Что такое кража учетных данных и как предотвратить ее на Windows

Что такое LSASS на Windows

Сервис проверки подлинности локальной системы безопасности (Local Security Authority Server Service, LSASS) — это процесс, который управляет политикой безопасности компьютера. LSASS проверяет логины, изменения паролей, токены доступа и административные привилегии у пользователей системы или сервера.

LSASS можно сравнить с охранником, который проверяет документы на входе в ночной клуб. Без него в заведение смог бы попасть любой человек с поддельными документами.

LSASS выполняется как процесс под названием lsass.exe. При запуске lsass.exe хранит в памяти такие аутентификационные данные, как зашифрованные пароли, НТ-хэши, LM-хэши и билеты Kerberos. Благодаря этому пользователи могут работать с файлами во время активных сеансов Windows, не вводя учетные данные каждый раз, когда нужно выполнить какую-либо задачу.

При краже учетных данных злоумышленники удаляют, перемещают, редактируют или заменяют настоящий файл lsass.exe. Для этого обычно используются такие инструменты, как Mimikatz, Crackmapexec и Lsassy.

Как происходит кража учетных данных через LSASS

Для этого злоумышленники обычно получают удаленный доступ к компьютеру жертвы — это можно сделать несколькими способами.

Во-первых, хакеру нужно получить права администратора, чтобы изменять LSASS. Так он сможет установить вредоносное ПО, чтобы скопировать данные процесса LSASS, скачать эту копию и локально извлечь из нее учетные данные.

Читайте по теме:

11 параметров безопасности в Windows 11, о которых следует знать

Однако, поскольку антивирус Microsoft Defender обнаруживает и удаляет вредоносное ПО все эффективнее, хакеры все чаще применяют тактику Living off the Land, при которой атаки совершаются через предустановленные программы.

Признаки кражи учетных данных

Эти пять способов помогут выяснить, не стали ли вы жертвой хакерской атаки.

Lsass.exe использует много аппаратных ресурсов

Откройте «Диспетчер задач» и проверьте, сколько CPU и памяти использует этот процесс. В обычных условиях он потребляет 0% CPU и около 5 МБ памяти. Стоит насторожиться, если он сильно нагружает CPU и задействует более 10 МБ, а вы за последнее время не выполняли никаких действий, связанных с безопасностью, например не меняли данные для входа.

В таком случае завершите процесс через «Диспетчер задач». Затем откройте местоположение файла и удалите его. В отличие от поддельного, реальный процесс отобразит ошибку. Помимо этого, стоит заглянуть в «Историю файлов» и проверить, не сохранила ли Windows резервную копию процесса.

В названии процесса есть ошибки

Хакеры часто переименовывают взломанные процессы так, чтобы они выглядели как настоящие. В таком случае злоумышленник может использовать заглавную «i», чтобы имитировать «L» в аббревиатуре LSASS. Обнаружить такое название можно с помощью конвертера регистров.

В названии также могут присутствовать лишние «a» и «s». Если вы встретили подобный файл, то удалите его (а также его резервные копии из «Истории файлов»).

Lsass.exe находится в другой папке

Снова откройте «Диспетчер задач», пролистайте до «Процессы Windows» и найдите Local Security Authority Process. Затем нажмите на него правой кнопкой мыши и выберите «Открыть расположение файла».

Настоящий файл lsass.exe находится в папке C:\Windows\System32. Если он расположен в любом другом месте, то это, скорее всего, вредоносное ПО, и его стоит удалить.

В «Диспетчере задач» есть более одного процесса Lsass

В «Диспетчере задач» должен отображаться лишь один Local Security Authority Process. При открытии выпадающего меню, расположенного слева от названия процесса, появляется список активных служб — это тоже нормально.

Однако если вы обнаружили несколько процессов LSASS, а также более одного lsass.exe при открытии расположения файла, то велика вероятность, что ваш компьютер подвергся атаке хакеров. Попробуйте удалить эти файлы — если это настоящий lsass.exe, появится ошибка.

Файл Lsass.exe весит слишком много

Объем файлов lsass.exe небольшой: примерно 83 КБ на компьютере на базе Windows 11 и 60 КБ — на Windows 10. Конечно, хакеры понимают, что большой lsass.exe сразу привлечет внимание владельца устройства, поэтому обычно стараются этого избегать. Тем не менее, если учесть приведенные выше сигналы, вредоносное ПО все равно удастся обнаружить.

Способы предотвратить кражу учетных данных через LSASS

Безопасность на компьютерах Windows постепенно улучшается, но кража учетных данных остается серьезной угрозой. Особенно это актуально для старых устройств, работающих на устаревших операционных системах, и новых, не получающих обновления ПО.

Ниже представлены три простых способа избежать этой угрозы.

Установите последние обновления системы безопасности

Такие обновления исправляют уязвимости, которые злоумышленники могут использовать для атаки на компьютер. Поддержание устройств в актуальном состоянии снижает риск взлома. Для этого подключите автоматическую загрузку и установку обновлений для Windows, а также сторонних программ, установленных на ПК.

Используйте Credential Guard в Защитнике Windows

Credential Guard или Диспетчер учетных данных — это механизм безопасности, создающий изолированный процесс LSASS (LSAIso), который безопасно хранит все учетные данные и взаимодействует с основным LSASS для проверки пользователей. Этот механизм защищает целостность личной информации и предотвращает ее кражу.

Credential Guard доступен на корпоративной и профессиональной версиях Windows 10 и 11, а также на некоторых версиях серверных ОС Windows Server. Устройства также должны соответствовать строгим требования, таким как наличие протокола Secure Boot и поддержка 64-разрядной виртуализации. Эта функция не активирована по умолчанию — ее нужно устанавливать вручную.

Отключите удаленный доступ к рабочему столу

С помощью удаленного доступа вы и другие авторизованные пользователи можете использовать компьютер, находясь в другом физическом месте. Эта функция позволяет вам переносить файлы с рабочего на домашнее устройство, а сотрудникам техподдержки — удаленно устранять неполадки. Это удобно, но делает компьютер уязвимым для хакерских атак.

Чтобы отключить удаленный доступ, нажмите клавишу «Пуск» и введите в поисковую строку «удаленный доступ». Выберите «Разрешить удаленные подключения к этому компьютеру» и уберите галочку у пункта «Разрешить подключение удаленного помощника к этому компьютеру».

Помимо этого, можно удалить ПО для удаленного доступа, такое как TeamViewer, AeroAdmin и AnyDesk. Эти программы повышают риски, в том числе, атак в стиле Living off the Land.

Источник.

Фото на обложке: Unsplash