Đánh cắp thông tin xác thực là gì? Cách ngăn chặn ra sao trên máy tính Windows?

Đánh cắp thông tin xác thực là một kiểu tấn công mạng trong đó tin tặc nhắm mục tiêu vào quy trình xử lý bảo mật của Windows. Bạn có thể ví nó như một tên trộm lấy chìa khóa nhà của bạn và nhanh chóng sao chép chúng. Với những chiếc chìa khóa sao chép này, chúng có thể vào nhà bạn bất cứ khi nào chúng muốn. Vậy bạn sẽ làm gì khi phát hiện chìa khóa của mình bị đánh cắp? Chính là phải thay ngay ổ khóa. Đó cũng giống như cách Windows sẽ thực hiện để chống đánh cắp thông tin xác thực.

Windows LSASS là gì?

Windows Local Security Authority Server Service (LSASS) là một tiến trình quản lý chính sách bảo mật máy tính. LSASS xác thực thông tin đăng nhập, thay đổi mật khẩu, token truy cập và đặc quyền admin cho nhiều người dùng trên hệ thống hoặc máy chủ.

Hãy coi LSASS như một nhân viên bảo vệ kiểm tra ID ở cổng chính và phong tỏa các phòng VIP. Không có người bảo vệ ở cửa, bất kỳ ai cũng có thể vào câu lạc bộ bằng ID giả và không có gì ngăn cản họ vào các khu vực hạn chế.

Đánh cắp thông tin xác thực là gì?

LSASS chạy như một tiến trình, lsass.exe. Khi khởi động, lsass.exe lưu trữ thông tin đăng nhập xác thực như mật khẩu được mã hóa, NT hash, LM hash và Kerberos ticket trong bộ nhớ. Việc lưu trữ các thông tin đăng nhập này trong bộ nhớ cho phép người dùng truy cập và chia sẻ file trong các phiên Windows đang hoạt động mà không cần nhập lại thông tin đăng nhập mỗi khi họ cần thực hiện một tác vụ.

Đánh cắp thông tin xác thực là khi kẻ tấn công sử dụng các công cụ như Mimikatz để xóa, di chuyển, chỉnh sửa hoặc thay thế file lsass.exe thực. Các công cụ đánh cắp thông tin đăng nhập phổ biến khác bao gồm Crackmapexec và Lsassy.

Cách tin tặc đánh cắp thông tin xác thực LSASS

Người sử dụng Macbook Air

Thông thường, trong hành vi đánh cắp thông tin xác thực, kẻ tấn công truy cập từ xa vào máy tính của nạn nhân - tin tặc có quyền truy cập từ xa theo nhiều cách. Trong khi đó, việc giải nén hoặc thực hiện các thay đổi đối với LSASS yêu cầu quyền của quản trị viên. Vì vậy, nhiệm vụ đầu tiên của kẻ tấn công là nâng cao các đặc quyền của chúng. Với quyền truy cập này, họ có thể cài đặt phần mềm độc hại để kết xuất tiến trình LSASS, tải xuống kết xuất và trích xuất thông tin đăng nhập cục bộ từ quy trình đó.

Tuy nhiên, Microsoft Defender đã trở nên hiệu quả hơn trong việc xác định và xóa phần mềm độc hại, nghĩa là tin tặc có xu hướng sử dụng các cuộc tấn công Living off the Land. Tại đây, kẻ tấn công chiếm quyền điều khiển các ứng dụng Windows gốc dễ bị tấn công và sử dụng chúng để lấy cắp thông tin đăng nhập trong LSASS.

Ví dụ, khi sử dụng Task Manager, kẻ tấn công có thể mở Task Manager, cuộn xuống “Windows Processes” và tìm “Local Security Authority Process”. Nhấp chuột phải vào đây sẽ cung cấp cho kẻ tấn công tùy chọn để tạo file kết xuất hoặc mở vị trí file. Quyết định của kẻ tấn công từ đây trở đi phụ thuộc vào mục tiêu của chúng. Chúng có thể tải xuống file kết xuất để trích xuất thông tin đăng nhập hoặc thay thế lsass.exe thật bằng file giả.

