Krádež poverení je typ kybernetického útoku, pri ktorom sa hackeri zameriavajú na proces, ktorý zabezpečuje bezpečnosť systému Windows. Môžete to prirovnať k zlodejovi, ktorý vám stiahne kľúče od domu a rýchlo ich skopíruje. S týmito kľúčmi majú prístup do vášho domu, kedykoľvek budú chcieť. Čo teda robiť, keď zistíte, že vám kľúče ukradli? Vymeníte zámky. Tu je návod, ako urobiť ekvivalent toho v systéme Windows na boj proti krádeži poverení.
Čo je Windows LSASS?
Služba Windows Local Security Authority Server Service (LSASS) je proces, ktorý spravuje bezpečnostnú politiku vášho počítača. LSASS overuje prihlásenia, zmeny hesiel, prístupové tokeny a správcovské oprávnenia pre viacerých používateľov na systéme alebo serveri.
Predstavte si LSASS ako vyhadzovača, ktorý kontroluje ID pri hlavnej bráne a uzatvára VIP izby. Bez vyhadzovača pri dverách môže do klubu vstúpiť s falošným preukazom ktokoľvek a nič mu nebráni vo vstupe do zakázaných priestorov.
Čo je kradnutie poverení?
LSASS beží ako proces, lsass.exe. Po spustení ukladá lsass.exe do pamäte overovacie poverenia, ako sú šifrované heslá, NT hash, LM hash a lístky Kerberos. Uloženie týchto poverení v pamäti umožňuje používateľom pristupovať k súborom a zdieľať ich počas aktívnych relácií Windows bez opätovného zadávania poverení zakaždým, keď potrebujú vykonať úlohu.
Ku krádeži poverení dochádza, keď útočníci používajú nástroje ako Mimikatz na odstránenie, presun, úpravu alebo nahradenie skutočného súboru lsass.exe. Medzi ďalšie populárne nástroje na kradnutie poverení patria Crackmapexec a Lsassy.
Ako hackeri kradnú poverenia LSASS
Pri krádeži poverení útočníci zvyčajne vzdialene pristupujú k počítaču obete – hackeri získavajú vzdialený prístup niekoľkými spôsobmi. Medzitým extrahovanie alebo vykonávanie zmien v LSASS vyžaduje oprávnenia správcu. Prvou úlohou útočníka teda bude zvýšiť svoje privilégiá. S týmto prístupom môžu nainštalovať malvér na výpis procesu LSASS, stiahnuť výpis a lokálne z neho extrahovať poverenia.
Program Microsoft Defender sa však stal efektívnejší pri identifikácii a odstraňovaní škodlivého softvéru, čo znamená, že hackeri sa k nemu zvyčajne uchyľujú Living off the Land útoky. Tu útočník unesie zraniteľné natívne aplikácie Windows a použije ich na vykradnutie poverení v LSASS.
Napríklad pomocou Správcu úloh môže útočník otvoriť Správcu úloh, posunúť sa nadol na „Procesy systému Windows“ a nájsť „Miestne Proces bezpečnostnej autority." Kliknutím pravým tlačidlom myši získa útočník možnosť vytvoriť súbor výpisu alebo súbor otvoriť umiestnenie. Rozhodnutie útočníka závisí od jeho cieľov. Môžu si stiahnuť súbor výpisu na extrahovanie poverení alebo nahradiť skutočný lsass.exe falošným.
Krádež poverení: Ako to skontrolovať a čo robiť
Pokiaľ ide o kontrolu, či ste sa stali obeťou útoku krádeže poverení, tu je päť spôsobov, ako to zistiť.
1. Lsass.exe využíva množstvo hardvérových zdrojov
Spustite Správcu úloh a skontrolujte využitie procesora a pamäte procesu. Za normálnych okolností by tento proces mal využívať 0 percent vášho procesora a približne 5 MB pamäte. Ak vidíte veľké využitie procesora a viac ako 10 MB pamäte a nevykonali ste akciu súvisiacu so zabezpečením, ako je nedávna zmena prihlasovacích údajov, niečo nie je v poriadku.
V takom prípade proces ukončite pomocou Správcu úloh. Potom prejdite do umiestnenia súboru a Shift + Delete súbor. Skutočný proces by vyvolal chybu, ale falošný nie, takže by ste to určite vedeli. Tiež, aby ste si boli istí, mali by ste pozrite si históriu súborov aby ste sa uistili, že systém Windows neuchoval zálohu.
2. Lsass.exe je nesprávne napísané
Ako pri preklepochhackeri často premenovávajú procesy, ktoré uniesli, aby vyzerali ako tie skutočné. V tomto prípade môže útočník šikovne pomenovať falošný proces veľkým „i“, aby napodobnil vzhľad malého písmena „L“. Konvertor prípadu vám pomôže ľahko nájsť súbor podvodníka. Falošný názov procesu môže mať aj ďalšie „a“ alebo „s“. Ak uvidíte takéto nesprávne napísané procesy, Shift + Delete súbor a postupujte podľa histórie súborov na odstránenie záloh.
