خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

سرقت اعتبار چیست؟ چگونه در ویندوز از آن جلوگیری کنیم

ارشیا یوسفی ادیب ۱۱ آذر, ۱۴۰۱ 7 دقیقه زمان مطالعه

سرقت مدارک می تواند شما را کاملاً در معرض دید قرار دهد، پس واقعاً اینطور است؟ درباره آن چکار میتونید بکنید؟ در اینجا چیزی است که شما باید بدانید.

سرقت اعتبار نوعی حمله سایبری است که در آن هکرها فرآیندی را هدف قرار می دهند که امنیت ویندوز را مدیریت می کند. می توانید آن را به دزدی تشبیه کنید که کلیدهای خانه شما را می کشد و به سرعت آنها را کپی می کند. با این کلیدها هر زمان که بخواهند به خانه شما دسترسی دارند. پس وقتی متوجه می شوید کلیدهایتان دزدیده شده اند چه می کنید؟ شما قفل ها را عوض کنید. در اینجا نحوه انجام معادل آن در ویندوز برای مبارزه با سرقت اطلاعات است.

ویندوز LSASS چیست؟

سرویس سرور محلی امنیتی ویندوز (LSASS) فرآیندی است که خط مشی امنیتی رایانه شما را مدیریت می کند. LSASS ورود به سیستم، تغییرات رمز عبور، نشانه های دسترسی و امتیازات مدیریتی را برای چندین کاربر در یک سیستم یا سرور تأیید می کند.

LSASS را به‌عنوان کسی که شناسنامه‌ها را در دروازه اصلی چک می‌کند و اتاق‌های VIP را محاصره می‌کند، در نظر بگیرید. بدون دریچه درب، هر کسی می تواند با شناسه جعلی وارد باشگاه شود و هیچ چیز مانع از ورود آنها به مناطق ممنوعه نمی شود.

سرقت اعتبار چیست؟

LSASS به عنوان یک فرآیند، lsass.exe اجرا می شود. پس از بوت شدن، lsass.exe اعتبارنامه های احراز هویت مانند گذرواژه های رمزگذاری شده، هش های NT، هش های LM و بلیط های Kerberos را در حافظه ذخیره می کند. ذخیره این اعتبارنامه ها در حافظه به کاربران امکان می دهد در طول جلسات فعال ویندوز بدون وارد کردن مجدد اعتبار هر بار که نیاز به انجام کاری دارند، به فایل ها دسترسی داشته باشند و به اشتراک بگذارند.

سرقت اعتبار زمانی است که مهاجمان از ابزارهایی مانند Mimikatz برای حذف، جابجایی، ویرایش یا جایگزینی فایل واقعی lsass.exe استفاده می کنند. از دیگر ابزارهای معروف سرقت اعتبار می توان به Crackmapexec و Lsassy اشاره کرد.

چگونه هکرها اعتبار LSASS را سرقت می کنند

شخصی که از مک بوک ایر روی میز استفاده می کند

معمولاً در سرقت مدارک، مهاجمان از راه دور به رایانه قربانی دسترسی پیدا می‌کنند – هکرها از راه‌های مختلفی از راه دور دسترسی پیدا می‌کنند. در همین حال، استخراج یا ایجاد تغییرات در LSASS به امتیازات مدیریت نیاز دارد. بنابراین، اولین کار مهاجم این است که امتیازات خود را بالا ببرد. با این دسترسی، آنها می توانند بدافزاری را برای تخلیه فرآیند LSASS، دانلود dump و استخراج اعتبار به صورت محلی از آن نصب کنند.

با این حال، Microsoft Defender در شناسایی و حذف بدافزارها کارآمدتر شده است، به این معنی که هکرها تمایل دارند به حملات Living off the Land متوسل شوند. در اینجا، مهاجم برنامه‌های آسیب‌پذیر بومی ویندوز را ربوده و از آنها برای غارت اعتبارنامه‌ها در LSASS استفاده می‌کند.

مطلب مرتبط:   چگونه از فایل های خود با رمزگذاری فایل های داخلی NTFS در ویندوز 10 محافظت کنید

به عنوان مثال، با استفاده از Task Manager، یک مهاجم می‌تواند Task Manager را باز کند، به «Windows Processes» بروید و «Local Security Authority Process» را پیدا کند. با کلیک راست روی این گزینه به مهاجم این امکان را می دهد که یک فایل dump ایجاد کند یا مکان فایل را باز کند. تصمیم مهاجم از اینجا به بعد به اهداف آنها بستگی دارد. آنها می توانند فایل dump را دانلود کنند تا اعتبارنامه ها را استخراج کنند یا lsass.exe واقعی را با یک فایل جعلی جایگزین کنند.

