Крађа акредитива је врста сајбер напада где хакери циљају процес који се бави безбедношћу оперативног система Виндовс. Можете то упоредити са лоповом који вам пребацује кључеве од куће и брзо их копира. Са овим кључевима, они имају приступ вашој кући кад год пожеле. Па шта радите када откријете да су вам кључеви украдени? Промениш браве. Ево како да урадите исто што и на Виндовс-у за борбу против крађе акредитива.
Шта је Виндовс ЛСАСС?
Виндовс Лоцал Сецурити Аутхорити Сервер Сервице (ЛСАСС) је процес који управља безбедносном политиком вашег рачунара. ЛСАСС потврђује пријаве, промене лозинки, приступне токене и административне привилегије за више корисника на систему или серверу.
Замислите ЛСАСС као избацивача који проверава личне карте на главној капији и затвара ВИП собе. Без избацивача на вратима, свако може да уђе у клуб са лажном легитимацијом и ништа га не спречава да уђе у забрањена подручја.
Шта је крађа акредитива?
ЛСАСС ради као процес, лсасс.еке. Након покретања, лсасс.еке складишти акредитиве за аутентификацију као што су шифроване лозинке, НТ хеш, ЛМ хеш и Керберос карте у меморији. Чување ових акредитива у меморији омогућава корисницима приступ и дељење датотека током активних Виндовс сесија без поновног уноса акредитива сваки пут када им је потребно да обаве задатак.
Крађа акредитива је када нападачи користе алатке као што је Мимикатз за брисање, премештање, измене или замене праве датотеке лсасс.еке. Други популарни алати за крађу акредитива укључују Црацкмапекец и Лсасси.
Како хакери краду ЛСАСС акредитиве
Обично, приликом крађе акредитива, нападачи даљински приступају рачунару жртве — хакери добијају даљински приступ на неколико начина. У међувремену, издвајање или уношење промена у ЛСАСС захтева администраторске привилегије. Дакле, први задатак нападача биће да подигне своје привилегије. Са овим приступом, они могу да инсталирају малвер да избаце ЛСАСС процес, преузму думп и из њега извуку акредитиве локално.
Међутим, Мицрософт Дефендер је постао ефикаснији у идентификацији и уклањању злонамерног софтвера, што значи да хакери обично прибегавају Живети од напада на Земљу. Овде нападач отима рањиве изворне Виндовс апликације и користи их за пљачку акредитива у ЛСАСС-у.
На пример, користећи Таск Манагер, нападач може да отвори Таск Манагер, скролује надоле до „Виндовс процеси“ и пронађе „Лоцал Процес ауторитета безбедности." Десни клик на ово даје нападачу могућност да креира думп датотеку или отвори датотеку локација. Одлука нападача од сада зависи од њихових циљева. Они могу да преузму думп датотеку да извуку акредитиве или да замене прави лсасс.еке лажним.
Крађа акредитива: како проверити и шта учинити
Када је у питању провера да ли сте били жртва напада крађе акредитива, ево пет начина на које можете да сазнате.
1. Лсасс.еке користи много хардверских ресурса
Учитајте Таск Манагер и проверите употребу процесора и меморије процеса. Обично овај процес треба да користи 0 процената вашег ЦПУ-а и око 5 МБ меморије. Ако видите велику употребу ЦПУ-а и више од 10 МБ меморије, а нисте извршили радњу у вези са безбедношћу као што је недавно променила детаље за пријављивање, онда нешто није у реду.
У овом случају, користите Таск Манагер да бисте завршили процес. Затим идите на локацију датотеке и Схифт + Делете фајл. Прави процес би довео до грешке, али лажни не би, тако да сигурно знате. Такође, да бисте били сигурни, требало би погледајте историју датотека да бисте били сигурни да Виндовс није сачувао резервну копију.
2. Лсасс.еке је погрешно написан
Као у куцању, хакери често преименују процесе које су отели да би изгледали као прави. У овом случају, нападач може паметно назвати лажни процес великим словом "и" како би имитирао изглед малих слова "Л". Конвертор случаја може вам помоћи да лако уочите датотеку варалице. Лажно име процеса такође може имати додатно „а“ или „с“. Ако видите такве погрешно написане процесе, Схифт + Делете датотеку и пратите историју датотека да бисте уклонили резервне копије.
3. Лсасс.еке је у другој фасцикли
Овде ћете морати да прођете кроз Таск Манагер. Отвори Таск Манагер> Виндовс процесии потражите „Процес локалног безбедносног органа“. Затим кликните десним тастером миша на процес да бисте видели своје опције и изаберите Отворите локацију датотеке. Права датотека лсасс.еке биће у фасцикли „Ц:\Виндовс\Систем32“. Датотека на било којој другој локацији је највероватније злонамерни софтвер; уклоните га.
