Der Diebstahl von Anmeldeinformationen ist eine Art Cyberangriff, bei dem Hacker auf den Prozess abzielen, der die Windows-Sicherheit handhabt. Sie können es mit einem Dieb vergleichen, der Ihre Hausschlüssel klaut und schnell kopiert. Mit diesen Schlüsseln haben sie Zugang zu Ihrem Haus, wann immer sie wollen. Was tun Sie also, wenn Sie feststellen, dass Ihre Schlüssel gestohlen wurden? Du tauschst die Schlösser aus. Hier erfahren Sie, wie Sie das Äquivalent dazu unter Windows ausführen, um den Diebstahl von Anmeldeinformationen zu bekämpfen.
Was ist Windows-LSASS?
Der Windows Local Security Authority Server Service (LSASS) ist ein Prozess, der die Sicherheitsrichtlinie Ihres Computers verwaltet. LSASS validiert Anmeldungen, Kennwortänderungen, Zugriffstoken und Administratorrechte für mehrere Benutzer auf einem System oder Server.
Stellen Sie sich LSASS als den Türsteher vor, der Ausweise am Haupttor überprüft und VIP-Räume absperrt. Ohne einen Türsteher an der Tür kann jeder den Club mit einem gefälschten Ausweis betreten, und nichts hindert sie daran, Sperrbereiche zu betreten.
Was ist Anmeldedatendiebstahl?
LSASS läuft als Prozess, lsass.exe. Beim Booten speichert lsass.exe Authentifizierungsdaten wie verschlüsselte Kennwörter, NT-Hashes, LM-Hashes und Kerberos-Tickets im Arbeitsspeicher. Durch das Speichern dieser Anmeldeinformationen im Arbeitsspeicher können Benutzer während aktiver Windows-Sitzungen auf Dateien zugreifen und sie freigeben, ohne die Anmeldeinformationen jedes Mal erneut eingeben zu müssen, wenn sie eine Aufgabe ausführen müssen.
Beim Diebstahl von Anmeldeinformationen verwenden Angreifer Tools wie Mimikatz, um die echte lsass.exe-Datei zu löschen, zu verschieben, zu bearbeiten oder zu ersetzen. Andere beliebte Tools zum Stehlen von Anmeldeinformationen sind Crackmapexec und Lsassy.
Wie Hacker LSASS-Anmeldeinformationen stehlen
Normalerweise greifen Angreifer beim Diebstahl von Anmeldeinformationen aus der Ferne auf den Computer des Opfers zu – Hacker erhalten den Fernzugriff auf verschiedene Weise. In der Zwischenzeit erfordert das Extrahieren oder Vornehmen von Änderungen an LSASS Administratorrechte. Daher besteht die erste Aufgabe des Angreifers darin, seine Privilegien zu erhöhen. Mit diesem Zugriff können sie Malware installieren, um den LSASS-Prozess zu sichern, den Dump herunterladen und die Anmeldeinformationen lokal daraus extrahieren.
Microsoft Defender ist jedoch beim Identifizieren und Entfernen von Malware effizienter geworden, was bedeutet, dass Hacker dazu neigen, darauf zurückzugreifen Von den Landangriffen leben. Hier entführt der Angreifer anfällige native Windows-Apps und nutzt sie, um die Anmeldeinformationen in LSASS zu plündern.
Mit dem Task-Manager kann ein Angreifer beispielsweise den Task-Manager öffnen, nach unten zu „Windows-Prozesse“ scrollen und „Local Prozess der Sicherheitsbehörde.“ Ein Rechtsklick darauf gibt dem Angreifer die Möglichkeit, eine Dump-Datei zu erstellen oder die Datei zu öffnen Standort. Die Entscheidung des Angreifers von hier an hängt von seinen Zielen ab. Sie können die Dump-Datei herunterladen, um Anmeldeinformationen zu extrahieren, oder die echte lsass.exe durch eine gefälschte ersetzen.
Anmeldeinformationen stehlen: Wie man das überprüft und was zu tun ist
Wenn es darum geht, zu überprüfen, ob Sie Opfer eines Angriffs zum Stehlen von Anmeldeinformationen geworden sind, finden Sie hier fünf Möglichkeiten, wie Sie dies herausfinden können.