سرقت اعتبار: چگونه بررسی کنیم و چه کاری انجام دهیم

وقتی نوبت به بررسی اینکه آیا قربانی یک حمله سرقت مدارک شده اید یا خیر، در اینجا پنج راه وجود دارد که می توانید متوجه شوید.

1. Lsass.exe از منابع سخت افزاری زیادی استفاده می کند

Task Manager را بارگیری کنید و روند استفاده از CPU و حافظه را بررسی کنید. به طور معمول، این فرآیند باید از 0 درصد از CPU و حدود 5 مگابایت حافظه استفاده کند. اگر مصرف زیاد CPU و بیش از 10 مگابایت استفاده از حافظه را مشاهده کردید، و اقدامی مرتبط با امنیت مانند تغییر جزئیات ورود به سیستم اخیراً انجام نداده‌اید، مشکلی وجود دارد.

در این مورد، از Task Manager برای پایان دادن به فرآیند استفاده کنید. سپس به محل فایل بروید و Shift + Delete فایل را بزنید. فرآیند واقعی یک خطا ایجاد می‌کند، اما یک فرآیند جعلی خطا نمی‌کند، بنابراین مطمئناً می‌دانید. همچنین، برای اطمینان، باید تاریخچه فایل را بررسی کنید تا مطمئن شوید که ویندوز یک نسخه پشتیبان را حفظ نکرده است.

2. Lsass.exe اشتباه است

مانند typosquatting، هکرها اغلب نام فرآیندهایی را که ربوده‌اند تغییر می‌دهند تا شبیه به فرآیندهای واقعی باشند. در این مورد، مهاجم ممکن است هوشمندانه فرآیند جعلی را با حروف بزرگ “i” نامگذاری کند تا از ظاهر کوچک “L” تقلید کند. مبدل کیس می تواند به شما کمک کند تا فایل فریبنده را به راحتی تشخیص دهید. نام فرآیند جعلی ممکن است یک “a” یا “s” اضافی نیز داشته باشد. اگر چنین فرآیندهای املایی را مشاهده کردید، Shift + Delete فایل را دنبال کنید و با File History دنبال کنید تا نسخه پشتیبان حذف شود.

3. Lsass.exe در یک پوشه دیگر است

دست روی صفحه کلید لپ تاپ

در اینجا باید از طریق Task Manager بروید. Task Manager > Windows Processes را باز کنید و “Local Security Authority Process” را جستجو کنید. سپس روی فرآیند کلیک راست کنید تا گزینه های خود را ببینید و Open File Location را انتخاب کنید. فایل واقعی lsass.exe در پوشه “C:\Windows\System32” خواهد بود. یک فایل در هر مکان دیگری به احتمال زیاد بدافزار است. آن را حذف کنید

مطلب مرتبط:   آیا Payoneer ایمن است؟ در اینجا چیزی است که شما باید بدانید

4. بیش از یک فرآیند یا فایل Lsass

وقتی از Task Manager برای بررسی استفاده می‌کنید، فقط باید یک «فرآیند مرجع امنیتی محلی» را ببینید. طبیعی است که وقتی روی دکمه کشویی کلیک می کنید، فعالیت هایی در این فرآیند اجرا شود. با این حال، اگر مشاهده کردید که بیش از یک فرآیند محلی امنیت محلی در حال اجرا است، احتمال اینکه قربانی سرقت اعتبار شده باشید وجود دارد. همین امر برای دیدن بیش از یک فایل lsass.exe هنگامی که به محل فایل می روید صدق می کند. در این صورت سعی کنید فایل ها را پاک کنید. اگر بخواهید آن را حذف کنید، lsass.exe واقعی یک خطا ایجاد می کند.

5. فایل Lsass.exe خیلی بزرگ است

فایل‌های Lsass.exe کوچک هستند – فایلی که در دستگاه ما در ویندوز 11 اجرا می‌شود 83 کیلوبایت است. رایانه ویندوز 10 که ما بررسی کردیم دارای یک 60 کیلوبایت بزرگ است. بنابراین فایل های lsass.exe بسیار کوچک هستند. البته، مهاجمان می‌دانند که یک فایل Lsass.exe بزرگ یک هدایای مرده است، بنابراین معمولاً بارهای خود را کوچک می‌کنند. پس اندازه فایل کوچک مطابق با مقادیر ما چیز زیادی به شما نمی گوید. با این حال، اگر علائم ذکر شده در بالا را در نظر بگیرید، به راحتی می توانید بدافزار را پنهان کنید.

