Legitimationstyveri er en form for cyberangreb, hvor hackere målretter mod den proces, der håndterer Windows-sikkerhed. Du kan sammenligne det med, at en tyv stryger dine husnøgler og hurtigt kopierer dem. Med disse nøgler har de adgang til dit hus, når de vil. Så hvad gør du, når du opdager, at dine nøgler er stjålet? Du skifter låsene. Sådan gør du hvad der svarer til det på Windows for at bekæmpe tyveri af legitimationsoplysninger.
Hvad er Windows LSASS?
Windows Local Security Authority Server Service (LSASS) er en proces, der styrer din computers sikkerhedspolitik. LSASS validerer logins, adgangskodeændringer, adgangstokens og administrative privilegier for flere brugere på et system eller server.
Tænk på LSASS som udsmideren, der tjekker ID'er ved hovedporten og afspærrer VIP-rum. Uden en udsmider ved døren kan enhver komme ind i klubben med et falsk ID, og intet forhindrer dem i at gå ind i områder med forbud mod.
Hvad er legitimationstyveri?
LSASS kører som en proces, lsass.exe. Ved opstart gemmer lsass.exe autentificeringsoplysninger som krypterede adgangskoder, NT-hashes, LM-hashes og Kerberos-billetter i hukommelsen. Lagring af disse legitimationsoplysninger i hukommelsen giver brugerne adgang til og deler filer under aktive Windows-sessioner uden at indtaste legitimationsoplysningerne igen, hver gang de skal udføre en opgave.
Stjæling af legitimationsoplysninger er, når angribere bruger værktøjer som Mimikatz til at slette, flytte, redigere eller erstatte den rigtige lsass.exe-fil. Andre populære værktøjer til at stjæle legitimationsoplysninger inkluderer Crackmapexec og Lsassy.
Hvordan hackere stjæler LSASS-legitimationsoplysninger
Normalt ved tyveri af legitimationsoplysninger fjernadganger angribere ofrets computer – hackere får fjernadgang på flere måder. I mellemtiden kræver udpakning eller ændringer af LSASS administratorrettigheder. Så angriberens første opgave vil være at hæve deres privilegier. Med denne adgang kan de installere malware for at dumpe LSASS-processen, downloade dumpet og udtrække legitimationsoplysningerne lokalt fra det.
Microsoft Defender er dog blevet mere effektiv til at identificere og fjerne malware, hvilket betyder, at hackere har en tendens til at ty til At leve af landangrebene. Her kaprer angriberen sårbare native Windows-apps og bruger dem til at plyndre legitimationsoplysningerne i LSASS.
Ved at bruge Task Manager kan en hacker f.eks. åbne Task Manager, rulle ned til "Windows-processer" og finde "Local Sikkerhedsmyndighedsproces." Højreklik på dette giver angriberen mulighed for at oprette en dump-fil eller åbne filen Beliggenhed. Angriberens beslutning herfra afhænger af deres mål. De kan downloade dumpfilen for at udtrække legitimationsoplysninger eller erstatte den rigtige lsass.exe med en falsk.
Legitimationstyveri: Sådan tjekkes og hvad du skal gøre
Når det kommer til at tjekke, om du har været offer for et angreb, der stjæler legitimationsoplysninger, er her fem måder, du kan finde ud af.
1. Lsass.exe bruger en masse hardwareressourcer
Indlæs Task Manager og kontroller processen CPU og hukommelsesforbrug. Normalt skal denne proces bruge 0 procent af din CPU og omkring 5 MB hukommelse. Hvis du ser tungt CPU-brug og mere end 10 MB hukommelsesforbrug, og du ikke har udført en sikkerhedsrelateret handling som at ændre dine login-oplysninger for nylig, så er der noget galt.
I dette tilfælde skal du bruge Task Manager til at afslutte processen. Gå derefter til filplaceringen og Shift + Delete filen. Den virkelige proces ville give en fejl, men en falsk ville ikke, så du ved det med sikkerhed. Også, for at være sikker, bør du tjek Filhistorik for at sikre, at Windows ikke bevarede en sikkerhedskopi.
2. Lsass.exe er stavet forkert
Som ved stavefejl, omdøber hackere ofte processer, de har kapret, så de ligner de rigtige. I dette tilfælde kan en angriber snildt navngive den falske proces med et stort "i" for at efterligne udseendet af et lille "L". En sagskonverter kan hjælpe dig med nemt at finde bedragerfilen. Det falske procesnavn kan også have et ekstra "a" eller "s." Hvis du ser sådanne fejlstavede processer, Shift + Delete filen og følg op med Filhistorik for at fjerne sikkerhedskopier.
