Krádež pověření je typ kybernetického útoku, kdy se hackeři zaměřují na proces, který zajišťuje zabezpečení Windows. Můžete to přirovnat ke zloději, který vám otřepe klíče od domu a rychle je zkopíruje. S těmito klíči mají přístup do vašeho domu, kdykoli chtějí. Co tedy uděláte, když zjistíte, že vám byly ukradeny klíče? Vyměníte zámky. Zde je návod, jak provést ekvivalent toho v systému Windows v boji proti krádeži pověření.
Co je Windows LSASS?
Služba Windows Local Security Authority Server Service (LSASS) je proces, který spravuje zásady zabezpečení vašeho počítače. LSASS ověřuje přihlášení, změny hesel, přístupové tokeny a administrátorská oprávnění pro více uživatelů na systému nebo serveru.
Představte si LSASS jako vyhazovače, který kontroluje ID u hlavní brány a uzavírá VIP pokoje. Bez vyhazovače u dveří může do klubu s falešným průkazem vstoupit kdokoli a nic mu nebrání ve vstupu do zakázaných prostor.
Co je krádež přihlašovacích údajů?
LSASS běží jako proces, lsass.exe. Po spuštění ukládá lsass.exe do paměti ověřovací údaje, jako jsou šifrovaná hesla, NT hash, LM hash a Kerberos lístky. Uložení těchto přihlašovacích údajů do paměti umožňuje uživatelům přistupovat k souborům a sdílet je během aktivních relací systému Windows, aniž by je museli znovu zadávat pokaždé, když potřebují provést úlohu.
Ke krádeži pověření dochází, když útočníci používají nástroje jako Mimikatz k odstranění, přesunutí, úpravě nebo nahrazení skutečného souboru lsass.exe. Mezi další oblíbené nástroje pro krádeže přihlašovacích údajů patří Crackmapexec a Lsassy.
Jak hackeři kradou přihlašovací údaje LSASS
Při krádeži pověření útočníci obvykle vzdáleně přistupují k počítači oběti – hackeři získají vzdálený přístup několika způsoby. Mezitím extrahování nebo provádění změn v LSASS vyžaduje oprávnění správce. Prvním úkolem útočníka tedy bude zvýšit jeho privilegia. S tímto přístupem mohou nainstalovat malware pro výpis procesu LSASS, stáhnout výpis a lokálně z něj extrahovat přihlašovací údaje.
Microsoft Defender se však stal efektivnější při identifikaci a odstraňování malwaru, což znamená, že se k němu hackeři obvykle uchylují Living off the Land útoky. Zde útočník unese zranitelné nativní aplikace pro Windows a použije je k drancování přihlašovacích údajů v LSASS.
Například pomocí Správce úloh může útočník otevřít Správce úloh, posunout se dolů na „Procesy Windows“ a najít „Místní Proces bezpečnostního úřadu." Kliknutím pravým tlačítkem na toto dává útočníkovi možnost vytvořit soubor výpisu nebo soubor otevřít umístění. Rozhodnutí útočníka odsud závisí na jeho cílech. Mohou si stáhnout soubor s výpisem paměti a extrahovat přihlašovací údaje nebo nahradit skutečný lsass.exe falešným.
Krádež pověření: Jak zkontrolovat a co dělat
Pokud jde o kontrolu, zda jste se nestali obětí útoku krádeže přihlašovacích údajů, zde je pět způsobů, jak to zjistit.
1. Lsass.exe využívá mnoho hardwarových prostředků
Spusťte Správce úloh a zkontrolujte využití procesoru a paměti procesu. Normálně by tento proces měl využívat 0 procent vašeho CPU a asi 5 MB paměti. Pokud vidíte velké využití procesoru a více než 10 MB paměti a neprovedli jste akci související se zabezpečením, jako je nedávno změna přihlašovacích údajů, pak je něco špatně.
V takovém případě proces ukončete pomocí Správce úloh. Poté přejděte do umístění souboru a Shift + Delete soubor. Skutečný proces by vyvolal chybu, ale falešný ne, takže byste to věděli jistě. Pro jistotu byste také měli podívejte se na historii souborů abyste se ujistili, že systém Windows neuchoval zálohu.
2. Lsass.exe je chybně napsáno
Jako při překlepuhackeři často přejmenovávají procesy, které ukradli, aby vypadaly jako ty skutečné. V tomto případě může útočník chytře pojmenovat falešný proces velkým „i“, aby napodobil vzhled malého písmene „L“. Převaděč případů vám pomůže snadno najít soubor podvodníka. Falešný název procesu může mít navíc „a“ nebo „s“. Pokud uvidíte takové nesprávně napsané procesy, Shift + Delete soubor a postupujte podle historie souborů, abyste odstranili zálohy.