چگونه از سرقت اعتبار از طریق ویندوز LSASS جلوگیری کنیم

امنیت در رایانه‌های ویندوزی همچنان بهبود می‌یابد، اما سرقت اعتبار هنوز یک تهدید قوی است، به‌ویژه برای دستگاه‌های قدیمی که سیستم‌عامل‌های قدیمی دارند یا سیستم‌عامل‌های جدیدی در به‌روزرسانی‌های نرم‌افزاری هستند. در اینجا سه ​​راه برای جلوگیری از سرقت اعتبار برای کاربران غیر پیشرفته ویندوز وجود دارد.

آخرین به روز رسانی های امنیتی را دانلود و نصب کنید

به‌روزرسانی‌های امنیتی آسیب‌پذیری‌هایی را اصلاح می‌کنند که مهاجمان می‌توانند از آنها برای تصرف رایانه شما سوء استفاده کنند. به روز نگه داشتن دستگاه های موجود در شبکه خطر هک شدن را کاهش می دهد. بنابراین، رایانه خود را طوری تنظیم کنید که به‌محض در دسترس قرار گرفتن به‌روزرسانی‌های ویندوز به‌طور خودکار دانلود و نصب شود. همچنین باید به‌روزرسانی‌های امنیتی را برای برنامه‌های شخص ثالث روی رایانه شخصی خود دریافت کنید.

از Windows Defender Credential Guard استفاده کنید

Windows Defender Credential Guard یک ویژگی امنیتی است که یک فرآیند LSASS ایزوله (LSAIso) ایجاد می کند. تمام اعتبارنامه ها به طور ایمن در این فرآیند ایزوله ذخیره می شوند، که به نوبه خود با فرآیند LSASS اصلی برای اعتبارسنجی کاربران ارتباط برقرار می کند. این از یکپارچگی اعتبارنامه شما محافظت می کند و از هکرها از سرقت داده های ارزشمند در صورت حمله جلوگیری می کند.

مطلب مرتبط:   «محدود کردن پهنای باند قابل رزرو» چیست و آیا باید آن را در ویندوز تغییر دهید؟

Credential Guard در نسخه های Enterprise و Pro ویندوز 10 و ویندوز 11 و همچنین نسخه های انتخابی سرورهای ویندوز در دسترس است. این دستگاه ها همچنین باید الزامات سختگیرانه ای مانند Secure Boot و مجازی سازی 64 بیتی را برآورده کنند. شما باید این ویژگی را به صورت دستی فعال کنید، زیرا به طور پیش فرض فعال نیست.

دسترسی از راه دور دسکتاپ را غیرفعال کنید

دسکتاپ از راه دور به شما و سایر افراد مجاز اجازه می دهد بدون قرار گرفتن در یک مکان فیزیکی از رایانه استفاده کنید. برای زمانی که می‌خواهید فایل‌ها را از یک دستگاه کاری در دستگاه خانگی خود دریافت کنید یا زمانی که پشتیبانی فنی می‌خواهد به شما کمک کند مشکلی را که دقیقاً نمی‌توانید توضیح دهید، به شما کمک کند، عالی است. با وجود راحتی، دسترسی از راه دور دسکتاپ شما را در برابر حملات آسیب پذیر می کند.

برای غیرفعال کردن دسترسی از راه دور، کلید Windows را فشار دهید و سپس “تنظیمات راه دور” را تایپ کنید. “Allow remote access to your computer” را انتخاب کنید و علامت “Allow Remote Assistance connection to this computer” را در کادر گفتگو بردارید.

همچنین می‌خواهید نرم‌افزارهای دسترسی از راه دور مانند TeamViewer، AeroAdmin و AnyDesk را بررسی و حذف کنید. این برنامه‌ها نه تنها قرار گرفتن در معرض بدافزارها و حملات آسیب‌پذیری رایج را افزایش می‌دهند، بلکه حملات Living off the Land را نیز افزایش می‌دهند – جایی که هکرها از برنامه‌های از پیش نصب شده برای انجام یک حمله سوء استفاده می‌کنند.

مهاجمان کلید خانه را می خواهند، اما شما می توانید آنها را متوقف کنید

LSASS کلیدهای کامپیوتر شما را نگه می دارد. به خطر انداختن این فرآیند به مهاجمان این امکان را می دهد که در هر زمان به اسرار دستگاه شما دسترسی داشته باشند. بدترین بخش این است که آنها می توانند به آن دسترسی داشته باشند که گویی یک کاربر قانونی هستند. اگرچه می توانید این مزاحمان را پیدا و حذف کنید، اما بهتر است در وهله اول از آنها جلوگیری کنید. به روز نگه داشتن دستگاه و تنظیم تنظیمات امنیتی به شما در دستیابی به این هدف کمک می کند.

Tags: