveriti in kaj storiti
Ko gre za preverjanje, ali ste bili žrtev napada s krajo poverilnic, je tu pet načinov, kako lahko to ugotovite.
1. Lsass.exe uporablja veliko virov strojne opreme
Naložite upravitelja opravil in preverite porabo procesorja in pomnilnika procesa. Običajno bi moral ta postopek uporabiti 0 odstotkov vašega CPE-ja in približno 5 MB pomnilnika. Če opazite veliko obremenitev procesorja in več kot 10 MB uporabe pomnilnika ter niste izvedli dejanja, povezanega z varnostjo, kot je pred kratkim spremenila podatke za prijavo, potem je nekaj narobe.
V tem primeru za zaključek postopka uporabite upravitelja opravil. Nato pojdite na lokacijo datoteke in Shift + Delete datoteka. Pravi postopek bi povzročil napako, lažni pa ne, tako da bi zagotovo vedeli. Poleg tega bi morali biti prepričani preverite zgodovino datotek da se prepričate, da Windows ni ohranil varnostne kopije.
2. Lsass.exe je napačno črkovan
Kot pri typosquattingu, hekerji pogosto preimenujejo procese, ki so jih ugrabili, da so videti kot pravi. V tem primeru lahko napadalec lažni postopek premeteno poimenuje z veliko črko "i", da posnema videz male črke "L". Pretvornik velikih in malih črk vam lahko pomaga zlahka odkriti datoteko sleparja. Lažno ime procesa ima lahko tudi dodaten »a« ali »s«. Če opazite takšne napačno črkovane procese, Shift + Delete datoteko in sledite zgodovini datotek, da odstranite varnostne kopije.
3. Lsass.exe je v drugi mapi
Tukaj boste morali iti skozi upravitelja opravil. Odprto Upravitelj opravil> Procesi Windowsin poiščite »Postopek lokalnega varnostnega organa«. Nato z desno miškino tipko kliknite postopek, da si ogledate svoje možnosti in izberete Odprite lokacijo datoteke. Prava datoteka lsass.exe bo v mapi "C:\Windows\System32". Datoteka na kateri koli drugi lokaciji je najverjetneje zlonamerna programska oprema; odstrani ga.
4. Več kot en Lsass proces ali datoteka
Ko za preverjanje uporabljate upravitelja opravil, bi morali videti samo en »Postopek lokalnega varnostnega organa«. Običajno je, da ta proces izvaja dejavnosti, ko kliknete spustni gumb. Vendar, če opazite, da se izvaja več kot en postopek lokalnega varnostnega organa, je velika verjetnost, da ste bili žrtev kraje poverilnic. Enako velja za ogled več kot ene datoteke lsass.exe, ko greste na lokacijo datoteke. V tem primeru poskusite izbrisati datoteke. Pravi lsass.exe bo prikazal napako, če ga boste poskušali izbrisati.
5. Datoteka Lsass.exe je prevelika
Datoteke Lsass.exe so majhne – tista v našem računalniku, ki deluje v sistemu Windows 11, je velika 83 KB. Računalnik z operacijskim sistemom Windows 10, ki smo ga preverili, ima eno veliko 60 KB. Datoteke lsass.exe so torej majhne. Seveda napadalci vedo, da je velika datoteka Lsass.exe nepogrešljiva, zato na splošno zmanjšajo svojo koristno obremenitev. Majhna velikost datoteke, skladna z našimi vrednotami, vam torej ne pove veliko. Vendar, če upoštevate zgoraj omenjene signalne znake, lahko zlahka opazite prikrito zlonamerno programsko opremo.
Kako preprečiti krajo poverilnic prek Windows LSASS
Varnost v računalnikih z operacijskim sistemom Windows se še naprej izboljšuje, vendar je kraja poverilnic še vedno močna grožnja, zlasti za stare naprave z zastarelimi operacijskimi sistemi ali novimi, ki zaostajajo v programski opremi posodobitve. Tu so trije načini za preprečitev kraje poverilnic za nenapredne uporabnike sistema Windows.
Prenesite in namestite najnovejše varnostne posodobitve
Varnostne posodobitve popravljajo ranljivosti, ki jih lahko napadalci izkoristijo za prevzem vašega računalnika. Posodabljanje naprav v omrežju zmanjša tveganje za vdor. Torej nastavite svoj računalnik tako, da samodejno prenese in namesti posodobitve sistema Windows, takoj ko so na voljo. Moral bi tudi dobiti varnostne posodobitve za programe drugih proizvajalcev v vašem računalniku.
Uporabite Windows Defender Credential Guard
Windows Defender Credential Guard je varnostna funkcija, ki ustvari izoliran proces LSASS (LSAIso). Vse poverilnice so varno shranjene v tem izoliranem procesu, ki nato komunicira z glavnim procesom LSASS za preverjanje uporabnikov. To ščiti celovitost vaših poverilnic in preprečuje, da bi hekerji v primeru napada ukradli dragocene podatke.
Credential Guard je na voljo v različicah Enterprise in Pro Windows 10 in Windows 11 ter izbranih različicah Windows Servers. Te naprave morajo izpolnjevati tudi stroge zahteve kot sta Secure Boot in 64-bitna virtualizacija. To funkcijo morate omogočiti ročno, saj privzeto ni omogočena.
Onemogoči dostop do oddaljenega namizja
Oddaljeno namizje vam in drugim pooblaščenim osebam omogoča uporabo računalnika, ne da bi bili na isti fizični lokaciji. Odličen je, ko želite prenesti datoteke iz službene naprave na domači računalnik ali ko vam želi tehnična podpora pomagati odpraviti težavo, ki je ne morete natančno opisati. Kljub udobju vas zapusti tudi dostop do oddaljenega namizja ranljivi za napade.
Če želite onemogočiti oddaljeni dostop, pritisnite Ključ Windows nato vnesite »oddaljene nastavitve«. Izberite »Dovoli oddaljeni dostop do vašega računalnika in počistite polje »Dovoli povezavo oddaljene pomoči s tem računalnikom« v pogovornem oknu.
Prav tako želite preveriti in odstraniti programska oprema za oddaljeni dostop kot so TeamViewer, AeroAdmin in AnyDesk. Ne samo, da ti programi povečajo vašo izpostavljenost običajni zlonamerni programski opremi in napadom na ranljivost, ampak tudi napadom Living off the Land – kjer hekerji izkoristijo vnaprej nameščene programe za izvedbo napada.
Napadalci hočejo ključe hiše, vendar jih lahko ustavite
LSASS ima ključe vašega računalnika. Ogrožanje tega postopka omogoča napadalcem dostop do skrivnosti vaše naprave kadar koli. Najhuje je, da lahko do njega dostopajo, kot da bi bili zakoniti uporabnik. Čeprav lahko najdete in odstranite te vsiljivce, je najbolje, da jih najprej preprečite. Ta cilj vam pomaga doseči posodabljanje naprave in prilagajanje varnostnih nastavitev.
