גניבת אישורים היא סוג של מתקפת סייבר שבה האקרים מכוונים לתהליך שמטפל באבטחת Windows. אתה יכול לדמות את זה לגנב שמחליק את מפתחות הבית שלך ומעתיק אותם במהירות. עם המפתחות האלה, יש להם גישה לבית שלך מתי שהם רוצים. אז מה אתה עושה כשאתה מגלה שהמפתחות שלך נגנבים? אתה מחליף את המנעולים. הנה איך לעשות את המקבילה לזה ב-Windows כדי להילחם בגניבת אישורים.
מה זה Windows LSASS?
Windows Local Security Authority Server Service (LSASS) הוא תהליך המנהל את מדיניות האבטחה של המחשב שלך. LSASS מאמת כניסות, שינויי סיסמאות, אסימוני גישה והרשאות ניהול עבור מספר משתמשים במערכת או בשרת.
חשבו על LSASS כסדרן שבודק תעודות זהות בשער הראשי וסוגר חדרי VIP. ללא סדרן בדלת, כל אחד יכול להיכנס למועדון עם תעודת זהות מזויפת, ושום דבר לא מונע ממנו להיכנס לאזורים מוגבלים.
מהי גניבת אישורים?
LSASS פועל כתהליך, lsass.exe. עם האתחול, lsass.exe מאחסן בזיכרון אישורי אימות כמו סיסמאות מוצפנות, NT hashes, LM hashe וכרטיסי Kerberos. אחסון אישורים אלה בזיכרון מאפשר למשתמשים לגשת ולשתף קבצים במהלך הפעלות פעילות של Windows מבלי להזין מחדש את האישורים בכל פעם שהם צריכים לבצע משימה.
גניבת אישורים היא כאשר תוקפים משתמשים בכלים כמו Mimikatz כדי למחוק, להעביר, לערוך או להחליף את הקובץ האמיתי lsass.exe. כלי גניבת אישורים פופולריים אחרים כוללים את Crackmapexec ו- Lsassy.
איך האקרים גונבים אישורי LSASS
בדרך כלל, בגניבת אישורים, תוקפים ניגשים מרחוק למחשב של הקורבן - האקרים מקבלים גישה מרחוק בכמה דרכים. בינתיים, חילוץ או ביצוע שינויים ב-LSASS דורש הרשאות מנהל. אז, הצו הראשון של התוקף יהיה להעלות את ההרשאות שלו. עם גישה זו, הם יכולים להתקין תוכנות זדוניות כדי לזרוק את תהליך ה-LSASS, להוריד את ה-dump ולחלץ ממנו את האישורים באופן מקומי.
עם זאת, Microsoft Defender הפכה ליעילה יותר בזיהוי והסרה של תוכנות זדוניות, כלומר האקרים נוטים לפנות אל לחיות מהתקפות הארץ. כאן, התוקף חוטף אפליקציות חלונות מקוריות פגיעות ומשתמש בהן כדי לשדוד את האישורים ב-LSASS.
לדוגמה, באמצעות מנהל המשימות, תוקף יכול לפתוח את מנהל המשימות, לגלול מטה אל "תהליכי Windows" ולמצוא "מקומי תהליך רשות הביטחון". לחיצה ימנית על זה נותנת לתוקף את האפשרות ליצור קובץ dump או לפתוח את הקובץ מקום. החלטת התוקף מכאן ואילך תלויה במטרותיו. הם יכולים להוריד את קובץ ה-dump כדי לחלץ אישורים או להחליף את ה-lsass.exe האמיתי בקובץ מזויף.
גניבת אישורים: איך לבדוק ומה לעשות
כשזה מגיע לבדיקה אם היית קורבן להתקפת גניבת אישורים, הנה חמש דרכים שבהן תוכל לגלות.
1. Lsass.exe משתמש בהרבה משאבי חומרה
טען את מנהל המשימות ובדוק את תהליך השימוש במעבד ובזיכרון. בדרך כלל, תהליך זה צריך להשתמש ב-0 אחוז מהמעבד שלך ובערך 5 MB של זיכרון. אם אתה רואה שימוש כבד במעבד ושימוש של יותר מ-10 MB בזיכרון, ולא ביצעת פעולה הקשורה לאבטחה כמו שינוי פרטי הכניסה שלך לאחרונה, אז משהו לא בסדר.
במקרה זה, השתמש במנהל המשימות כדי לסיים את התהליך. לאחר מכן, עבור אל מיקום הקובץ ו Shift + Delete הקובץ. התהליך האמיתי יזרוק שגיאה, אבל מזויף לא, אז אתה יודע בוודאות. כמו כן, כדי להיות בטוח, אתה צריך בדוק את היסטוריית הקבצים כדי לוודא ש-Windows לא שימר גיבוי.
2. Lsass.exe מאוית שגוי
כמו בשגיאות הקלדה, האקרים משנים לעתים קרובות את שמות התהליכים שהם חטפו כדי להיראות כמו האמיתיים. במקרה זה, תוקף עשוי לכנות את התהליך המזויף בחוכמה באותיות גדולות "i" כדי לחקות את המראה של אותיות קטנות "L". ממיר מארז יכול לעזור לך לזהות את קובץ המתחזה בקלות. שם התהליך המזויף עשוי לכלול גם "a" או "s" נוספים. אם אתה רואה תהליכים שגויים באיות, Shift + Delete הקובץ והמשך עם היסטוריית קבצים כדי להסיר גיבויים.
3. Lsass.exe נמצא בתיקייה אחרת
תצטרך לעבור דרך מנהל המשימות כאן. לִפְתוֹחַ מנהל משימות> תהליכי Windows, וחפש את "תהליך רשות הביטחון המקומי". לאחר מכן, לחץ באמצעות לחצן העכבר הימני על התהליך כדי לראות את האפשרויות שלך ובחר פתח את מיקום הקובץ. הקובץ האמיתי lsass.exe יהיה בתיקייה "C:\Windows\System32". קובץ בכל מיקום אחר הוא ככל הנראה תוכנה זדונית; הסר זאת.
4. יותר מתהליך או קובץ Lsass אחד
כאשר אתה משתמש במנהל המשימות כדי לבדוק, אתה אמור לראות רק "תהליך רשות אבטחה מקומית" אחד. זה נורמלי שלתהליך זה יפעלו פעילויות כאשר אתה לוחץ על הלחצן הנפתח. עם זאת, אם אתה רואה יותר מתהליך אחד של רשות האבטחה המקומית פועל, רוב הסיכויים שנפלת קורבן לגניבת אישורים. אותו הדבר חל על הצגת יותר מקובץ lsass.exe אחד כשאתה עובר למיקום הקובץ. במקרה זה, נסה למחוק את הקבצים. ה-lsass.exe האמיתי יציג שגיאה אם תנסה למחוק אותו.
5. הקובץ Lsass.exe גדול מדי
קבצי Lsass.exe הם קטנים - זה שבמחשב שלנו שפועל ב-Windows 11 הוא 83 KB. למחשב Windows 10 שבדקנו יש אחד בגודל 60 KB גדול. אז קבצי lsass.exe הם זעירים. כמובן, התוקפים יודעים שקובץ Lsass.exe גדול הוא מתנה מתה, כך שהם בדרך כלל מקטינים את המטען שלהם. גודל קובץ קטן התואם את הערכים שלנו, אם כן, לא אומר לך הרבה. עם זאת, אם אתה מביא בחשבון את הסימנים המעידים לעיל, אתה יכול בקלות לזהות את התוכנה הזדונית במסווה.
כיצד למנוע גניבת אישורים באמצעות Windows LSASS
האבטחה במחשבי Windows ממשיכה להשתפר, אבל גניבת אישורים היא עדיין עוצמה איום, במיוחד עבור מכשירים ישנים המריצים מערכות הפעלה מיושנות או חדשים מאחורי תוכנה עדכונים. להלן שלוש דרכים למנוע גניבת אישורים עבור משתמשי Windows שאינם מתקדמים.
הורד והתקן את עדכוני האבטחה האחרונים
עדכוני אבטחה מתקנים פגיעויות שתוקפים יכולים לנצל כדי להשתלט על המחשב שלך. שמירה על עדכניות של מכשירים ברשת מפחיתה את הסיכון לפריצה. לכן, הגדר את המחשב שלך להוריד ולהתקין באופן אוטומטי עדכוני Windows ברגע שהם יהיו זמינים. כדאי גם לקבל עדכוני אבטחה עבור תוכניות צד שלישי במחשב האישי שלך.
השתמש ב-Windows Defender Credential Guard
Windows Defender Credential Guard היא תכונת אבטחה שיוצרת תהליך LSASS מבודד (LSAIso). כל האישורים מאוחסנים בצורה מאובטחת בתהליך המבודד הזה, אשר בתורו מתקשר עם תהליך LSASS הראשי כדי לאמת משתמשים. זה מגן על שלמות האישורים שלך ומונע מהאקרים לגנוב נתונים יקרי ערך במקרה של התקפה.
Credential Guard זמין בטעמים Enterprise ו-Pro של Windows 10 ו-Windows 11, כמו גם גרסאות נבחרות של שרתי Windows. התקנים אלה חייבים גם להיפגש דרישות קפדניות כמו אתחול מאובטח ווירטואליזציה של 64 סיביות. עליך להפעיל תכונה זו באופן ידני, מכיוון שהיא אינה מופעלת כברירת מחדל.
השבת גישה לשולחן עבודה מרוחק
שולחן עבודה מרוחק מאפשר לך ולאנשים מורשים אחרים להשתמש במחשב מבלי להיות באותו מיקום פיזי. זה נהדר כאשר אתה רוצה לקבל קבצים ממכשיר עבודה במחשב הביתי שלך או כאשר תמיכה טכנית רוצה לעזור לך לפתור בעיה שאינך יכול לתאר בדיוק. למרות הנוחות, גישה לשולחן עבודה מרחוק גם עוזבת אותך פגיע להתקפות.
כדי להשבית את הגישה מרחוק, לחץ על מפתח Windows לאחר מכן הקלד "הגדרות מרחוק". בחר "אפשר גישה מרחוק למחשב שלך ובטל את הסימון של "אפשר חיבור סיוע מרחוק למחשב זה" בתיבת הדו-שיח.
אתה גם רוצה לבדוק ולהסיר תוכנת גישה מרחוק כמו TeamViewer, AeroAdmin ו-AnyDesk. לא רק התוכנות הללו מגבירות את החשיפה שלך למתקפות תוכנה זדוניות ופגיעות נפוצות, אלא גם מתקפות Living off the Land - שבהן האקרים מנצלים תוכניות מותקנות מראש כדי לבצע תקיפה.
התוקפים רוצים את מפתחות הבית, אבל אתה יכול לעצור אותם
LSASS מחזיק את המפתחות למחשב שלך. התפשרות על תהליך זה מאפשרת לתוקפים לגשת לסודות המכשיר שלך בכל עת. החלק הגרוע ביותר הוא שהם יכולים לגשת אליו כאילו היו משתמש לגיטימי. למרות שאתה יכול למצוא ולהסיר פולשים אלה, עדיף למנוע אותם מלכתחילה. שמירה על עדכון המכשיר והתאמת הגדרות האבטחה עוזרים לך להשיג מטרה זו.
