Η κλοπή διαπιστευτηρίων είναι ένας τύπος κυβερνοεπίθεσης όπου οι χάκερ στοχεύουν τη διαδικασία που χειρίζεται την ασφάλεια των Windows. Μπορείτε να το παρομοιάσετε με έναν κλέφτη που σύρει τα κλειδιά του σπιτιού σας και τα αντιγράφει γρήγορα. Με αυτά τα κλειδιά, έχουν πρόσβαση στο σπίτι σας όποτε θέλουν. Τι κάνετε λοιπόν όταν ανακαλύπτετε ότι τα κλειδιά σας έχουν κλαπεί; Αλλάζεις τις κλειδαριές. Δείτε πώς μπορείτε να κάνετε το ίδιο στα Windows για να καταπολεμήσετε την κλοπή διαπιστευτηρίων.
Τι είναι τα Windows LSASS;
Η υπηρεσία Windows Local Security Authority Server Service (LSASS) είναι μια διαδικασία που διαχειρίζεται την πολιτική ασφαλείας του υπολογιστή σας. Το LSASS επικυρώνει στοιχεία σύνδεσης, αλλαγές κωδικού πρόσβασης, διακριτικά πρόσβασης και δικαιώματα διαχειριστή για πολλούς χρήστες σε ένα σύστημα ή διακομιστή.
Σκεφτείτε το LSASS ως τον ψεύτικο που ελέγχει τις ταυτότητες στην κεντρική πύλη και αποκλείει τα VIP δωμάτια. Χωρίς έναν ψαλιδοφόρο στην πόρτα, οποιοσδήποτε μπορεί να μπει στο κλαμπ με ψεύτικη ταυτότητα και τίποτα δεν τον εμποδίζει να εισέλθουν σε απαγορευμένες περιοχές.
Τι είναι η κλοπή διαπιστευτηρίων;
Το LSASS εκτελείται ως διεργασία, lsass.exe. Κατά την εκκίνηση, το lsass.exe αποθηκεύει διαπιστευτήρια ελέγχου ταυτότητας, όπως κρυπτογραφημένους κωδικούς πρόσβασης, κατακερματισμούς NT, κατακερματισμούς LM και εισιτήρια Kerberos στη μνήμη. Η αποθήκευση αυτών των διαπιστευτηρίων στη μνήμη επιτρέπει στους χρήστες να έχουν πρόσβαση και να μοιράζονται αρχεία κατά τη διάρκεια ενεργών περιόδων λειτουργίας των Windows χωρίς να εισάγουν ξανά τα διαπιστευτήρια κάθε φορά που χρειάζεται να εκτελέσουν μια εργασία.
Η κλοπή διαπιστευτηρίων είναι όταν οι εισβολείς χρησιμοποιούν εργαλεία όπως το Mimikatz για να διαγράψουν, να μετακινήσουν, να επεξεργαστούν ή να αντικαταστήσουν το πραγματικό αρχείο lsass.exe. Άλλα δημοφιλή εργαλεία κλοπής διαπιστευτηρίων περιλαμβάνουν το Crackmapexec και το Lsassy.
Πώς οι χάκερ κλέβουν τα διαπιστευτήρια LSASS
Συνήθως, στην κλοπή διαπιστευτηρίων, οι εισβολείς έχουν απομακρυσμένη πρόσβαση στον υπολογιστή του θύματος - οι χάκερ αποκτούν απομακρυσμένη πρόσβαση με διάφορους τρόπους. Εν τω μεταξύ, η εξαγωγή ή η πραγματοποίηση αλλαγών στο LSASS απαιτεί δικαιώματα διαχειριστή. Έτσι, η πρώτη εντολή του εισβολέα θα είναι να αυξήσει τα προνόμιά του. Με αυτήν την πρόσβαση, μπορούν να εγκαταστήσουν κακόβουλο λογισμικό για να απορρίψουν τη διαδικασία LSASS, να κατεβάσουν το dump και να εξαγάγουν τα διαπιστευτήρια τοπικά από αυτό.
Ωστόσο, το Microsoft Defender έχει γίνει πιο αποτελεσματικό στον εντοπισμό και την αφαίρεση κακόβουλου λογισμικού, πράγμα που σημαίνει ότι οι χάκερ τείνουν να καταφεύγουν σε Ζώντας από τις επιθέσεις της Γης. Εδώ, ο εισβολέας κλέβει ευάλωτες εγγενείς εφαρμογές των Windows και τις χρησιμοποιεί για να λεηλατήσει τα διαπιστευτήρια στο LSASS.
Για παράδειγμα, χρησιμοποιώντας τη Διαχείριση εργασιών, ένας εισβολέας μπορεί να ανοίξει τη Διαχείριση εργασιών, να πραγματοποιήσει κύλιση προς τα κάτω στις "Διαδικασίες των Windows" και να βρει "Τοπική Διαδικασία Αρχής Ασφαλείας.» Κάνοντας δεξί κλικ σε αυτό, δίνεται στον εισβολέα την επιλογή να δημιουργήσει ένα αρχείο ένδειξης σφαλμάτων ή να ανοίξει το αρχείο τοποθεσία. Η απόφαση του επιτιθέμενου από εδώ και πέρα εξαρτάται από τους στόχους του. Μπορούν να κατεβάσουν το αρχείο ένδειξης σφαλμάτων για να εξαγάγουν διαπιστευτήρια ή να αντικαταστήσουν το πραγματικό lsass.exe με ένα ψεύτικο.
Κλοπή διαπιστευτηρίων: Πώς να ελέγξετε και τι να κάνετε
Όταν πρόκειται να ελέγξετε εάν έχετε πέσει θύμα επίθεσης κλοπής διαπιστευτηρίων, ακολουθούν πέντε τρόποι που μπορείτε να μάθετε.
1. Το Lsass.exe χρησιμοποιεί πολλούς πόρους υλικού
Φορτώστε τη Διαχείριση εργασιών και ελέγξτε τη διαδικασία χρήσης της CPU και της μνήμης. Κανονικά, αυτή η διαδικασία θα πρέπει να χρησιμοποιεί το 0 τοις εκατό της CPU και περίπου 5 MB μνήμης. Εάν βλέπετε μεγάλη χρήση της CPU και χρήση μνήμης άνω των 10 MB και δεν έχετε πραγματοποιήσει κάποια ενέργεια που σχετίζεται με την ασφάλεια, όπως να αλλάξετε πρόσφατα τα στοιχεία σύνδεσής σας, τότε κάτι δεν πάει καλά.
Σε αυτήν την περίπτωση, χρησιμοποιήστε τη Διαχείριση εργασιών για να τερματίσετε τη διαδικασία. Στη συνέχεια, μεταβείτε στη θέση του αρχείου και Shift + Διαγραφή το αρχείο. Η πραγματική διαδικασία θα έφερνε ένα σφάλμα, αλλά μια ψεύτικη όχι, οπότε θα ξέρετε σίγουρα. Επίσης, για να είστε σίγουροι, θα πρέπει ελέγξτε το Ιστορικό αρχείων για να βεβαιωθείτε ότι τα Windows δεν διατήρησαν αντίγραφο ασφαλείας.
2. Το Lsass.exe είναι λάθος
Όπως και στο typosquatting, οι χάκερ συχνά μετονομάζουν τις διαδικασίες που έχουν παραβιάσει ώστε να μοιάζουν με τις πραγματικές. Σε αυτήν την περίπτωση, ένας εισβολέας μπορεί έξυπνα να ονομάσει την ψεύτικη διαδικασία με ένα κεφαλαίο "i" για να μιμηθεί την εμφάνιση του πεζού "L". Ένας μετατροπέας θήκης μπορεί να σας βοηθήσει να εντοπίσετε εύκολα το αρχείο απατεώνων. Το ψεύτικο όνομα της διαδικασίας μπορεί επίσης να έχει ένα επιπλέον "a" ή "s". Αν δείτε τέτοιες ανορθόγραφες διαδικασίες, Shift + Διαγραφή το αρχείο και συνεχίστε με το Ιστορικό αρχείων για να αφαιρέσετε αντίγραφα ασφαλείας.
3. Το Lsass.exe βρίσκεται σε άλλο φάκελο
Θα χρειαστεί να περάσετε από τη Διαχείριση εργασιών εδώ. Ανοιξε Διαχειριστής εργασιών> Διεργασίες των Windowsκαι αναζητήστε "Διαδικασία τοπικής αρχής ασφαλείας". Στη συνέχεια, κάντε δεξί κλικ στη διαδικασία για να δείτε τις επιλογές σας και επιλέξτε Ανοίξτε την τοποθεσία αρχείου. Το πραγματικό αρχείο lsass.exe θα βρίσκεται στο φάκελο "C:\Windows\System32". Ένα αρχείο σε οποιαδήποτε άλλη τοποθεσία είναι πιθανότατα κακόβουλο λογισμικό. αφαίρεσε το.
4. Περισσότερες από μία διαδικασία ή αρχείο Lsass
Όταν χρησιμοποιείτε τη Διαχείριση εργασιών για έλεγχο, θα πρέπει να βλέπετε μόνο μία "Διαδικασία τοπικής αρχής ασφαλείας". Είναι φυσιολογικό για αυτή τη διαδικασία να εκτελούνται δραστηριότητες όταν κάνετε κλικ στο αναπτυσσόμενο κουμπί. Ωστόσο, εάν δείτε περισσότερες από μία διαδικασίες τοπικής αρχής ασφαλείας να εκτελούνται, οι πιθανότητες είναι ότι έχετε πέσει θύμα κλοπής διαπιστευτηρίων. Το ίδιο ισχύει για την προβολή περισσότερων από ένα αρχείων lsass.exe όταν μεταβαίνετε στη θέση του αρχείου. Σε αυτήν την περίπτωση, προσπαθήστε να διαγράψετε τα αρχεία. Το πραγματικό lsass.exe θα εμφανίσει ένα σφάλμα εάν προσπαθήσετε να το διαγράψετε.
5. Το αρχείο Lsass.exe είναι πολύ μεγάλο
Τα αρχεία Lsass.exe είναι μικρά—αυτό στον υπολογιστή μας που εκτελείται στα Windows 11 είναι 83 KB. Ο υπολογιστής Windows 10 που ελέγξαμε έχει έναν μεγάλο 60 KB. Έτσι τα αρχεία lsass.exe είναι μικροσκοπικά. Φυσικά, οι εισβολείς γνωρίζουν ότι ένα μεγάλο αρχείο Lsass.exe είναι ένα νεκρό δώρο, επομένως γενικά κάνουν τα ωφέλιμα φορτία τους μικρά. Ένα μικρό μέγεθος αρχείου που συνάδει με τις τιμές μας, λοιπόν, δεν σας λέει πολλά. Ωστόσο, αν λάβετε υπόψη τα προαναφερθέντα ενδεικτικά σημάδια, μπορείτε εύκολα να εντοπίσετε το κακόβουλο λογισμικό μεταμφιεσμένο.
Πώς να αποτρέψετε την κλοπή διαπιστευτηρίων μέσω των Windows LSASS
Η ασφάλεια στους υπολογιστές με Windows συνεχίζει να βελτιώνεται, αλλά η κλοπή διαπιστευτηρίων εξακολουθεί να είναι ισχυρή απειλή, ειδικά για παλιές συσκευές που διαθέτουν ξεπερασμένα λειτουργικά συστήματα ή καινούργια πίσω στο λογισμικό ενημερώσεις. Ακολουθούν τρεις τρόποι για να αποτρέψετε την κλοπή διαπιστευτηρίων για μη προχωρημένους χρήστες των Windows.
Κατεβάστε και εγκαταστήστε τις πιο πρόσφατες ενημερώσεις ασφαλείας
Οι ενημερώσεις ασφαλείας διορθώνουν ευπάθειες που μπορούν να εκμεταλλευτούν οι εισβολείς για να καταλάβουν τον υπολογιστή σας. Το να διατηρείτε ενημερωμένες τις συσκευές στο δίκτυό σας μειώνει τον κίνδυνο χακαρίσματος. Επομένως, ρυθμίστε τον υπολογιστή σας να κατεβάζει και να εγκαθιστά αυτόματα τις ενημερώσεις των Windows μόλις γίνουν διαθέσιμες. Θα πρέπει επίσης να πάρετε ενημερώσεις ασφαλείας για προγράμματα τρίτων στον υπολογιστή σας.
