Het stelen van inloggegevens is een vorm van cyberaanval waarbij hackers zich richten op het proces dat de Windows-beveiliging afhandelt. Je kunt het vergelijken met een dief die je huissleutels steelt en ze snel kopieert. Met deze sleutels hebben ze toegang tot je huis wanneer ze maar willen. Dus wat doe je als je ontdekt dat je sleutels zijn gestolen? Je verandert de sloten. Hier leest u hoe u het equivalent daarvan op Windows kunt doen om het stelen van inloggegevens tegen te gaan.
Wat is Windows LSASS?
Windows Local Security Authority Server Service (LSASS) is een proces dat het beveiligingsbeleid van uw computer beheert. LSASS valideert aanmeldingen, wachtwoordwijzigingen, toegangstokens en beheerdersbevoegdheden voor meerdere gebruikers op een systeem of server.
Zie LSASS als de uitsmijter die ID's controleert bij de hoofdingang en VIP-kamers afzet. Zonder een uitsmijter aan de deur kan iedereen met een vals identiteitsbewijs de club betreden en niets houdt hen tegen om verboden gebieden te betreden.
Wat is het stelen van inloggegevens?
LSASS wordt uitgevoerd als een proces, lsass.exe. Bij het opstarten slaat lsass.exe authenticatiereferenties zoals gecodeerde wachtwoorden, NT-hashes, LM-hashes en Kerberos-tickets op in het geheugen. Door deze inloggegevens in het geheugen op te slaan, kunnen gebruikers bestanden openen en delen tijdens actieve Windows-sessies zonder de inloggegevens telkens opnieuw in te voeren als ze een taak moeten uitvoeren.
Bij het stelen van inloggegevens gebruiken aanvallers tools zoals Mimikatz om het echte lsass.exe-bestand te verwijderen, verplaatsen, bewerken of vervangen. Andere populaire tools voor het stelen van inloggegevens zijn Crackmapexec en Lsassy.
Hoe hackers LSASS-referenties stelen
Gewoonlijk krijgen aanvallers bij het stelen van inloggegevens op afstand toegang tot de computer van het slachtoffer. Hackers krijgen op verschillende manieren toegang op afstand. Ondertussen vereist het uitpakken of wijzigen van LSASS beheerdersrechten. De eerste taak van de aanvaller is dus om zijn privileges te verhogen. Met deze toegang kunnen ze malware installeren om het LSASS-proces te dumpen, de dump downloaden en de referenties er lokaal uit halen.
Microsoft Defender is echter efficiënter geworden in het identificeren en verwijderen van malware, wat betekent dat hackers vaak hun toevlucht nemen Leven van de landaanvallen. Hier kaapt de aanvaller kwetsbare native Windows-apps en gebruikt deze om de inloggegevens in LSASS te plunderen.
Met Taakbeheer kan een aanvaller bijvoorbeeld Taakbeheer openen, omlaag scrollen naar "Windows-processen" en "Lokale Proces van de veiligheidsautoriteit.” Door hier met de rechtermuisknop op te klikken, heeft de aanvaller de mogelijkheid om een dumpbestand te maken of het bestand te openen plaats. De beslissing van de aanvaller vanaf nu hangt af van hun doelstellingen. Ze kunnen het dumpbestand downloaden om inloggegevens te extraheren of het echte lsass.exe vervangen door een nepbestand.
Inloggegevens stelen: hoe te controleren en wat te doen
Als het erom gaat te controleren of u het slachtoffer bent geworden van een aanval met het stelen van inloggegevens, vindt u hier vijf manieren om erachter te komen.
1. Lsass.exe gebruikt veel hardwarebronnen
Laad Taakbeheer en controleer het CPU- en geheugengebruik van het proces. Normaal gesproken zou dit proces 0 procent van uw CPU en ongeveer 5 MB geheugen moeten gebruiken. Als u zwaar CPU-gebruik en meer dan 10 MB geheugengebruik ziet en u geen beveiligingsgerelateerde actie hebt uitgevoerd, zoals het onlangs wijzigen van uw inloggegevens, dan is er iets mis.
Gebruik in dit geval Taakbeheer om het proces te beëindigen. Ga vervolgens naar de bestandslocatie en Verschuiving + Verwijderen het bestand. Het echte proces zou een fout veroorzaken, maar een nepproces zou dat niet doen, dus je zou het zeker weten. Ook, om zeker te zijn, zou je dat moeten doen kijk eens bij Bestandsgeschiedenis om er zeker van te zijn dat Windows geen back-up heeft bewaard.
2. Lsass.exe is verkeerd gespeld
Zoals bij typosquatting, hernoemen hackers processen die ze hebben gekaapt vaak om ze op de echte te laten lijken. In dit geval kan een aanvaller het valse proces slim een naam geven met een hoofdletter "i" om het uiterlijk van een kleine letter "L" na te bootsen. Een case-converter kan u helpen het bedriegerbestand gemakkelijk te herkennen. De valse procesnaam kan ook een extra "a" of "s" bevatten. Als u dergelijke verkeerd gespelde processen ziet, Verschuiving + Verwijderen het bestand en vervolg met Bestandsgeschiedenis om back-ups te verwijderen.
