Mandaadi varastamine on teatud tüüpi küberrünnak, mille puhul häkkerid sihivad Windowsi turvalisust haldava protsessi. Saate seda võrrelda vargaga, kes pühib teie koduvõtmeid ja kopeerib need kiiresti. Nende võtmetega pääsevad nad teie majja igal ajal, kui nad seda soovivad. Mida teha, kui avastate, et teie võtmed on varastatud? Vahetad lukud ära. Siit saate teada, kuidas teha samaväärset Windowsi mandaatide varastamise vastu võitlemiseks.
Mis on Windows LSASS?
Windows Local Security Authority Server Service (LSASS) on protsess, mis haldab teie arvuti turvapoliitikat. LSASS kinnitab süsteemis või serveris mitme kasutaja sisselogimisi, paroolivahetusi, juurdepääsulubasid ja administraatoriõigusi.
Mõelge LSASS-ile kui väljaviskajale, kes kontrollib peaväravas isikutunnistusi ja piirab VIP-ruumid sisse. Ilma ukse taga oleva põngerita pääseb igaüks klubisse võltsitud isikutunnistusega ja miski ei takista neil sisenemast keelatud aladele.
Mis on volikirjade varastamine?
LSASS töötab protsessina, lsass.exe. Käivitamisel salvestab lsass.exe mällu autentimismandaadid, nagu krüptitud paroolid, NT-räsid, LM-räsid ja Kerberose piletid. Nende mandaatide mällu salvestamine võimaldab kasutajatel aktiivsete Windowsi seansside ajal failidele juurde pääseda ja neid jagada ilma mandaate iga kord uuesti sisestamata, kui neil on vaja toimingut täita.
Mandaadi varastamine on see, kui ründajad kasutavad tõelise faili lsass.exe kustutamiseks, teisaldamiseks, redigeerimiseks või asendamiseks selliseid tööriistu nagu Mimikatz. Teised populaarsed volikirjade varastamise tööriistad on Crackmapexec ja Lsassy.
Kuidas häkkerid varastavad LSASSi mandaate
Tavaliselt pääsevad ründajad volikirjade varastamise korral kaugjuurdepääsu ohvri arvutisse – häkkerid saavad kaugjuurdepääsu mitmel viisil. Samal ajal nõuab LSASS-i ekstraktimine või muudatuste tegemine administraatoriõigusi. Seega on ründaja esimene ülesanne oma privileege tõsta. Selle juurdepääsuga saavad nad installida pahavara, et LSASS-protsess tühjendada, alla laadida ja sealt kohapeal mandaadid eraldada.
Microsoft Defender on aga muutunud pahavara tuvastamisel ja eemaldamisel tõhusamaks, mis tähendab, et häkkerid kipuvad kasutama Maa rünnakutest elamine. Siin kaaperdab ründaja haavatavad Windowsi algrakendused ja kasutab neid LSASS-i mandaatide röövimiseks.
Näiteks tegumihalduri abil saab ründaja avada tegumihalduri, kerida alla jaotiseni „Windowsi protsessid” ja leida „Kohalik Julgeolekuasutuse protsess. Paremklõps sellel annab ründajale võimaluse luua tõmmisfail või fail avada asukoht. Ründaja otsus sõltub siit edasi tema eesmärkidest. Nad saavad mandaatide väljavõtmiseks alla laadida tõmmisfaili või asendada tõelise lsass.exe võltsitud failiga.
Mandaadi varastamine: kuidas kontrollida ja mida teha
Siin on viis viisi, kuidas kontrollida, kas olete sattunud volikirjade varastamise rünnaku ohvriks.
1. Lsass.exe kasutab palju riistvararessursse
Laadige üles tegumihaldur ja kontrollige protsessi protsessori ja mälu kasutamist. Tavaliselt peaks see protsess kasutama 0 protsenti teie protsessorist ja umbes 5 MB mälu. Kui näete suurt protsessori kasutust ja rohkem kui 10 MB mälukasutust ning te pole hiljuti teinud turvalisusega seotud toiminguid, näiteks muutnud oma sisselogimisandmeid, siis on midagi valesti.
Sel juhul kasutage protsessi lõpetamiseks tegumihaldurit. Seejärel minge faili asukohta ja Tõstuklahv + Kustuta faili. Tegelik protsess tekitaks vea, kuid võlts mitte, nii et teate kindlasti. Samuti, et olla kindel, peaksite vaadake faili ajalugu veendumaks, et Windows ei säilitanud varukoopiat.
2. Lsass.exe on valesti kirjutatud
Nagu tüüpkirjanduses, nimetavad häkkerid sageli kaaperdatud protsessid ümber, et need näeksid välja nagu päris. Sel juhul võib ründaja nimetada võltsprotsessi osavalt suure tähega "i", et jäljendada väiketähte "L". Korpuse konverter aitab teil petturifaili hõlpsalt tuvastada. Võltsprotsessi nimes võib olla ka lisatähe "a" või "s". Kui näete selliseid valesti kirjutatud protsesse, Tõstuklahv + Kustuta faili ja järgige varukoopiate eemaldamiseks faili ajalugu.
