Autentiseringsstöld är en typ av cyberattack där hackare riktar in sig på processen som hanterar Windows-säkerhet. Du kan likna det vid att en tjuv sveper dina husnycklar och snabbt kopierar dem. Med dessa nycklar har de tillgång till ditt hus när de vill. Så vad gör du när du upptäcker att dina nycklar är stulna? Du byter lås. Så här gör du motsvarande det på Windows för att bekämpa autentiseringsstöld.
Vad är Windows LSASS?
Windows Local Security Authority Server Service (LSASS) är en process som hanterar din dators säkerhetspolicy. LSASS validerar inloggningar, lösenordsändringar, åtkomsttokens och administrativa privilegier för flera användare på ett system eller en server.
Tänk på LSASS som dörrvakten som kontrollerar ID: n vid huvudporten och spärrar av VIP-rum. Utan en dörrvakt vid dörren kan vem som helst komma in på klubben med ett falskt ID, och ingenting hindrar dem från att gå in i områden med begränsade platser.
Vad är identitetsstöld?
LSASS körs som en process, lsass.exe. Vid uppstart lagrar lsass.exe autentiseringsuppgifter som krypterade lösenord, NT-haschar, LM-haschar och Kerberos-biljetter i minnet. Genom att lagra dessa autentiseringsuppgifter i minnet kan användare komma åt och dela filer under aktiva Windows-sessioner utan att behöva ange autentiseringsuppgifterna varje gång de behöver utföra en uppgift.
Autentiseringsstöld är när angripare använder verktyg som Mimikatz för att ta bort, flytta, redigera eller ersätta den riktiga filen lsass.exe. Andra populära verktyg för att stjäla referenser inkluderar Crackmapexec och Lsassy.
Hur hackare stjäl LSASS-uppgifter
Vanligtvis får angripare vid autentiseringsstöld fjärråtkomst till offrets dator – hackare får fjärråtkomst på flera sätt. Samtidigt kräver att extrahera eller göra ändringar i LSASS administratörsbehörigheter. Så angriparens första uppdrag är att höja sina privilegier. Med denna åtkomst kan de installera skadlig programvara för att dumpa LSASS-processen, ladda ner dumpen och extrahera referenserna lokalt från den.
Microsoft Defender har dock blivit mer effektiv på att identifiera och ta bort skadlig programvara, vilket innebär att hackare tenderar att ta till Att leva på Landsattackerna. Här kapar angriparen sårbara inbyggda Windows-appar och använder dem för att plundra referenserna i LSASS.
Till exempel, med Task Manager kan en angripare öppna Aktivitetshanteraren, rulla ner till "Windows Processer" och hitta "Local Säkerhetsmyndighetens process." Högerklicka på detta ger angriparen möjlighet att skapa en dumpfil eller öppna filen plats. Angriparens beslut från och med nu beror på deras mål. De kan ladda ner dumpfilen för att extrahera referenser eller ersätta den riktiga lsass.exe med en falsk.
Autentiseringsstöld: Hur man kontrollerar och vad man ska göra
När det kommer till att kontrollera om du har blivit utsatt för en attack med identitetsstöld, här är fem sätt du kan ta reda på.
1. Lsass.exe använder mycket hårdvaruresurser
Ladda upp Task Manager och kontrollera processen CPU och minnesanvändning. Normalt bör denna process använda 0 procent av din CPU och cirka 5 MB minne. Om du ser hög CPU-användning och mer än 10 MB minnesanvändning, och du inte har utfört en säkerhetsrelaterad åtgärd som att ändra dina inloggningsuppgifter nyligen, så är det något fel.
I det här fallet, använd Aktivitetshanteraren för att avsluta processen. Gå sedan till filplatsen och Skift + Delete filen. Den verkliga processen skulle ge ett fel, men en falsk skulle inte göra det, så du vet säkert. För att vara säker borde du också göra det kolla in filhistorik för att se till att Windows inte sparade en säkerhetskopia.
2. Lsass.exe är felstavat
Som i stavfel, döper hackare ofta om processer som de har kapat för att se ut som de riktiga. I det här fallet kan en angripare på ett smart sätt namnge den falska processen med ett versaler "i" för att efterlikna utseendet av gemener "L". En case-omvandlare kan hjälpa dig att hitta bedragarfilen enkelt. Det falska processnamnet kan också ha ett extra "a" eller "s." Om du ser sådana felstavade processer, Skift + Delete filen och följ upp med filhistorik för att ta bort säkerhetskopior.
