Kimlik bilgilerinin çalınması, bilgisayar korsanlarının Windows güvenliğini işleyen süreci hedef aldığı bir tür siber saldırıdır. Bunu, evinizin anahtarlarını çalan ve hızla kopyalayan bir hırsıza benzetebilirsiniz. Bu anahtarlar sayesinde evinize istedikleri zaman erişebilirler. Peki anahtarlarınızın çalındığını fark ettiğinizde ne yaparsınız? Kilitleri değiştiriyorsun. Kimlik bilgilerinin çalınmasıyla mücadele etmek için Windows'ta bunun eşdeğerini nasıl yapacağınız aşağıda açıklanmıştır.
Windows LSASS Nedir?
Windows Yerel Güvenlik Yetkilisi Sunucu Hizmeti (LSASS), bilgisayarınızın güvenlik ilkesini yöneten bir işlemdir. LSASS, bir sistem veya sunucudaki birden çok kullanıcı için oturum açma bilgilerini, parola değişikliklerini, erişim belirteçlerini ve yönetici ayrıcalıklarını doğrular.
LSASS'ı, ana kapıda kimlikleri kontrol eden ve VIP odalarını kordon altına alan fedai olarak düşünün. Kapıda bir fedai olmadan, herkes kulübe sahte kimlikle girebilir ve hiçbir şey onların yasak alanlara girmesini engelleyemez.
Kimlik Bilgilerinin Çalınması Nedir?
LSASS, lsass.exe adlı bir işlem olarak çalışır. Önyükleme sırasında lsass.exe, şifrelenmiş parolalar, NT sağlamaları, LM sağlamaları ve Kerberos biletleri gibi kimlik doğrulama bilgilerini bellekte depolar. Bu kimlik bilgilerinin bellekte saklanması, kullanıcıların etkin Windows oturumları sırasında, bir görevi gerçekleştirmek için her ihtiyaç duyduklarında kimlik bilgilerini yeniden girmeden dosyalara erişmesine ve bunları paylaşmasına olanak tanır.
Kimlik bilgilerinin çalınması, saldırganların gerçek lsass.exe dosyasını silmek, taşımak, düzenlemek veya değiştirmek için Mimikatz gibi araçlar kullanmasıdır. Diğer popüler kimlik bilgileri çalma araçları arasında Crackmapexec ve Lsassy bulunur.
Bilgisayar Korsanları LSASS Kimlik Bilgilerini Nasıl Çalar?
Genellikle, kimlik bilgilerinin çalınmasında, saldırganlar kurbanın bilgisayarına uzaktan erişir; bilgisayar korsanları birkaç yolla uzaktan erişim elde eder. Bu arada, LSASS'ta değişiklik yapmak veya ayıklamak, yönetici ayrıcalıkları gerektirir. Bu nedenle, saldırganın ilk işi ayrıcalıklarını yükseltmek olacaktır. Bu erişimle, LSASS sürecini boşaltmak, dökümü indirmek ve kimlik bilgilerini buradan yerel olarak çıkarmak için kötü amaçlı yazılım yükleyebilirler.
Ancak Microsoft Defender, kötü amaçlı yazılımları belirleme ve kaldırma konusunda daha verimli hale geldi, bu da bilgisayar korsanlarının başvurma eğiliminde olduğu anlamına geliyor. Kara saldırılarından yaşamak. Burada saldırgan, savunmasız yerel Windows uygulamalarını ele geçirir ve bunları LSASS'deki kimlik bilgilerini yağmalamak için kullanır.
Örneğin, bir saldırgan Görev Yöneticisi'ni kullanarak Görev Yöneticisi'ni açabilir, aşağı kaydırarak "Windows İşlemleri"ne gidebilir ve "Yerel Güvenlik Yetkisi Süreci.” Buna sağ tıklamak, saldırgana bir döküm dosyası oluşturma veya dosyayı açma seçeneği verir. konum. Saldırganın bundan sonraki kararı amaçlarına bağlıdır. Kimlik bilgilerini çıkarmak için döküm dosyasını indirebilir veya gerçek lsass.exe'yi sahtesiyle değiştirebilirler.
Kimlik Bilgilerinin Çalınması: Nasıl Kontrol Edilir ve Ne Yapılır?