3. Lsass.exe on teises kaustas
Siin peate läbima Task Manageri. Avatud Tegumihaldur> Windowsi protsessidja otsige "Kohaliku turvaasutuse protsess". Seejärel paremklõpsake protsessi, et näha oma valikuid ja valida Ava faili asukoht. Päris lsass.exe-fail asub kaustas "C:\Windows\System32". Mis tahes muus kohas asuv fail on tõenäoliselt pahavara; eemaldage see.
4. Rohkem kui üks Lsass protsess või fail
Kui kasutate kontrollimiseks tegumihaldurit, peaksite nägema ainult ühte "Kohaliku turbeasutuse protsessi". On normaalne, et selle protsessi käigus käivad tegevused rippmenüü nupul klõpsamisel. Kui aga näete, et käimas on rohkem kui üks kohaliku turvaasutuse protsess, on tõenäoline, et olete sattunud mandaadi varastamise ohvriks. Sama kehtib ka rohkem kui ühe lsass.exe-faili nägemise kohta, kui lähete faili asukohta. Sel juhul proovige failid kustutada. Päris lsass.exe kuvab veateate, kui proovite seda kustutada.
5. Fail Lsass.exe on liiga suur
Lsass.exe failid on väikesed – Windows 11-s töötavas arvutis olev fail on 83 KB. Kontrollitud Windows 10 arvutil on üks 60 KB suurune. Nii et lsass.exe failid on väikesed. Ründajad teavad muidugi, et suur Lsass.exe fail on surnud kingitus, nii et nad muudavad oma koormused üldiselt väikeseks. Väike failisuurus, mis vastab meie väärtustele, ei ütle teile palju. Kui aga võtta arvesse eelnimetatud märguandemärke, saate varjatud pahavara hõlpsalt märgata.
Kuidas vältida mandaatide vargust Windows LSASS-i kaudu
Windowsi arvutite turvalisus paraneb jätkuvalt, kuid mandaadi varastamine on endiselt tugev oht, eriti vanade seadmete puhul, mis kasutavad aegunud operatsioonisüsteeme või uusi, mis on tarkvarast maha jäänud uuendused. Siin on kolm võimalust, kuidas vältida Windowsi mittearenenud kasutajate mandaatide varastamise võimalust.
Laadige alla ja installige uusimad turbevärskendused
Turvavärskendused parandavad haavatavusi, mida ründajad saavad teie arvuti ülevõtmiseks ära kasutada. Võrgus olevate seadmete ajakohasena hoidmine vähendab häkkimise ohtu. Seega määrake oma arvuti Windowsi värskendusi automaatselt alla laadima ja installima niipea, kui need on saadaval. Sa peaksid ka saama turvavärskendused kolmandate osapoolte programmide jaoks teie arvutis.
Kasutage Windows Defenderi mandaadivalvet
Windows Defenderi mandaadivalvur on turvafunktsioon, mis loob isoleeritud LSASS-protsessi (LSAIso). Kõik mandaadid on turvaliselt salvestatud selles isoleeritud protsessis, mis omakorda suhtleb kasutajate kinnitamiseks põhilise LSASS-i protsessiga. See kaitseb teie mandaatide terviklikkust ja hoiab ära häkkerite varastamise rünnaku korral väärtuslikke andmeid.
Credential Guard on saadaval Windows 10 ja Windows 11 Enterprise ja Pro versioonides ning Windowsi serverite teatud versioonides. Need seadmed peavad ka vastama ranged nõuded nagu Secure Boot ja 64-bitine virtualiseerimine. Peate selle funktsiooni käsitsi lubama, kuna see pole vaikimisi lubatud.
Keela kaugtöölaua juurdepääs
Remote Desktop võimaldab teil ja teistel volitatud isikutel kasutada arvutit ilma samas füüsilises kohas viibimata. See sobib suurepäraselt, kui soovite saada faile oma kodumasina tööseadmest või kui tehniline tugi soovib aidata teil tõrkeotsingut teha, mida te ei oska täpselt kirjeldada. Vaatamata mugavusele jätab kaugjuurdepääs ka teie juurde rünnakute suhtes haavatav.
Kaugjuurdepääsu keelamiseks vajutage nuppu Windowsi võti seejärel tippige "kaugseaded". Valige dialoogiboksis "Luba kaugjuurdepääs arvutile ja tühjendage ruut "Luba kaugabi ühendus selle arvutiga".
Samuti soovite kontrollida ja eemaldada kaugjuurdepääsu tarkvara nagu TeamViewer, AeroAdmin ja AnyDesk. Need programmid ei suurenda mitte ainult teie kokkupuudet levinud pahavara- ja haavatavuse rünnakutega, vaid ka Living off the Land rünnakutega, kus häkkerid kasutavad ründe sooritamiseks ära eelinstallitud programme.
Ründajad tahavad maja võtmeid, kuid teie saate nad peatada
LSASS hoiab teie arvuti võtmeid. Selle protsessi kahjustamine võimaldab ründajatel igal ajal teie seadme saladustele juurde pääseda. Halvim osa on see, et nad pääsevad sellele juurde nii, nagu oleksid nad seaduslikud kasutajad. Kuigi saate neid sissetungijaid leida ja eemaldada, on kõige parem neid ennetada. Seadme ajakohasena hoidmine ja turvaseadete kohandamine aitab teil seda eesmärki saavutada.