3. Lsass.exe finns i en annan mapp
Du måste gå igenom Task Manager här. Öppen Aktivitetshanteraren> Windows-processer, och sök efter "Local Security Authority Process." Högerklicka sedan på processen för att se dina alternativ och välj Öppna filplats. Den riktiga lsass.exe-filen kommer att finnas i mappen "C:\Windows\System32". En fil på någon annan plats är troligen skadlig programvara; ta bort den.
4. Mer än en Lsass-process eller fil
När du använder Task Manager för att kontrollera bör du bara se en "Local Security Authority Process." Det är normalt att den här processen har aktiviteter igång när du klickar på rullgardinsknappen. Men om du ser mer än en lokal säkerhetsmyndighetsprocess köra, är oddsen att du har blivit offer för identitetsstöld. Detsamma gäller för att se mer än en lsass.exe-fil när du går till filplatsen. Försök i så fall att radera filerna. Den verkliga lsass.exe ger upp ett felmeddelande om du försöker ta bort det.
5. Filen Lsass.exe är för stor
Lsass.exe-filerna är små – den på vår dator som körs på Windows 11 är 83 KB. Windows 10-datorn vi kontrollerade har en 60 KB stor. Så lsass.exe-filerna är små. Naturligtvis vet angripare att en stor Lsass.exe-fil är en död giveaway, så de gör vanligtvis sina nyttolaster små. En liten filstorlek som överensstämmer med våra värderingar säger dig inte mycket. Men om du tar hänsyn till de tidigare nämnda kontrollanta tecknen kan du enkelt upptäcka skadlig programvara i förklädnad.
Hur man förhindrar identitetsstöld genom Windows LSASS
Säkerheten på Windows-datorer fortsätter att förbättras, men autentiseringsstöld är fortfarande en potent hot, särskilt för gamla enheter som kör föråldrade operativsystem eller nya som ligger bakom programvaran uppdateringar. Här är tre sätt att förhindra autentiseringsstöld för icke-avancerade Windows-användare.
Ladda ner och installera de senaste säkerhetsuppdateringarna
Säkerhetsuppdateringar korrigerar sårbarheter som angripare kan utnyttja för att ta över din dator. Att hålla enheter i ditt nätverk uppdaterade minskar risken för att bli hackad. Så ställ in din dator på att automatiskt ladda ner och installera Windows-uppdateringar så snart de blir tillgängliga. Du bör också få säkerhetsuppdateringar för tredjepartsprogram på din PC.
Använd Windows Defender Credential Guard
Windows Defender Credential Guard är en säkerhetsfunktion som skapar en isolerad LSASS-process (LSAIso). Alla referenser lagras säkert i denna isolerade process, som i sin tur kommunicerar med LSASS-huvudprocessen för att validera användare. Detta skyddar integriteten hos dina referenser och förhindrar hackare från att stjäla värdefull data i händelse av en attack.
Credential Guard är tillgängligt på Enterprise och Pro-versionerna av Windows 10 och Windows 11, såväl som utvalda versioner av Windows-servrar. Dessa enheter måste också uppfylla stränga krav som Secure Boot och 64-bitars virtualisering. Du måste aktivera den här funktionen manuellt, eftersom den inte är aktiverad som standard.
Inaktivera fjärrskrivbordsåtkomst
Remote Desktop låter dig och andra behöriga personer använda en dator utan att vara på samma fysiska plats. Det är bra när du vill hämta filer från en arbetsenhet på din hemmaskin eller när teknisk support vill hjälpa dig att felsöka ett problem som du inte kan beskriva exakt. Trots bekvämligheten lämnar du också åtkomst till fjärrskrivbord sårbara för attacker.
För att inaktivera fjärråtkomst, tryck på Windows-nyckel skriv sedan "fjärrinställningar". Välj "Tillåt fjärråtkomst till din dator och avmarkera "Tillåt fjärrassistansanslutning till den här datorn" i dialogrutan.
Du vill också kontrollera och ta bort programvara för fjärråtkomst som TeamViewer, AeroAdmin och AnyDesk. Dessa program ökar inte bara din exponering för vanliga skadliga program och sårbarhetsattacker, utan även Living off the Land-attacker – där hackare utnyttjar förinstallerade program för att utföra en attack.
Angripare vill ha nycklarna till huset, men du kan stoppa dem
LSASS håller nycklarna till din dator. Genom att äventyra denna process kan angripare komma åt din enhets hemligheter när som helst. Det värsta är att de kan komma åt det som om de vore en legitim användare. Även om du kan hitta och ta bort dessa inkräktare, är det bäst att förhindra dem i första hand. Att hålla din enhet uppdaterad och justera säkerhetsinställningarna hjälper dig att uppnå detta mål.