Il furto di credenziali è un tipo di attacco informatico in cui gli hacker prendono di mira il processo che gestisce la sicurezza di Windows. Puoi paragonarlo a un ladro che striscia le chiavi di casa e le copia rapidamente. Con queste chiavi, hanno accesso a casa tua ogni volta che vogliono. Quindi cosa fai quando scopri che le tue chiavi sono state rubate? Tu cambi le serrature. Ecco come fare l'equivalente di quello su Windows per combattere il furto di credenziali.
Cos'è Windows LSASS?
Windows Local Security Authority Server Service (LSASS) è un processo che gestisce i criteri di sicurezza del computer. LSASS convalida accessi, modifiche delle password, token di accesso e privilegi amministrativi per più utenti su un sistema o server.
Pensa a LSASS come al buttafuori che controlla i documenti d'identità al cancello principale e isola le stanze VIP. Senza un buttafuori alla porta, chiunque può entrare nel club con un documento d'identità falso e nulla impedisce loro di entrare nelle aree riservate.
Cos'è il furto di credenziali?
LSASS viene eseguito come processo, lsass.exe. All'avvio, lsass.exe memorizza le credenziali di autenticazione come password crittografate, hash NT, hash LM e ticket Kerberos in memoria. L'archiviazione di queste credenziali in memoria consente agli utenti di accedere e condividere file durante le sessioni di Windows attive senza reinserire le credenziali ogni volta che devono eseguire un'attività.
Il furto di credenziali avviene quando gli aggressori utilizzano strumenti come Mimikatz per eliminare, spostare, modificare o sostituire il vero file lsass.exe. Altri popolari strumenti per il furto di credenziali includono Crackmapexec e Lsassy.
Come gli hacker rubano le credenziali LSASS
Di solito, nel furto di credenziali, gli aggressori accedono in remoto al computer della vittima: gli hacker ottengono l'accesso remoto in diversi modi. Nel frattempo, estrarre o apportare modifiche a LSASS richiede privilegi di amministratore. Quindi, il primo ordine del giorno dell'attaccante sarà quello di elevare i propri privilegi. Con questo accesso, possono installare malware per eseguire il dump del processo LSASS, scaricare il dump ed estrarre le credenziali in locale da esso.
Tuttavia, Microsoft Defender è diventato più efficiente nell'identificare e rimuovere il malware, il che significa che gli hacker tendono a ricorrere Vivere degli attacchi di terra. In questo caso, l'attaccante dirotta le app Windows native vulnerabili e le utilizza per saccheggiare le credenziali in LSASS.
Ad esempio, utilizzando Task Manager, un utente malintenzionato può aprire Task Manager, scorrere verso il basso fino a "Processi di Windows" e trovare "Local Processo dell'autorità di sicurezza. Facendo clic con il pulsante destro del mouse, l'attaccante ha la possibilità di creare un file di dump o di aprire il file posizione. La decisione dell'attaccante da qui in poi dipende dai suoi obiettivi. Possono scaricare il file di dump per estrarre le credenziali o sostituire il vero lsass.exe con uno falso.
Furto di credenziali: come controllare e cosa fare
Quando si tratta di verificare se sei stato vittima di un attacco di furto di credenziali, ecco cinque modi per scoprirlo.
1. Lsass.exe utilizza molte risorse hardware
Carica Task Manager e controlla l'utilizzo della CPU e della memoria del processo. Normalmente, questo processo dovrebbe utilizzare lo 0 percento della CPU e circa 5 MB di memoria. Se riscontri un utilizzo intenso della CPU e più di 10 MB di memoria e non hai eseguito di recente un'azione relativa alla sicurezza come la modifica dei dettagli di accesso, allora c'è qualcosa che non va.
In questo caso, utilizzare Task Manager per terminare il processo. Quindi, vai al percorso del file e Maiusc + Elimina il file. Il vero processo genererebbe un errore, ma uno falso no, quindi lo sapresti per certo. Inoltre, per essere sicuri, dovresti controlla la cronologia dei file per assicurarsi che Windows non conservasse un backup.
2. Lsass.exe è errato
Come nel typosquatting, gli hacker spesso rinominano i processi che hanno violato in modo che assomiglino a quelli reali. In questo caso, un utente malintenzionato può abilmente denominare il falso processo con una "i" maiuscola per imitare l'aspetto della "L" minuscola. Un convertitore di casi può aiutarti a individuare facilmente il file dell'impostore. Il falso nome del processo può anche avere una "a" o una "s" in più. Se vedi tali processi con errori di ortografia, Maiusc + Elimina il file e segui Cronologia file per rimuovere i backup.
3. Lsass.exe è in un'altra cartella
Dovrai passare attraverso Task Manager qui. Aprire Gestore attività> Processi Windowse cercare "Processo autorità di sicurezza locale". Quindi, fai clic con il pulsante destro del mouse sul processo per visualizzare le opzioni e scegliere Aprire la destinazione del file. Il vero file lsass.exe si troverà nella cartella "C:\Windows\System32". Un file in qualsiasi altra posizione è molto probabilmente un malware; rimuoverla.