4. Више од једног Лсасс процеса или датотеке
Када користите Таск Манагер за проверу, требало би да видите само један „Процес локалног безбедносног ауторитета“. Нормално је да овај процес покреће активности када кликнете на дугме падајућег менија. Међутим, ако видите да ради више од једног процеса локалног безбедносног ауторитета, постоји велика вероватноћа да сте били жртва крађе акредитива. Исто важи и за гледање више од једне датотеке лсасс.еке када одете на локацију датотеке. У том случају покушајте да избришете датотеке. Прави лсасс.еке ће приказати грешку ако покушате да је избришете.
5. Датотека Лсасс.еке је превелика
Датотеке Лсасс.еке су мале — она на нашој машини која ради на Виндовс 11 је 83 КБ. Виндовс 10 рачунар који смо проверили има један велики 60 КБ. Дакле, датотеке лсасс.еке су мале. Наравно, нападачи знају да је велики Лсасс.еке фајл мртав, тако да генерално чине своје корисно оптерећење малим. Мала величина датотеке у складу са нашим вредностима вам онда не говори много. Међутим, ако узмете у обзир горепоменуте знакове упозорења, лако можете уочити прикривени малвер.
Како спречити крађу акредитива преко Виндовс ЛСАСС
Безбедност на Виндовс рачунарима наставља да се побољшава, али је крађа акредитива и даље моћна претња, посебно за старе уређаје који користе застареле оперативне системе или нове који заостају у софтверу ажурирања. Ево три начина да спречите крађу акредитива за ненапредне Виндовс кориснике.
Преузмите и инсталирајте најновија безбедносна ажурирања
Безбедносне исправке закрпе рањивости које нападачи могу да искористе да би преузели ваш рачунар. Одржавање уређаја на мрежи ажурним смањује ризик од хаковања. Дакле, подесите рачунар да аутоматски преузима и инсталира ажурирања за Виндовс чим постану доступна. Такође би требало да добијете безбедносне исправке за програме независних произвођача на вашем рачунару.
Користите Виндовс Дефендер Цредентиал Гуард
Виндовс Дефендер Цредентиал Гуард је безбедносна карактеристика која ствара изоловани ЛСАСС процес (ЛСАИсо). Сви акредитиви су безбедно ускладиштени у овом изолованом процесу, који, заузврат, комуницира са главним ЛСАСС процесом да би потврдио кориснике. Ово штити интегритет ваших акредитива и спречава хакере да украду вредне податке у случају напада.
Цредентиал Гуард је доступан на Ентерприсе и Про верзијама за Виндовс 10 и Виндовс 11, као и на одабраним верзијама Виндовс сервера. Ови уређаји такође морају задовољити строги захтеви попут безбедног покретања и 64-битне виртуелизације. Ову функцију морате да омогућите ручно, јер није подразумевано омогућена.
Онемогућите приступ удаљеној радној површини
Удаљена радна површина омогућава вама и другим овлашћеним особама да користите рачунар без да се налазите на истој физичкој локацији. Одличан је када желите да преузмете датотеке са радног уређаја на кућној машини или када техничка подршка жели да вам помогне да решите проблем који не можете тачно да опишете. Упркос погодностима, приступ удаљеној радној површини такође вас оставља рањив на нападе.
Да бисте онемогућили даљински приступ, притисните Виндовс кључ затим унесите „даљинска подешавања“. Изаберите „Дозволи даљински приступ свом рачунару и поништите избор „Дозволи везу даљинске помоћи са овим рачунаром“ у оквиру за дијалог.
Такође желите да проверите и уклоните софтвер за даљински приступ као што су ТеамВиевер, АероАдмин и АниДеск. Не само да ови програми повећавају вашу изложеност уобичајеним нападима злонамерног софтвера и рањивости, већ и нападима Ливинг офф тхе Ланд—где хакери искориштавају унапред инсталиране програме да би извршили напад.
Нападачи желе кључеве од куће, али ви их можете зауставити
ЛСАСС држи кључеве вашег рачунара. Компромитовање овог процеса омогућава нападачима да приступе тајнама вашег уређаја у било ком тренутку. Најгоре је што му могу приступити као да су легитимни корисник. Иако можете пронаћи и уклонити ове уљезе, најбоље је да их спречите на првом месту. Одржавање ажурирања уређаја и прилагођавање безбедносних поставки помаже вам да постигнете овај циљ.