Bir kimlik bilgisi çalma saldırısının kurbanı olup olmadığınızı kontrol etmeye gelince, işte öğrenebileceğiniz beş yol.
1. Lsass.exe Çok Fazla Donanım Kaynağı Kullanıyor
Görev Yöneticisi'ni yükleyin ve işlem CPU ve Bellek kullanımını kontrol edin. Normalde, bu işlem CPU'nuzun yüzde 0'ını ve yaklaşık 5 MB belleği kullanmalıdır. Yoğun CPU kullanımı ve 10 MB'tan fazla bellek kullanımı görüyorsanız ve son zamanlarda oturum açma ayrıntılarınızı değiştirmek gibi güvenlikle ilgili bir işlem gerçekleştirmediyseniz, bir sorun var demektir.
Bu durumda, işlemi sonlandırmak için Görev Yöneticisi'ni kullanın. Ardından, dosya konumuna gidin ve Shift + Sil dosya. Gerçek süreç bir hata verir, ancak sahte bir süreç olmaz, bu yüzden kesin olarak bilirsiniz. Ayrıca, emin olmak için şunları yapmalısınız: Dosya Geçmişine göz atın Windows'un bir yedeği saklamadığından emin olmak için.
2. Lsass.exe Yanlış Yazılmış
Yazım hatasında olduğu gibi, bilgisayar korsanları genellikle ele geçirdikleri işlemleri gerçek işlemler gibi görünecek şekilde yeniden adlandırır. Bu durumda, bir saldırgan, küçük "L" görünümünü taklit etmek için sahte işlemi büyük "i" harfiyle akıllıca adlandırabilir. Bir durum dönüştürücü, sahte dosyayı kolayca tespit etmenize yardımcı olabilir. Sahte işlem adında ayrıca fazladan bir "a" veya "s" olabilir. Bu tür yanlış yazılmış işlemler görürseniz, Shift + Sil dosya ve yedeklemeleri kaldırmak için Dosya Geçmişi ile takip edin.
3. Lsass.exe Başka Bir Klasörde
Burada Görev Yöneticisi'nden geçmeniz gerekecek. Açık Görev Yöneticisi> Windows İşlemlerive "Yerel Güvenlik Yetkilisi İşlemi"ni arayın. Ardından, seçeneklerinizi görmek için işlemi sağ tıklayın ve seçin Dosya konumunu aç. Gerçek lsass.exe dosyası "C:\Windows\System32" klasöründe olacaktır. Başka herhangi bir konumdaki bir dosya büyük olasılıkla kötü amaçlı yazılımdır; onu kaldır.
4. Birden Fazla Lsass İşlemi veya Dosyası
Kontrol etmek için Görev Yöneticisi'ni kullandığınızda, yalnızca bir "Yerel Güvenlik Yetkilisi İşlemi" görmelisiniz. Açılır düğmeyi tıklattığınızda bu işlemin çalışan etkinliklere sahip olması normaldir. Ancak, birden fazla Yerel Güvenlik Yetkilisi İşleminin çalıştığını görürseniz, muhtemelen kimlik bilgilerinin çalınmasının kurbanı olmuşsunuzdur. Aynısı, dosya konumuna gittiğinizde birden fazla lsass.exe dosyası görmek için de geçerlidir. Bu durumda, dosyaları silmeyi deneyin. Gerçek lsass.exe, onu silmeye çalışırsanız bir hata verir.
5. Lsass.exe Dosyası Çok Büyük
Lsass.exe dosyaları küçüktür; makinemizde Windows 11'de çalışan dosya 83 KB'dir. Kontrol ettiğimiz Windows 10 bilgisayarında 60 KB büyüklüğünde bir bilgisayar var. Yani lsass.exe dosyaları küçüktür. Elbette, saldırganlar büyük bir Lsass.exe dosyasının ölü bir eşantiyon olduğunu bilirler, bu nedenle genellikle yüklerini küçültürler. Değerlerimizle tutarlı küçük bir dosya boyutu, o halde size pek bir şey ifade etmez. Ancak, yukarıda bahsedilen anlatı işaretlerini hesaba katarsanız, kılık değiştirmiş kötü amaçlı yazılımı kolayca tespit edebilirsiniz.