4. Più di un processo o file Lsass
Quando usi Task Manager per controllare, dovresti vedere solo un "Processo dell'autorità di sicurezza locale". È normale che questo processo abbia attività in esecuzione quando si fa clic sul pulsante a discesa. Tuttavia, se vedi più di un processo dell'autorità di sicurezza locale in esecuzione, è probabile che tu sia stato vittima di un furto di credenziali. Lo stesso vale per vedere più di un file lsass.exe quando vai al percorso del file. In questo caso, tentare di eliminare i file. Il vero lsass.exe genererà un errore se si tenta di eliminarlo.
5. Il file Lsass.exe è troppo grande
I file Lsass.exe sono piccoli: quello sulla nostra macchina in esecuzione su Windows 11 è di 83 KB. Il computer Windows 10 che abbiamo controllato ne ha uno da 60 KB. Quindi i file lsass.exe sono piccoli. Naturalmente, gli aggressori sanno che un file Lsass.exe di grandi dimensioni è un regalo morto, quindi generalmente riducono i loro payload. Una piccola dimensione del file coerente con i nostri valori, quindi, non ti dice molto. Tuttavia, se si tiene conto dei suddetti segni rivelatori, è possibile individuare facilmente il malware sotto mentite spoglie.
Come impedire il furto di credenziali tramite Windows LSASS
La sicurezza sui computer Windows continua a migliorare, ma il furto di credenziali è ancora potente minaccia, in particolare per i vecchi dispositivi che eseguono sistemi operativi obsoleti o nuovi con software in ritardo aggiornamenti. Ecco tre modi per impedire il furto di credenziali per gli utenti Windows non avanzati.
Scarica e installa gli ultimi aggiornamenti di sicurezza
Gli aggiornamenti della sicurezza correggono le vulnerabilità che gli aggressori possono sfruttare per impossessarsi del tuo computer. Mantenere aggiornati i dispositivi sulla rete riduce il rischio di essere violati. Quindi, imposta il tuo computer in modo che scarichi e installi automaticamente gli aggiornamenti di Windows non appena diventano disponibili. Dovresti anche ottenere aggiornamenti di sicurezza per programmi di terze parti sul tuo PC.
Usa Windows Defender Credential Guard
Protezione delle credenziali di Windows Defender è una funzionalità di sicurezza che crea un processo LSASS isolato (LSAIso). Tutte le credenziali vengono archiviate in modo sicuro in questo processo isolato, che, a sua volta, comunica con il processo LSASS principale per convalidare gli utenti. Ciò protegge l'integrità delle tue credenziali e impedisce agli hacker di rubare dati preziosi in caso di attacco.
Credential Guard è disponibile nelle versioni Enterprise e Pro di Windows 10 e Windows 11, nonché in versioni selezionate di Windows Server. Anche questi dispositivi devono soddisfare requisiti rigorosi come Secure Boot e virtualizzazione a 64 bit. È necessario abilitare questa funzione manualmente, poiché non è abilitata per impostazione predefinita.
Disabilita l'accesso al desktop remoto
Remote Desktop consente a te e ad altre persone autorizzate di utilizzare un computer senza trovarsi nella stessa posizione fisica. È ottimo per quando vuoi ottenere file da un dispositivo di lavoro sul tuo computer di casa o quando il supporto tecnico vuole aiutarti a risolvere un problema che non puoi descrivere esattamente. Nonostante la comodità, anche l'accesso al desktop remoto ti lascia vulnerabile agli attacchi.
Per disabilitare l'accesso remoto, premere il Chiave Windows quindi digitare "impostazioni remote". Seleziona "Consenti l'accesso remoto al tuo computer" e deseleziona "Consenti connessione di assistenza remota a questo computer" nella finestra di dialogo.
Vuoi anche controllare e rimuovere software di accesso remoto come TeamViewer, AeroAdmin e AnyDesk. Questi programmi non solo aumentano la tua esposizione a malware comuni e attacchi di vulnerabilità, ma anche agli attacchi Living off the Land, in cui gli hacker sfruttano i programmi preinstallati per eseguire un attacco.
Gli aggressori vogliono le chiavi di casa, ma tu puoi fermarli
LSASS detiene le chiavi del tuo computer. La compromissione di questo processo consente agli aggressori di accedere ai segreti del tuo dispositivo in qualsiasi momento. La parte peggiore è che possono accedervi come se fossero un utente legittimo. Sebbene tu possa trovare e rimuovere questi intrusi, è meglio prevenirli in primo luogo. Tenere aggiornato il tuo dispositivo e regolare le impostazioni di sicurezza ti aiuta a raggiungere questo obiettivo.