Krađa vjerodajnica vrsta je kibernetičkog napada u kojem hakeri ciljaju proces koji upravlja sigurnošću sustava Windows. Možete to usporediti s lopovom koji vam krade ključeve od kuće i brzo ih kopira. S ovim ključevima imaju pristup vašoj kući kad god žele. Dakle, što učiniti kada otkrijete da su vam ključevi ukradeni? Mijenjate brave. Evo kako učiniti ekvivalent tome u sustavu Windows za borbu protiv krađe vjerodajnica.
Što je Windows LSASS?
Usluga poslužitelja lokalne sigurnosne službe Windows (LSASS) proces je koji upravlja sigurnosnom politikom vašeg računala. LSASS potvrđuje prijave, promjene lozinki, pristupne tokene i administrativne privilegije za više korisnika na sustavu ili poslužitelju.
Zamislite LSASS-a kao izbacivača koji provjerava osobne iskaznice na glavnom ulazu i zatvara VIP sobe. Bez izbacivača na vratima, svatko može ući u klub s lažnom iskaznicom i ništa ih ne sprječava da uđu u zabranjena područja.
Što je krađa vjerodajnica?
LSASS radi kao proces, lsass.exe. Nakon pokretanja, lsass.exe pohranjuje vjerodajnice za provjeru autentičnosti kao što su šifrirane lozinke, NT hash, LM hash i Kerberos ulaznice u memoriju. Pohranjivanje ovih vjerodajnica u memoriju omogućuje korisnicima pristup i dijeljenje datoteka tijekom aktivnih Windows sesija bez ponovnog unosa vjerodajnica svaki put kada trebaju obaviti zadatak.
Do krađe vjerodajnica dolazi kada napadači koriste alate poput Mimikatza za brisanje, premještanje, uređivanje ili zamjenu stvarne datoteke lsass.exe. Ostali popularni alati za krađu vjerodajnica uključuju Crackmapexec i Lsassy.
Kako hakeri kradu LSASS vjerodajnice
Obično, u krađi vjerodajnica, napadači daljinski pristupaju žrtvinom računalu—hakeri dobivaju daljinski pristup na nekoliko načina. U međuvremenu, izdvajanje ili mijenjanje LSASS-a zahtijeva administratorske ovlasti. Dakle, napadačev prvi zadatak bit će povećati svoje privilegije. Ovim pristupom mogu instalirati zlonamjerni softver za ispis LSASS procesa, preuzeti ispis i iz njega lokalno izdvojiti vjerodajnice.
Međutim, Microsoft Defender postao je učinkovitiji u prepoznavanju i uklanjanju zlonamjernog softvera, što znači da hakeri obično pribjegavaju Živjeti od kopnenih napada. Ovdje napadač otima ranjive izvorne Windows aplikacije i koristi ih za pljačku vjerodajnica u LSASS-u.
Na primjer, koristeći Upravitelj zadataka, napadač može otvoriti Upravitelj zadataka, pomaknuti se prema dolje do “Windows procesi” i pronaći “Lokalno Proces sigurnosnog tijela.” Desni klik na to daje napadaču mogućnost stvaranja datoteke ispisa ili otvaranja datoteke mjesto. Odluka napadača od ovog trenutka ovisi o njihovim ciljevima. Mogu preuzeti datoteku ispisa kako bi izdvojili vjerodajnice ili zamijenili pravi lsass.exe s lažnim.
Krađa vjerodajnica: Kako provjeriti i što učiniti
Što se tiče provjere jeste li bili žrtva napada krađe vjerodajnica, evo pet načina na koje to možete saznati.
1. Lsass.exe koristi puno hardverskih resursa
Učitajte Upravitelj zadataka i provjerite korištenje procesora i memorije procesa. Obično bi ovaj proces trebao koristiti 0 posto vašeg CPU-a i oko 5 MB memorije. Ako vidite veliku upotrebu CPU-a i više od 10 MB upotrebe memorije, a niste nedavno izvršili sigurnosnu radnju kao što je promjena podataka za prijavu, onda nešto nije u redu.
U tom slučaju upotrijebite Upravitelj zadataka za završetak procesa. Zatim idite na mjesto datoteke i Shift + Delete Datoteka. Pravi proces izbacio bi pogrešku, ali lažni ne bi, tako da biste sigurno znali. Također, da budemo sigurni, trebali biste pogledajte Povijest datoteka kako biste bili sigurni da Windows nije sačuvao sigurnosnu kopiju.
2. Lsass.exe je pogrešno napisan
Kao u typosquattingu, hakeri često preimenuju procese koje su oteli da izgledaju kao pravi. U ovom slučaju, napadač može lukavo imenovati lažni proces velikim slovom "i" kako bi oponašao izgled malog slova "L". Pretvarač velikih i malih slova može vam pomoći da lako uočite lažnu datoteku. Lažni naziv procesa također može imati dodatno "a" ili "s". Ako vidite takve pogrešno napisane procese, Shift + Delete datoteku i pratite Povijest datoteka za uklanjanje sigurnosnih kopija.