Windows LSASS Aracılığıyla Kimlik Bilgilerinin Çalınması Nasıl Engellenir?
Windows bilgisayarlarda güvenlik gelişmeye devam ediyor, ancak kimlik bilgilerinin çalınması hala güçlü tehdit, özellikle eski işletim sistemlerini çalıştıran eski cihazlar veya yazılımda geride kalan yeni cihazlar için güncellemeler. Gelişmiş olmayan Windows kullanıcıları için kimlik bilgilerinin çalınmasını önlemenin üç yolu aşağıda verilmiştir.
En Son Güvenlik Güncellemelerini İndirin ve Yükleyin
Güvenlik güncelleştirmeleri, saldırganların bilgisayarınızı ele geçirmek için yararlanabilecekleri güvenlik açıklarını yamalar. Ağınızdaki cihazları güncel tutmak, saldırıya uğrama riskini azaltır. Bu nedenle, bilgisayarınızı Windows güncellemelerini kullanılabilir olur olmaz otomatik olarak indirip yükleyecek şekilde ayarlayın. ayrıca almalısın güvenlik güncellemeleri PC'nizdeki üçüncü taraf programları için.
Windows Defender Credential Guard'ı kullanın
Windows Defender Kimlik Bilgisi Koruması yalıtılmış bir LSASS işlemi (LSAIso) oluşturan bir güvenlik özelliğidir. Tüm kimlik bilgileri, sırayla kullanıcıları doğrulamak için ana LSASS süreciyle iletişim kuran bu yalıtılmış süreçte güvenli bir şekilde saklanır. Bu, kimlik bilgilerinizin bütünlüğünü korur ve bilgisayar korsanlarının bir saldırı durumunda değerli verileri çalmasını önler.
Credential Guard, Windows 10 ve Windows 11'in Enterprise ve Pro sürümlerinin yanı sıra Windows Sunucularının belirli sürümlerinde mevcuttur. Bu cihazlar da karşılamalıdır katı gereksinimler Güvenli Önyükleme ve 64 bit sanallaştırma gibi. Varsayılan olarak etkin olmadığı için bu özelliği manuel olarak etkinleştirmelisiniz.
Uzak Masaüstü Erişimini Devre Dışı Bırak
Uzak Masaüstü, sizin ve diğer yetkili kişilerin aynı fiziksel konumda bulunmadan bir bilgisayarı kullanmasına olanak tanır. Ev makinenizdeki bir iş cihazından dosya almak istediğinizde veya teknik destek tam olarak tanımlayamadığınız bir sorunu gidermenize yardımcı olmak istediğinde harikadır. Kolaylığa rağmen, uzak masaüstü erişimi sizi yalnız bırakır. saldırılara açık.
Uzaktan erişimi devre dışı bırakmak için, Windows Anahtarı ardından “uzak ayarlar” yazın. İletişim kutusunda "Bilgisayarınıza uzaktan erişime izin ver"i seçin ve "Bu bilgisayara Uzaktan Yardım bağlantısına izin ver" seçeneğinin işaretini kaldırın.
Ayrıca kontrol etmek ve kaldırmak istiyorsunuz uzaktan erişim yazılımı TeamViewer, AeroAdmin ve AnyDesk gibi. Bu programlar yalnızca yaygın kötü amaçlı yazılım ve güvenlik açığı saldırılarına maruz kalmanızı artırmakla kalmaz, aynı zamanda bilgisayar korsanlarının bir saldırı gerçekleştirmek için önceden yüklenmiş programları kullandığı Living off the Land saldırılarına da maruz kalmanızı artırır.
Saldırganlar Evin Anahtarlarını İstiyor, Ama Onları Durdurabilirsiniz
LSASS, bilgisayarınızın anahtarlarını tutar. Bu işlemi tehlikeye atmak, saldırganların cihazınızın sırlarına istedikleri zaman erişmesine olanak tanır. En kötü yanı, meşru bir kullanıcıymış gibi erişebilmeleridir. Bu davetsiz misafirleri bulup kaldırabilseniz de, en başta onları engellemek en iyisidir. Cihazınızı güncel tutmak ve güvenlik ayarlarını yapmak bu hedefe ulaşmanıza yardımcı olur.
