Legitimasjonstyveri er en type nettangrep der hackere retter seg mot prosessen som håndterer Windows-sikkerhet. Du kan sammenligne det med en tyv som sveiper husnøklene dine og raskt kopierer dem. Med disse nøklene har de tilgang til huset ditt når de vil. Så hva gjør du når du oppdager at nøklene dine er stjålet? Du bytter låsene. Slik gjør du tilsvarende det på Windows for å bekjempe legitimasjonstyveri.
Hva er Windows LSASS?
Windows Local Security Authority Server Service (LSASS) er en prosess som administrerer datamaskinens sikkerhetspolicy. LSASS validerer pålogginger, passordendringer, tilgangstokener og administrative privilegier for flere brukere på et system eller server.
Tenk på LSASS som dørvakten som sjekker ID-er ved hovedporten og sperrer av VIP-rom. Uten en dørvakt ved døren kan hvem som helst gå inn i klubben med falsk ID, og ingenting hindrer dem i å gå inn i begrensede områder.
Hva er legitimasjonstyveri?
LSASS kjører som en prosess, lsass.exe. Ved oppstart lagrer lsass.exe autentiseringslegitimasjon som krypterte passord, NT-hasher, LM-hasher og Kerberos-billetter i minnet. Lagring av denne legitimasjonen i minnet lar brukere få tilgang til og dele filer under aktive Windows-økter uten å skrive inn legitimasjonen hver gang de skal utføre en oppgave.
Legitimasjonsstjeling er når angripere bruker verktøy som Mimikatz til å slette, flytte, redigere eller erstatte den ekte lsass.exe-filen. Andre populære verktøy for å stjele legitimasjon inkluderer Crackmapexec og Lsassy.
Hvordan hackere stjeler LSASS-legitimasjon
Vanligvis, ved tyveri av legitimasjon, får angripere ekstern tilgang til offerets datamaskin – hackere får ekstern tilgang på flere måter. I mellomtiden krever administratorrettigheter å trekke ut eller gjøre endringer i LSASS. Så angriperens første oppgave vil være å heve privilegiene sine. Med denne tilgangen kan de installere skadelig programvare for å dumpe LSASS-prosessen, laste ned dumpen og trekke ut legitimasjonen lokalt fra den.
Microsoft Defender har imidlertid blitt mer effektiv til å identifisere og fjerne skadelig programvare, noe som betyr at hackere har en tendens til å ty til Leve av Land-angrepene. Her kaprer angriperen sårbare native Windows-apper og bruker dem til å plyndre legitimasjonen i LSASS.
For eksempel, ved å bruke Task Manager, kan en angriper åpne Task Manager, rulle ned til "Windows Processes" og finne "Local Sikkerhetsmyndighets prosess." Høyreklikk på dette gir angriperen muligheten til å opprette en dumpfil eller åpne filen plassering. Angriperens avgjørelse herfra avhenger av målene deres. De kan laste ned dumpfilen for å trekke ut legitimasjon eller erstatte den ekte lsass.exe med en falsk.
Legitimasjonstyveri: Hvordan sjekke og hva du skal gjøre
Når det gjelder å sjekke om du har vært utsatt for et angrep på legitimasjonstyveri, her er fem måter du kan finne ut av det.
1. Lsass.exe bruker mye maskinvareressurser
Last opp Task Manager og sjekk prosess CPU og minnebruk. Normalt bør denne prosessen bruke 0 prosent av CPU-en og ca. 5 MB minne. Hvis du ser mye CPU-bruk og mer enn 10 MB minnebruk, og du ikke har utført en sikkerhetsrelatert handling som å endre påloggingsdetaljer nylig, så er det noe galt.
I dette tilfellet, bruk Oppgavebehandling for å avslutte prosessen. Gå deretter til filplasseringen og Shift + Delete filen. Den virkelige prosessen ville gi en feil, men en falsk ville ikke det, så du vet det sikkert. Også, for å være sikker, bør du sjekk ut filhistorikk for å sikre at Windows ikke bevarte en sikkerhetskopi.
2. Lsass.exe er feilstavet
Som ved skrivefeil, gir hackere ofte nytt navn til prosesser de har kapret for å se ut som de virkelige. I dette tilfellet kan en angriper på en smart måte navngi den falske prosessen med en stor "i" for å etterligne utseendet til liten "L". En sakskonverterer kan hjelpe deg med å finne bedragerfilen enkelt. Det falske prosessnavnet kan også ha en ekstra "a" eller "s." Hvis du ser slike feilstavede prosesser, Shift + Delete filen og følg opp med Filhistorikk for å fjerne sikkerhetskopier.