3. Lsass.exe je u drugoj mapi
Ovdje ćete morati proći kroz Upravitelj zadataka. Otvoren Upravitelj zadataka> Windows procesii potražite "Proces lokalnog sigurnosnog tijela". Zatim desnom tipkom miša kliknite postupak kako biste vidjeli svoje mogućnosti i odabrali Otvorite lokaciju datoteke. Prava datoteka lsass.exe bit će u mapi "C:\Windows\System32". Datoteka na bilo kojoj drugoj lokaciji najvjerojatnije je zlonamjerni softver; uklonite ga.
4. Više od jednog Lsass procesa ili datoteke
Kada koristite Upravitelj zadataka za provjeru, trebali biste vidjeti samo jedan "Proces lokalnog sigurnosnog tijela". Normalno je da ovaj proces ima aktivnosti koje se izvode kada kliknete padajući gumb. Međutim, ako vidite da se izvodi više od jednog procesa lokalne sigurnosne službe, vjerojatno ste bili žrtva krađe vjerodajnica. Isto se odnosi na gledanje više od jedne datoteke lsass.exe kada odete na lokaciju datoteke. U tom slučaju pokušajte izbrisati datoteke. Pravi lsass.exe izbacit će pogrešku ako ga pokušate izbrisati.
5. Datoteka Lsass.exe je prevelika
Datoteke Lsass.exe male su – ona na našem računalu koja radi na Windows 11 ima 83 KB. Windows 10 računalo koje smo provjerili ima jedno veliko 60 KB. Dakle, lsass.exe datoteke su malene. Naravno, napadači znaju da je velika datoteka Lsass.exe nepogrešiva, pa općenito smanjuju sadržaj. Mala veličina datoteke u skladu s našim vrijednostima vam, dakle, ne govori mnogo. Međutim, ako uzmete u obzir gore navedene signalne znakove, lako možete uočiti prerušeni zlonamjerni softver.
Kako spriječiti krađu vjerodajnica putem Windows LSASS
Sigurnost na računalima sa sustavom Windows nastavlja se poboljšavati, ali krađa vjerodajnica i dalje je moćna prijetnja, posebno za stare uređaje koji pokreću zastarjele operativne sustave ili nove koji zaostaju u softveru nadopune. Evo tri načina za sprječavanje krađe vjerodajnica za nenapredne korisnike Windowsa.
Preuzmite i instalirajte najnovija sigurnosna ažuriranja
Sigurnosna ažuriranja krpaju ranjivosti koje napadači mogu iskoristiti da preuzmu vaše računalo. Održavanje uređaja na vašoj mreži ažurnim smanjuje rizik od hakiranja. Dakle, postavite svoje računalo da automatski preuzima i instalira Windows ažuriranja čim postanu dostupna. Također biste trebali dobiti sigurnosna ažuriranja za programe trećih strana na vašem računalu.
Koristite Windows Defender Credential Guard
Windows Defender Credential Guard je sigurnosna značajka koja stvara izolirani LSASS proces (LSAIso). Sve vjerodajnice sigurno su pohranjene u ovom izoliranom procesu, koji zauzvrat komunicira s glavnim LSASS procesom radi provjere valjanosti korisnika. To štiti integritet vaših vjerodajnica i sprječava hakere da ukradu vrijedne podatke u slučaju napada.
Credential Guard dostupan je na verzijama Enterprise i Pro sustava Windows 10 i Windows 11, kao i na odabranim verzijama Windows poslužitelja. Ovi uređaji također moraju ispunjavati strogi zahtjevi poput sigurnog pokretanja i 64-bitne virtualizacije. Ovu značajku morate omogućiti ručno jer nije omogućena prema zadanim postavkama.
Onemogućite pristup udaljenoj radnoj površini
Udaljena radna površina omogućuje vama i drugim ovlaštenim osobama korištenje računala bez da ste na istoj fizičkoj lokaciji. Izvrstan je kada želite dobiti datoteke s radnog uređaja na svom kućnom računalu ili kada vam tehnička podrška želi pomoći u rješavanju problema koji ne možete točno opisati. Unatoč praktičnosti, udaljeni pristup radnoj površini također vas ostavlja ranjiv na napade.
Da biste onemogućili daljinski pristup, pritisnite Windows ključ zatim upišite "daljinske postavke". Odaberite "Dopusti daljinski pristup vašem računalu i poništite opciju "Dopusti vezu daljinske pomoći s ovim računalom" u dijaloškom okviru.
Također želite provjeriti i ukloniti softver za daljinski pristup poput TeamViewera, AeroAdmina i AnyDeska. Ne samo da ovi programi povećavaju vašu izloženost uobičajenom zlonamjernom softveru i napadima ranjivosti, već i napadima Living off the Land—gdje hakeri iskorištavaju unaprijed instalirane programe za izvođenje napada.
Napadači žele ključeve kuće, ali vi ih možete zaustaviti
LSASS drži ključeve vašeg računala. Ugrožavanje ovog procesa omogućuje napadačima pristup tajnama vašeg uređaja u bilo kojem trenutku. Najgore je što mu mogu pristupiti kao da su legitimni korisnici. Iako možete pronaći i ukloniti ove uljeze, najbolje je spriječiti ih na prvom mjestu. Održavanje ažuriranja uređaja i prilagođavanje sigurnosnih postavki pomaže vam u postizanju ovog cilja.