Χρησιμοποιήστε το Windows Defender Credential Guard
Windows Defender Credential Guard είναι ένα χαρακτηριστικό ασφαλείας που δημιουργεί μια απομονωμένη διαδικασία LSASS (LSAIso). Όλα τα διαπιστευτήρια αποθηκεύονται με ασφάλεια σε αυτήν την απομονωμένη διαδικασία, η οποία, με τη σειρά της, επικοινωνεί με την κύρια διαδικασία LSASS για την επικύρωση των χρηστών. Αυτό προστατεύει την ακεραιότητα των διαπιστευτηρίων σας και αποτρέπει τους χάκερ από το να κλέψουν πολύτιμα δεδομένα σε περίπτωση επίθεσης.
Το Credential Guard είναι διαθέσιμο στις γεύσεις Enterprise και Pro των Windows 10 και Windows 11, καθώς και σε επιλεγμένες εκδόσεις των Windows Servers. Αυτές οι συσκευές πρέπει επίσης να πληρούν αυστηρές απαιτήσεις όπως η Ασφαλής εκκίνηση και η εικονικοποίηση 64-bit. Πρέπει να ενεργοποιήσετε αυτή τη δυνατότητα χειροκίνητα, καθώς δεν είναι ενεργοποιημένη από προεπιλογή.
Απενεργοποιήστε την πρόσβαση στην απομακρυσμένη επιφάνεια εργασίας
Η Απομακρυσμένη επιφάνεια εργασίας επιτρέπει σε εσάς και σε άλλα εξουσιοδοτημένα άτομα να χρησιμοποιείτε έναν υπολογιστή χωρίς να βρίσκεστε στην ίδια φυσική τοποθεσία. Είναι εξαιρετικό όταν θέλετε να λάβετε αρχεία από μια συσκευή εργασίας στο μηχάνημα του σπιτιού σας ή όταν η τεχνική υποστήριξη θέλει να σας βοηθήσει να αντιμετωπίσετε ένα πρόβλημα που δεν μπορείτε να περιγράψετε ακριβώς. Παρά την ευκολία, η απομακρυσμένη πρόσβαση στην επιφάνεια εργασίας σας αφήνει επίσης ευάλωτος σε επιθέσεις.
Για να απενεργοποιήσετε την απομακρυσμένη πρόσβαση, πατήστε το Κλειδί των Windows στη συνέχεια πληκτρολογήστε "Remote settings". Επιλέξτε «Να επιτρέπεται η απομακρυσμένη πρόσβαση στον υπολογιστή σας και καταργήστε την επιλογή «Να επιτρέπεται η σύνδεση απομακρυσμένης βοήθειας σε αυτόν τον υπολογιστή» στο πλαίσιο διαλόγου.
Θέλετε επίσης να ελέγξετε και να αφαιρέσετε λογισμικό απομακρυσμένης πρόσβασης όπως το TeamViewer, το AeroAdmin και το AnyDesk. Όχι μόνο αυτά τα προγράμματα αυξάνουν την έκθεσή σας σε κοινές επιθέσεις κακόβουλου λογισμικού και ευπάθειας, αλλά και επιθέσεις Living off the Land—όπου οι χάκερ εκμεταλλεύονται προεγκατεστημένα προγράμματα για να πραγματοποιήσουν μια επίθεση.
Οι επιτιθέμενοι θέλουν τα κλειδιά του σπιτιού, αλλά μπορείτε να τους σταματήσετε
Το LSASS κρατά τα κλειδιά του υπολογιστή σας. Ο συμβιβασμός αυτής της διαδικασίας επιτρέπει στους εισβολείς να έχουν πρόσβαση στα μυστικά της συσκευής σας ανά πάσα στιγμή. Το χειρότερο μέρος είναι ότι μπορούν να έχουν πρόσβαση σαν να ήταν νόμιμος χρήστης. Αν και μπορείτε να βρείτε και να αφαιρέσετε αυτούς τους εισβολείς, είναι καλύτερο να τους αποτρέψετε εξαρχής. Η διατήρηση της συσκευής σας ενημερωμένη και η προσαρμογή των ρυθμίσεων ασφαλείας σάς βοηθά να επιτύχετε αυτόν τον στόχο.