3. Lsass.exe er i en anden mappe
Du skal gå gennem Task Manager her. Åben Jobliste> Windows-processer, og søg efter "Local Security Authority Process." Højreklik derefter på processen for at se dine muligheder og vælg Åbn filplacering. Den rigtige lsass.exe-fil vil være i mappen "C:\Windows\System32". En fil på et hvilket som helst andet sted er højst sandsynligt malware; Fjern det.
4. Mere end én Lsass-proces eller fil
Når du bruger Task Manager til at tjekke, bør du kun se én "Local Security Authority Process." Det er normalt, at denne proces kører aktiviteter, når du klikker på rullemenuen. Men hvis du ser mere end én lokal sikkerhedsmyndighedsproces køre, er der odds, at du har været udsat for tyveri af legitimationsoplysninger. Det samme gælder for at se mere end én lsass.exe-fil, når du går til filplaceringen. I dette tilfælde skal du forsøge at slette filerne. Den rigtige lsass.exe vil give en fejl, hvis du prøver at slette den.
5. Lsass.exe-filen er for stor
Lsass.exe-filer er små - den på vores maskine, der kører på Windows 11, er 83 KB. Den Windows 10-computer, vi tjekkede, har en 60 KB stor. Så lsass.exe-filer er små. Selvfølgelig ved angribere, at en stor Lsass.exe-fil er en død giveaway, så de gør generelt deres nyttelast små. En lille filstørrelse, der stemmer overens med vores værdier, siger dig derfor ikke meget. Men hvis du medregner de førnævnte kontrolskilte, kan du nemt få øje på malwaren i forklædning.
Sådan forhindrer du tyveri af legitimationsoplysninger gennem Windows LSASS
Sikkerheden på Windows-computere bliver ved med at blive bedre, men tyveri af legitimationsoplysninger er stadig potent trussel, især for gamle enheder, der kører forældede operativsystemer eller nye, der ligger bag i software opdateringer. Her er tre måder at forhindre tyveri af legitimationsoplysninger for ikke-avancerede Windows-brugere.
Download og installer de seneste sikkerhedsopdateringer
Sikkerhedsopdateringer retter sårbarheder, som angribere kan udnytte til at overtage din computer. Ved at holde enheder på dit netværk opdaterede mindsker du risikoen for at blive hacket. Så indstil din computer til automatisk at downloade og installere Windows-opdateringer, så snart de bliver tilgængelige. Du bør også få sikkerhedsopdateringer til tredjepartsprogrammer på din pc.
Brug Windows Defender Credential Guard
Windows Defender Credential Guard er en sikkerhedsfunktion, der skaber en isoleret LSASS-proces (LSAIso). Alle legitimationsoplysninger er sikkert gemt i denne isolerede proces, som igen kommunikerer med LSASS-hovedprocessen for at validere brugere. Dette beskytter integriteten af dine legitimationsoplysninger og forhindrer hackere i at stjæle værdifulde data i tilfælde af et angreb.
Credential Guard er tilgængelig på Enterprise- og Pro-versionerne af Windows 10 og Windows 11 samt udvalgte versioner af Windows-servere. Disse enheder skal også opfylde strenge krav som Secure Boot og 64-bit virtualisering. Du skal aktivere denne funktion manuelt, da den ikke er aktiveret som standard.
Deaktiver fjernskrivebordsadgang
Remote Desktop lader dig og andre autoriserede personer bruge en computer uden at være på samme fysiske placering. Det er fantastisk, når du vil hente filer fra en arbejdsenhed på din hjemmemaskine, eller når teknisk support vil hjælpe dig med at fejlfinde et problem, som du ikke nøjagtigt kan beskrive. På trods af bekvemmeligheden forlader fjernskrivebordsadgang dig også sårbare over for angreb.
For at deaktivere fjernadgang skal du trykke på Windows nøgle skriv derefter "fjernindstillinger". Vælg "Tillad fjernadgang til din computer, og fjern markeringen af "Tillad fjernhjælpsforbindelse til denne computer" i dialogboksen.
Du vil også kontrollere og fjerne fjernadgangssoftware som TeamViewer, AeroAdmin og AnyDesk. Disse programmer øger ikke kun din eksponering for almindelige malware- og sårbarhedsangreb, men også Living off the Land-angreb – hvor hackere udnytter forudinstallerede programmer til at udføre et angreb.
Angribere vil have nøglerne til huset, men du kan stoppe dem
LSASS holder nøglerne til din computer. At kompromittere denne proces giver angribere mulighed for at få adgang til din enheds hemmeligheder til enhver tid. Det værste er, at de kan få adgang til det, som om de var en legitim bruger. Selvom du kan finde og fjerne disse ubudne gæster, er det bedst at forhindre dem i første omgang. At holde din enhed opdateret og justere sikkerhedsindstillinger hjælper dig med at nå dette mål.