3. Lsass.exe er i en annen mappe
Du må gå gjennom Task Manager her. Åpen Oppgavebehandling> Windows-prosesser, og søk etter "Local Security Authority Process." Høyreklikk deretter prosessen for å se alternativene dine og velg Åpne fil plassering. Den ekte lsass.exe-filen vil være i mappen "C:\Windows\System32". En fil på et annet sted er mest sannsynlig skadelig programvare; fjern det.
4. Mer enn én Lsass-prosess eller fil
Når du bruker Task Manager til å sjekke, bør du bare se én "Local Security Authority Process." Det er normalt at denne prosessen kjører aktiviteter når du klikker på rullegardinknappen. Men hvis du ser mer enn én prosess for lokale sikkerhetsmyndigheter kjører, er sjansen stor for at du har vært offer for legitimasjonstyveri. Det samme gjelder for å se mer enn én lsass.exe-fil når du går til filplasseringen. I dette tilfellet, prøv å slette filene. Den virkelige lsass.exe vil gi en feilmelding hvis du prøver å slette den.
5. Lsass.exe-filen er for stor
Lsass.exe-filer er små – den på maskinen vår som kjører på Windows 11 er 83 KB. Windows 10-datamaskinen vi sjekket har en 60 KB stor. Så lsass.exe-filene er små. Selvfølgelig vet angripere at en stor Lsass.exe-fil er en død giveaway, så de gjør generelt nyttelastene små. En liten filstørrelse som samsvarer med våre verdier, sier deg ikke så mye. Men hvis du tar hensyn til de nevnte indikatorene, kan du enkelt oppdage skadelig programvare i forkledning.
Slik forhindrer du tyveri av legitimasjon gjennom Windows LSASS
Sikkerheten på Windows-datamaskiner fortsetter å forbedres, men tyveri av legitimasjon er fortsatt en potent trussel, spesielt for gamle enheter som kjører utdaterte operativsystemer eller nye som ligger bak i programvaren oppdateringer. Her er tre måter å forhindre tyveri av legitimasjon for ikke-avanserte Windows-brukere.
Last ned og installer de siste sikkerhetsoppdateringene
Sikkerhetsoppdateringer retter opp sårbarheter som angripere kan utnytte for å ta over datamaskinen din. Å holde enhetene på nettverket oppdatert reduserer risikoen for å bli hacket. Så, still inn datamaskinen til å laste ned og installere Windows-oppdateringer automatisk så snart de blir tilgjengelige. Du bør også få sikkerhetsoppdateringer for tredjepartsprogrammer på din PC.
Bruk Windows Defender Credential Guard
Windows Defender Credential Guard er en sikkerhetsfunksjon som skaper en isolert LSASS-prosess (LSAIso). All legitimasjon er trygt lagret i denne isolerte prosessen, som igjen kommuniserer med LSASS-hovedprosessen for å validere brukere. Dette beskytter integriteten til legitimasjonen din og forhindrer hackere i å stjele verdifull data i tilfelle et angrep.
Credential Guard er tilgjengelig på Enterprise- og Pro-variantene til Windows 10 og Windows 11, samt utvalgte versjoner av Windows-servere. Disse enhetene må også møtes strenge krav som Secure Boot og 64-biters virtualisering. Du må aktivere denne funksjonen manuelt, siden den ikke er aktivert som standard.
Deaktiver eksternt skrivebordstilgang
Remote Desktop lar deg og andre autoriserte personer bruke en datamaskin uten å være på samme fysiske plassering. Det er flott når du vil hente filer fra en arbeidsenhet på hjemmemaskinen din eller når teknisk støtte vil hjelpe deg med å feilsøke et problem du ikke kan beskrive nøyaktig. Til tross for bekvemmeligheten, gir ekstern skrivebordstilgang deg også sårbare for angrep.
For å deaktivere fjerntilgang, trykk på Windows-nøkkel skriv deretter inn "fjerninnstillinger". Velg "Tillat ekstern tilgang til datamaskinen din og fjern merket for "Tillat fjernhjelptilkobling til denne datamaskinen" i dialogboksen.
Du vil også sjekke og fjerne programvare for fjerntilgang som TeamViewer, AeroAdmin og AnyDesk. Ikke bare øker disse programmene eksponeringen din for vanlige skadevare- og sårbarhetsangrep, men også Living off the Land-angrep – der hackere utnytter forhåndsinstallerte programmer for å utføre et angrep.
Angripere vil ha nøklene til huset, men du kan stoppe dem
LSASS holder nøklene til datamaskinen din. Ved å kompromittere denne prosessen får angripere tilgang til enhetens hemmeligheter når som helst. Det verste er at de kan få tilgang til det som om de var en legitim bruker. Selv om du kan finne og fjerne disse inntrengerne, er det best å forhindre dem i utgangspunktet. Å holde enheten oppdatert og justere sikkerhetsinnstillingene hjelper deg med å nå dette målet.