3. Lsass.exe je v inom priečinku
Tu budete musieť prejsť cez Správcu úloh. OTVORENÉ Správca úloh> Procesy Windowsa vyhľadajte „Proces miestneho bezpečnostného úradu“. Potom kliknite pravým tlačidlom myši na proces, aby ste videli svoje možnosti a vyberte si Otvorte umiestnenie súboru. Skutočný súbor lsass.exe bude v priečinku "C:\Windows\System32". Súbor na akomkoľvek inom mieste je s najväčšou pravdepodobnosťou malvér; odober to.
4. Viac ako jeden proces alebo súbor Lsass
Keď na kontrolu používate Správcu úloh, mali by ste vidieť iba jeden „Proces miestneho bezpečnostného úradu“. Pre tento proces je normálne, že po kliknutí na rozbaľovacie tlačidlo sú spustené aktivity. Ak však vidíte, že beží viac ako jeden proces miestnej bezpečnostnej autority, je pravdepodobné, že ste sa stali obeťou krádeže poverení. To isté platí pre zobrazenie viac ako jedného súboru lsass.exe, keď prejdete do umiestnenia súboru. V takom prípade sa pokúste vymazať súbory. Skutočný lsass.exe vyvolá chybu, ak sa ho pokúsite odstrániť.
5. Súbor Lsass.exe je príliš veľký
Súbory Lsass.exe sú malé – súbor na našom počítači so systémom Windows 11 má 83 kB. Počítač so systémom Windows 10, ktorý sme skontrolovali, má jeden počítač s veľkosťou 60 kB. Súbory lsass.exe sú teda malé. Útočníci samozrejme vedia, že veľký súbor Lsass.exe je prezradí, takže vo všeobecnosti svoje užitočné zaťaženie znížia. Malá veľkosť súboru v súlade s našimi hodnotami vám teda veľa nehovorí. Ak však zohľadníte vyššie uvedené varovné znaky, môžete ľahko spozorovať skrytý malvér.
Ako zabrániť krádeži poverení prostredníctvom Windows LSASS
Zabezpečenie počítačov so systémom Windows sa neustále zlepšuje, ale krádež poverení je stále silná hrozba, najmä pre staré zariadenia so zastaranými operačnými systémami alebo s novými zaostalými v softvéri aktualizácie. Tu sú tri spôsoby, ako zabrániť krádeži poverení pre nepokročilých používateľov systému Windows.
Stiahnite si a nainštalujte najnovšie aktualizácie zabezpečenia
Aktualizácie zabezpečenia opravujú slabé miesta, ktoré môžu útočníci zneužiť na ovládnutie vášho počítača. Udržiavanie zariadení vo vašej sieti aktuálne znižuje riziko napadnutia. Nastavte teda počítač tak, aby automaticky sťahoval a inštaloval aktualizácie systému Windows hneď, ako budú k dispozícii. Mali by ste tiež dostať bezpečnostné aktualizácie pre programy tretích strán na vašom PC.
Použite Windows Defender Credential Guard
Ochrana poverení programu Windows Defender je bezpečnostný prvok, ktorý vytvára izolovaný proces LSASS (LSAIso). Všetky prihlasovacie údaje sú bezpečne uložené v tomto izolovanom procese, ktorý zase komunikuje s hlavným procesom LSASS na overenie používateľov. To chráni integritu vašich poverení a zabraňuje hackerom ukradnúť cenné údaje v prípade útoku.
Credential Guard je k dispozícii vo verziách Enterprise a Pro Windows 10 a Windows 11, ako aj vo vybraných verziách Windows Serverov. Tieto zariadenia musia tiež spĺňať prísne požiadavky ako Secure Boot a 64-bitová virtualizácia. Túto funkciu musíte povoliť manuálne, pretože v predvolenom nastavení nie je povolená.
Zakázať prístup k vzdialenej ploche
Vzdialená plocha umožňuje vám a ďalším oprávneným osobám používať počítač bez toho, aby ste sa nachádzali na rovnakom mieste. Je to skvelé, keď chcete získať súbory z pracovného zariadenia na domácom počítači alebo keď vám technická podpora chce pomôcť vyriešiť problém, ktorý neviete presne opísať. Napriek pohodliu vás opúšťa aj prístup na vzdialenú plochu zraniteľné voči útokom.
Ak chcete zakázať vzdialený prístup, stlačte tlačidlo Windows kľúč potom zadajte „vzdialené nastavenia“. V dialógovom okne vyberte možnosť „Povoliť vzdialený prístup k vášmu počítaču“ a zrušte začiarknutie políčka „Povoliť pripojenie vzdialenej pomoci k tomuto počítaču“.
Tiež chcete skontrolovať a odstrániť softvér pre vzdialený prístup ako TeamViewer, AeroAdmin a AnyDesk. Nielenže tieto programy zvyšujú vaše vystavenie bežnému malvéru a útokom na zraniteľnosť, ale aj útokom Living off the Land – kde hackeri využívajú predinštalované programy na uskutočnenie útoku.
Útočníci chcú kľúče od domu, ale môžete ich zastaviť
LSASS drží kľúče od vášho počítača. Narušenie tohto procesu umožňuje útočníkom kedykoľvek získať prístup k tajomstvám vášho zariadenia. Najhoršie na tom je, že k nemu majú prístup, akoby boli legitímnym používateľom. Hoci týchto votrelcov môžete nájsť a odstrániť, najlepšie je im v prvom rade zabrániť. Udržiavanie aktualizovaného zariadenia a úprava nastavení zabezpečenia vám pomôže dosiahnuť tento cieľ.