3. Lsass.exe je v jiné složce
Zde budete muset projít Správcem úloh. OTEVŘENO Správce úloh> Procesy Windowsa vyhledejte „Proces místního bezpečnostního úřadu“. Poté klikněte pravým tlačítkem na proces a zobrazte možnosti a vyberte si Otevřít umístění souboru. Skutečný soubor lsass.exe bude ve složce "C:\Windows\System32". Soubor v jakémkoli jiném umístění je s největší pravděpodobností malware; odstranit to.
4. Více než jeden proces nebo soubor Lsass
Když ke kontrole používáte Správce úloh, měli byste vidět pouze jeden „Proces místního bezpečnostního úřadu“. Pro tento proces je normální, že po klepnutí na rozbalovací tlačítko běží aktivity. Pokud však vidíte, že běží více než jeden proces místního bezpečnostního úřadu, je pravděpodobné, že jste se stali obětí krádeže přihlašovacích údajů. Totéž platí pro zobrazení více než jednoho souboru lsass.exe, když přejdete do umístění souboru. V takovém případě se pokuste soubory smazat. Skutečný lsass.exe vyvolá chybu, pokud se jej pokusíte odstranit.
5. Soubor Lsass.exe je příliš velký
Soubory Lsass.exe jsou malé – ten na našem počítači se systémem Windows 11 má 83 kB. Počítač se systémem Windows 10, který jsme zkontrolovali, má jeden počítač o velikosti 60 kB. Soubory lsass.exe jsou tedy malé. Útočníci samozřejmě vědí, že velký soubor Lsass.exe je prozradí, takže obvykle své užitečné zatížení sníží. Malá velikost souboru v souladu s našimi hodnotami vám tedy mnoho neřekne. Pokud však zohledníte výše uvedené varovné signály, můžete malware snadno objevit v přestrojení.
Jak zabránit krádeži pověření prostřednictvím Windows LSASS
Zabezpečení počítačů se systémem Windows se neustále zlepšuje, ale krádež přihlašovacích údajů je stále silná hrozba, zejména pro stará zařízení se zastaralými operačními systémy nebo s novými zaostalými v softwaru aktualizace. Zde jsou tři způsoby, jak zabránit krádeži pověření pro nepokročilé uživatele Windows.
Stáhněte a nainstalujte nejnovější aktualizace zabezpečení
Aktualizace zabezpečení opravují zranitelná místa, která mohou útočníci zneužít k ovládnutí vašeho počítače. Udržování aktuálních zařízení ve vaší síti snižuje riziko napadení. Nastavte tedy počítač tak, aby automaticky stahoval a instaloval aktualizace systému Windows, jakmile budou k dispozici. Měli byste také dostat bezpečnostní aktualizace pro programy třetích stran na vašem PC.
Použijte Windows Defender Credential Guard
Ochrana pověření Windows Defender je bezpečnostní prvek, který vytváří izolovaný proces LSASS (LSAIso). Všechny přihlašovací údaje jsou bezpečně uloženy v tomto izolovaném procesu, který zase komunikuje s hlavním procesem LSASS za účelem ověření uživatelů. To chrání integritu vašich přihlašovacích údajů a zabraňuje hackerům ukrást cenná data v případě útoku.
Credential Guard je k dispozici ve verzích Enterprise a Pro systémů Windows 10 a Windows 11 a také ve vybraných verzích serverů Windows. Tato zařízení musí také splňovat přísné požadavky jako Secure Boot a 64bitová virtualizace. Tuto funkci musíte aktivovat ručně, protože ve výchozím nastavení není povolena.
Zakázat přístup ke vzdálené ploše
Vzdálená plocha umožňuje vám a dalším oprávněným osobám používat počítač, aniž byste se nacházeli na stejném fyzickém místě. Je to skvělé, když chcete získat soubory z pracovního zařízení na domácím počítači nebo když vám technická podpora chce pomoci s řešením problému, který nedokážete přesně popsat. Navzdory pohodlí vás také opouští přístup ke vzdálené ploše zranitelný vůči útokům.
Chcete-li zakázat vzdálený přístup, stiskněte tlačítko Windows klíč poté zadejte „vzdálená nastavení“. Vyberte „Povolit vzdálený přístup k vašemu počítači“ a zrušte zaškrtnutí „Povolit připojení vzdálené pomoci k tomuto počítači“ v dialogovém okně.
Chcete také zkontrolovat a odstranit software pro vzdálený přístup jako TeamViewer, AeroAdmin a AnyDesk. Nejen, že tyto programy zvyšují vaše vystavení běžnému malwaru a útokům na zranitelnost, ale také útokům Living off the Land – kde hackeři využívají předinstalované programy k provedení útoku.
Útočníci chtějí klíče od domu, ale můžete je zastavit
LSASS drží klíče k vašemu počítači. Narušení tohoto procesu umožňuje útočníkům kdykoli získat přístup k tajemstvím vašeho zařízení. Nejhorší na tom je, že k němu mají přístup, jako by byli legitimním uživatelem. Přestože můžete tyto vetřelce najít a odstranit, je nejlepší jim v první řadě zabránit. Tohoto cíle dosáhnete tím, že budete své zařízení aktualizovat a upravíte nastavení zabezpečení.