3. Lsass.exe bevindt zich in een andere map
U moet hier door Taakbeheer gaan. Open Taakbeheer> Windows-processen, en zoek naar "Local Security Authority Process". Klik vervolgens met de rechtermuisknop op het proces om uw opties te bekijken en te kiezen Open Bestandslocatie. Het echte bestand lsass.exe bevindt zich in de map "C:\Windows\System32". Een bestand op een andere locatie is hoogstwaarschijnlijk malware; Verwijder het.
4. Meer dan één Lsass-proces of -bestand
Wanneer u Taakbeheer gebruikt om te controleren, zou u slechts één "Lokale beveiligingsautoriteitproces" moeten zien. Het is normaal dat dit proces activiteiten uitvoert wanneer u op de vervolgkeuzeknop klikt. Als u echter meer dan één Local Security Authority Process ziet lopen, is de kans groot dat u het slachtoffer bent geworden van het stelen van inloggegevens. Hetzelfde geldt voor het zien van meer dan één lsass.exe-bestand wanneer u naar de bestandslocatie gaat. Probeer in dit geval de bestanden te verwijderen. De echte lsass.exe geeft een foutmelding als u het probeert te verwijderen.
5. Het bestand Lsass.exe is te groot
Lsass.exe-bestanden zijn klein: die op onze machine die op Windows 11 draait, is 83 kB. De Windows 10-computer die we hebben gecontroleerd, heeft er een van 60 KB groot. Dus lsass.exe-bestanden zijn klein. Natuurlijk weten aanvallers dat een groot Lsass.exe-bestand een dode weggeefactie is, dus maken ze hun payloads over het algemeen klein. Een kleine bestandsgrootte die overeenkomt met onze waarden zegt u dus niet veel. Als u echter rekening houdt met de bovengenoemde veelbetekenende signalen, kunt u de vermomde malware gemakkelijk herkennen.
Het stelen van inloggegevens voorkomen via Windows LSASS
De beveiliging op Windows-computers wordt steeds beter, maar het stelen van inloggegevens is nog steeds een groot probleem bedreiging, vooral voor oude apparaten met verouderde besturingssystemen of nieuwe achterlopende software updates. Hier zijn drie manieren om het stelen van inloggegevens te voorkomen voor niet-geavanceerde Windows-gebruikers.
Download en installeer de nieuwste beveiligingsupdates
Beveiligingsupdates verhelpen kwetsbaarheden die aanvallers kunnen misbruiken om uw computer over te nemen. Door apparaten in uw netwerk up-to-date te houden, verkleint u het risico om gehackt te worden. Stel uw computer dus zo in dat Windows-updates automatisch worden gedownload en geïnstalleerd zodra deze beschikbaar zijn. Moet je ook krijgen beveiligingsupdates voor programma's van derden op uw pc.
Gebruik Windows Defender Credential Guard
Windows Defender Credential Guard is een beveiligingsfunctie die een geïsoleerd LSASS-proces (LSAIso) creëert. Alle inloggegevens worden veilig opgeslagen in dit geïsoleerde proces, dat op zijn beurt communiceert met het belangrijkste LSASS-proces om gebruikers te valideren. Dit beschermt de integriteit van uw inloggegevens en voorkomt dat hackers bij een aanval waardevolle gegevens stelen.
Credential Guard is beschikbaar op de Enterprise- en Pro-smaken van Windows 10 en Windows 11, evenals bepaalde versies van Windows Servers. Deze apparaten moeten ook voldoen strenge eisen zoals Secure Boot en 64-bits virtualisatie. U moet deze functie handmatig inschakelen, aangezien deze niet standaard is ingeschakeld.
Schakel toegang tot extern bureaublad uit
Met Remote Desktop kunt u en andere geautoriseerde personen een computer gebruiken zonder dat u zich op dezelfde fysieke locatie bevindt. Het is geweldig voor wanneer u bestanden van een werkapparaat op uw thuiscomputer wilt krijgen of wanneer technische ondersteuning u wil helpen bij het oplossen van een probleem dat u niet precies kunt beschrijven. Ondanks het gemak verlaat externe desktoptoegang u ook kwetsbaar voor aanvallen.
Om toegang op afstand uit te schakelen, drukt u op de Windows-sleutel typ vervolgens "instellingen op afstand". Selecteer "Sta externe toegang tot uw computer toe en verwijder het vinkje bij" Hulp op afstand verbinding met deze computer toestaan "in het dialoogvenster.
U wilt ook controleren en verwijderen software voor toegang op afstand zoals TeamViewer, AeroAdmin en AnyDesk. Deze programma's verhogen niet alleen uw blootstelling aan veelvoorkomende malware- en kwetsbaarheidsaanvallen, maar ook aan Living off the Land-aanvallen, waarbij hackers gebruikmaken van vooraf geïnstalleerde programma's om een aanval uit te voeren.
Aanvallers willen de sleutels van het huis, maar u kunt ze tegenhouden
LSASS heeft de sleutels van uw computer. Door dit proces in gevaar te brengen, hebben aanvallers op elk moment toegang tot de geheimen van uw apparaat. Het ergste is dat ze er toegang toe hebben alsof ze een legitieme gebruiker zijn. Hoewel u deze indringers kunt vinden en verwijderen, is het het beste om ze in de eerste plaats te voorkomen. Door uw apparaat up-to-date te houden en beveiligingsinstellingen aan te passen, kunt u dit doel bereiken.