Cách kiểm tra xem bạn có bị đánh cắp thông tin xác thực không

Khi cần kiểm tra xem bạn có phải là nạn nhân của một cuộc tấn công đánh cắp thông tin xác thực hay không, đây là 5 cách bạn có thể tìm hiểu.

1. Lsass.exe sử dụng nhiều tài nguyên phần cứng

Mở Task Manager, sau đó kiểm tra quá trình sử dụng CPU và bộ nhớ. Thông thường, quá trình này sẽ sử dụng 0 phần trăm CPU và khoảng 5MB bộ nhớ. Nếu bạn thấy mức sử dụng CPU cao và mức sử dụng bộ nhớ hơn 10MB, đồng thời gần đây bạn chưa thực hiện hành động liên quan đến bảo mật như thay đổi chi tiết đăng nhập, thì có nghĩa là đã xảy ra sự cố.

Trong trường hợp này, hãy sử dụng Task Manager để kết thúc tiến trình. Sau đó, đi đến vị trí file và Shift + Delete file. Tiến trình thực sự sẽ gây ra lỗi, nhưng tiến trình giả mạo thì không, vì vậy bạn sẽ biết được kết quả. Ngoài ra, để chắc chắn, bạn nên kiểm tra File History để đảm bảo Windows không lưu bản sao lưu.

2. Lsass.exe viết sai chính tả

Giống như khi đánh máy, tin tặc thường đổi tên các tiến trình mà chúng đã chiếm quyền điều khiển để giống với tiến trình thực. Trong trường hợp này, kẻ tấn công có thể khéo léo đặt tên cho tiến trình giả mạo bằng chữ "i" viết hoa để bắt chước chữ "L" viết thường. Công cụ chuyển đổi chữ hoa chữ thường có thể giúp bạn dễ dàng phát hiện ra file giả mạo. Tên tiến trình giả mạo cũng có thể có thêm một chữ “a” hoặc “s”. Nếu bạn thấy các tiến trình sai chính tả như vậy, hãy Shift + Delete file và theo dõi File History để xóa các bản sao lưu.

3. Lsass.exe nằm trong một thư mục khác

Tay đặt trên bàn phím laptop

Bạn sẽ cần phải đi qua Task Manager tại đây. Mở Task Manager > Windows Processes và tìm kiếm “Local Security Authority Process”. Sau đó, nhấp chuột phải vào tiến trình để xem các tùy chọn của bạn và chọn Open File Location. File lsass.exe thực sẽ nằm trong thư mục "C:\Windows\System32". Một file ở bất kỳ vị trí nào khác rất có thể là phần mềm độc hại. Hãy gỡ bỏ nó!

4. Nhiều hơn một tiến trình hoặc file Lsass

Khi sử dụng Task Manager để kiểm tra, bạn sẽ chỉ thấy một “Local Security Authority Process”. Tiến trình này có các hoạt động đang chạy khi bạn nhấp vào nút drop-down là điều bình thường. Tuy nhiên, nếu bạn thấy nhiều hơn một tiến trình của Local Security Authority Process đang chạy, rất có thể bạn đã là nạn nhân của hành vi đánh cắp thông tin xác thực. Điều tương tự cũng áp dụng cho việc xem nhiều file lsass.exe khi bạn đi đến vị trí file. Trong trường hợp này, hãy cố gắng xóa các file. Lsass.exe thực sẽ báo lỗi nếu bạn cố xóa nó.

5. File Lsass.exe quá lớn

Các file Lsass.exe nhỏ- file trên máy chạy Windows 11 thử nghiệm là 83KB, máy tính Windows 10 lớn hơn là 60KB. Như bạn thấy đấy, các file lsass.exe thường rất nhỏ. Tất nhiên, những kẻ tấn công biết một file Lsass.exe lớn sẽ gây chú ý, vì vậy chúng thường làm cho payload nhỏ đi. Do đó, kích thước file nhỏ không nói lên nhiều điều. Tuy nhiên, nếu tính đến các dấu hiệu nhận biết đã nói ở trên, bạn có thể dễ dàng phát hiện ra phần mềm độc hại được ngụy trang.

Cách ngăn chặn hành vi đánh cắp thông tin xác thực thông qua Windows LSASS

Bảo mật trên máy tính Windows tiếp tục được cải thiện, nhưng hành vi đánh cắp thông tin xác thực vẫn là một mối đe dọa tiềm ẩn, đặc biệt đối với các thiết bị cũ chạy hệ điều hành lỗi thời hoặc thiết bị mới cập nhật phần mềm chậm. Dưới đây là 3 cách để ngăn chặn hành vi đánh cắp thông tin xác thực cho người dùng Windows không quá hiểu biết về kỹ thuật.

Tải xuống và cài đặt các bản cập nhật bảo mật mới nhất

Các bản cập nhật bảo mật vá các lỗ hổng mà kẻ tấn công có thể khai thác để chiếm quyền điều khiển máy tính. Luôn cập nhật các thiết bị trên mạng của bạn sẽ giảm nguy cơ bị tấn công. Vì vậy, hãy đặt máy tính của bạn tự động tải xuống và cài đặt các bản cập nhật Windows ngay khi chúng có sẵn. Bạn cũng sẽ nhận được các bản cập nhật bảo mật cho các chương trình của bên thứ ba trên PC của mình.

Sử dụng Windows Defender Credential Guard

Windows Defender Credential Guard là một tính năng bảo mật tạo ra một tiến trình LSASS bị cô lập (LSAIso). Tất cả thông tin đăng nhập được lưu trữ an toàn trong tiến trình biệt lập này, do đó, hãy giao tiếp với tiến trình LSASS chính để xác thực người dùng. Điều này bảo vệ tính toàn vẹn cho thông tin đăng nhập của bạn và ngăn tin tặc đánh cắp dữ liệu có giá trị trong trường hợp bị tấn công.

Credential Guard có sẵn trên phiên bản Enterprise và Pro của Windows 10 và Windows 11, cũng như các phiên bản chọn lọc của Windows Servers. Các thiết bị này cũng phải đáp ứng các yêu cầu nghiêm ngặt như Secure Boot và ảo hóa 64-bit. Bạn phải bật tính năng này theo cách thủ công vì tính năng này không được bật theo mặc định.

Vô hiệu hóa quyền truy cập Remote Desktop

Remote Desktop cho phép bạn và những người được ủy quyền khác sử dụng máy tính mà không cần ở cùng một vị trí thực tế. Thật tuyệt khi bạn muốn lấy file từ thiết bị làm việc trên máy ở nhà hoặc khi bộ phận hỗ trợ kỹ thuật muốn giúp bạn khắc phục sự cố mà bạn không thể mô tả chính xác. Bất chấp sự tiện lợi, truy cập Remote Desktop cũng khiến bạn dễ bị tấn công.

Để vô hiệu hóa quyền truy cập từ xa, hãy nhấn phím Windows, sau đó nhập “remote settings”. Chọn “Allow remote access to your computer” và bỏ chọn “Allow Remote Assistance connection to this computer” trong hộp thoại.

Bạn cũng muốn kiểm tra và xóa phần mềm truy cập từ xa như TeamViewer, AeroAdmin và AnyDesk. Các chương trình này không chỉ làm tăng khả năng bạn tiếp xúc với những cuộc tấn công và phần mềm độc hại phổ biến mà còn cả các cuộc tấn công Living off the Land - nơi tin tặc khai thác các chương trình được cài đặt sẵn để thực hiện một cuộc tấn công.

LSASS giữ chìa khóa máy tính của bạn. Việc can thiệp vào tiến trình này cho phép kẻ tấn công truy cập vào những phần bí mật trên thiết bị của bạn bất kỳ lúc nào. Phần tồi tệ nhất là chúng có thể truy cập máy tính như người dùng hợp pháp. Mặc dù bạn có thể tìm và loại bỏ những kẻ xâm nhập này nhưng tốt nhất là ngăn chặn chúng ngay từ đầu. Luôn cập nhật thiết bị và điều chỉnh cài đặt bảo mật sẽ giúp bạn đạt được mục tiêu này.

Thứ Sáu, 18/11/2022 16:02
51 👨 290
0 Bình luận
Sắp xếp theo
    ❖ Kiến thức cơ bản