1. Lsass.exe verwendet viele Hardwareressourcen
Laden Sie den Task-Manager und überprüfen Sie die CPU- und Speicherauslastung des Prozesses. Normalerweise sollte dieser Prozess 0 Prozent Ihrer CPU und etwa 5 MB Arbeitsspeicher verwenden. Wenn Sie eine starke CPU-Auslastung und mehr als 10 MB Speicherauslastung sehen und Sie keine sicherheitsrelevante Aktion wie das Ändern Ihrer Anmeldedaten in letzter Zeit durchgeführt haben, dann stimmt etwas nicht.
Verwenden Sie in diesem Fall den Task-Manager, um den Vorgang zu beenden. Gehen Sie dann zum Dateispeicherort und Umschalt + Entf die Datei. Der echte Prozess würde einen Fehler auslösen, ein gefälschter jedoch nicht, sodass Sie es sicher wissen würden. Um sicherzugehen, sollten Sie das auch tun sehen Sie sich den Dateiversionsverlauf an um sicherzustellen, dass Windows keine Sicherung aufbewahrt hat.
2. Lsass.exe ist falsch geschrieben
Wie beim Typosquattingbenennen Hacker Prozesse, die sie entführt haben, oft um, damit sie wie die echten aussehen. In diesem Fall kann ein Angreifer den gefälschten Prozess geschickt mit einem großen „i“ benennen, um das Erscheinungsbild des kleinen „L“ nachzuahmen. Ein Fallkonverter kann Ihnen helfen, die Betrügerdatei leicht zu erkennen. Der gefälschte Prozessname kann auch ein zusätzliches „a“ oder „s“ enthalten. Wenn Sie solche falsch geschriebenen Prozesse sehen, Umschalt + Entf die Datei und folgen Sie dem Dateiversionsverlauf, um Sicherungen zu entfernen.
3. Lsass.exe befindet sich in einem anderen Ordner
Sie müssen hier den Task-Manager durchlaufen. Offen Taskmanager> Windows-Prozesse, und suchen Sie nach „Prozess der lokalen Sicherheitsbehörde“. Klicken Sie dann mit der rechten Maustaste auf den Prozess, um Ihre Optionen anzuzeigen und auszuwählen Dateispeicherort öffnen. Die echte lsass.exe-Datei befindet sich im Ordner "C:\Windows\System32". Eine Datei an einem anderen Ort ist höchstwahrscheinlich Malware; entfernen Sie es.
4. Mehr als ein Lsass-Prozess oder eine Datei
Wenn Sie den Task-Manager zur Überprüfung verwenden, sollten Sie nur einen „Prozess der lokalen Sicherheitsautorität“ sehen. Es ist normal, dass bei diesem Prozess Aktivitäten ausgeführt werden, wenn Sie auf die Dropdown-Schaltfläche klicken. Wenn Sie jedoch sehen, dass mehr als ein Prozess der lokalen Sicherheitsbehörde läuft, sind Sie wahrscheinlich Opfer von Anmeldedatendiebstahl geworden. Dasselbe gilt, wenn Sie mehr als eine lsass.exe-Datei sehen, wenn Sie zum Speicherort der Datei wechseln. Versuchen Sie in diesem Fall, die Dateien zu löschen. Die echte lsass.exe gibt einen Fehler aus, wenn Sie versuchen, sie zu löschen.
5. Die Lsass.exe-Datei ist zu groß
Lsass.exe-Dateien sind klein – die auf unserem Computer, der unter Windows 11 läuft, ist 83 KB groß. Der von uns überprüfte Windows 10-Computer hat eine Größe von 60 KB. lsass.exe-Dateien sind also winzig. Natürlich wissen Angreifer, dass eine große Lsass.exe-Datei ein sicheres Zeichen dafür ist, dass sie ihre Payloads im Allgemeinen klein machen. Eine kleine Dateigröße, die unseren Werten entspricht, sagt Ihnen also nicht viel aus. Wenn Sie jedoch die oben genannten verräterischen Anzeichen berücksichtigen, können Sie die getarnte Malware leicht erkennen.
So verhindern Sie den Diebstahl von Anmeldeinformationen durch Windows LSASS
Die Sicherheit auf Windows-Computern verbessert sich weiter, aber der Diebstahl von Anmeldeinformationen ist nach wie vor eine potenzielle Bedrohung Bedrohung, insbesondere für alte Geräte, auf denen veraltete Betriebssysteme ausgeführt werden, oder neue, die in der Software zurückbleiben Aktualisierung. Hier sind drei Möglichkeiten, um das Stehlen von Anmeldeinformationen für nicht fortgeschrittene Windows-Benutzer zu verhindern.
Laden Sie die neuesten Sicherheitsupdates herunter und installieren Sie sie
Sicherheitsupdates beheben Sicherheitslücken, die Angreifer ausnutzen können, um Ihren Computer zu übernehmen. Wenn Sie die Geräte in Ihrem Netzwerk auf dem neuesten Stand halten, verringert sich das Risiko, gehackt zu werden. Stellen Sie Ihren Computer also so ein, dass Windows-Updates automatisch heruntergeladen und installiert werden, sobald sie verfügbar sind. Solltest du auch bekommen Sicherheitsupdates für Programme von Drittanbietern auf Ihrem PC.
Verwenden Sie Windows Defender Credential Guard
Windows Defender Credential Guard ist eine Sicherheitsfunktion, die einen isolierten LSASS-Prozess (LSAIso) erstellt. Alle Anmeldeinformationen werden sicher in diesem isolierten Prozess gespeichert, der wiederum mit dem LSASS-Hauptprozess kommuniziert, um Benutzer zu validieren. Dies schützt die Integrität Ihrer Zugangsdaten und verhindert, dass Hacker im Falle eines Angriffs wertvolle Daten stehlen.
Credential Guard ist für die Enterprise- und Pro-Varianten von Windows 10 und Windows 11 sowie für ausgewählte Versionen von Windows Server verfügbar. Diese Geräte müssen sich ebenfalls erfüllen strenge Auflagen wie Secure Boot und 64-Bit-Virtualisierung. Sie müssen diese Funktion manuell aktivieren, da sie standardmäßig nicht aktiviert ist.
Deaktivieren Sie den Remotedesktopzugriff
Mit Remote Desktop können Sie und andere autorisierte Personen einen Computer verwenden, ohne sich am selben physischen Standort zu befinden. Es ist großartig, wenn Sie Dateien von einem Arbeitsgerät auf Ihrem Heimcomputer abrufen möchten oder wenn der technische Support Ihnen bei der Behebung eines Problems helfen möchte, das Sie nicht genau beschreiben können. Trotz der Bequemlichkeit verlässt Sie auch der Remote-Desktop-Zugriff anfällig für Angriffe.
Um den Fernzugriff zu deaktivieren, drücken Sie die Windows-Taste Geben Sie dann „Remote-Einstellungen“ ein. Wählen Sie im Dialogfeld „Remotezugriff auf Ihren Computer zulassen“ und deaktivieren Sie „Remoteunterstützungsverbindung zu diesem Computer zulassen“.
Sie möchten auch überprüfen und entfernen Fernzugriffssoftware wie TeamViewer, AeroAdmin und AnyDesk. Diese Programme erhöhen nicht nur Ihre Anfälligkeit für häufige Malware- und Schwachstellenangriffe, sondern auch für Living-off-the-Land-Angriffe, bei denen Hacker vorinstallierte Programme ausnutzen, um einen Angriff durchzuführen.
Angreifer wollen die Schlüssel zum Haus, aber Sie können sie aufhalten
LSASS hält die Schlüssel zu Ihrem Computer. Durch die Kompromittierung dieses Prozesses können Angreifer jederzeit auf die Geheimnisse Ihres Geräts zugreifen. Das Schlimmste ist, dass sie darauf zugreifen können, als ob sie ein legitimer Benutzer wären. Obwohl Sie diese Eindringlinge finden und entfernen können, ist es am besten, sie von vornherein zu verhindern. Halten Sie Ihr Gerät auf dem neuesten Stand und passen Sie die Sicherheitseinstellungen an, um dieses Ziel zu erreichen.