Đánh cắp thông tin xác thực là một kiểu tấn công mạng trong đó tin tặc nhắm mục tiêu vào quy trình xử lý bảo mật Windows. Bạn có thể ví nó như một tên trộm quẹt chìa khóa nhà của bạn và nhanh chóng sao chép chúng. Với những chiếc chìa khóa này, họ có thể vào nhà bạn bất cứ khi nào họ muốn. Vậy bạn sẽ làm gì khi phát hiện chìa khóa của mình bị đánh cắp? Bạn thay ổ khóa. Đây là cách thực hiện tương đương với điều đó trên Windows để chống ăn cắp thông tin xác thực.
Windows LSASS là gì?
Windows Local Security Authority Server Service (LSASS) là một quy trình quản lý chính sách bảo mật máy tính của bạn. LSASS xác thực thông tin đăng nhập, thay đổi mật khẩu, mã thông báo truy cập và đặc quyền quản trị cho nhiều người dùng trên hệ thống hoặc máy chủ.
Hãy nghĩ về LSASS như một nhân viên bảo vệ kiểm tra ID ở cổng chính và phong tỏa các phòng VIP. Không có người bảo vệ ở cửa, bất kỳ ai cũng có thể vào câu lạc bộ bằng ID giả và không có gì ngăn cản họ vào các khu vực hạn chế.
Ăn cắp thông tin xác thực là gì?
LSASS chạy như một tiến trình, lsass.exe. Khi khởi động, lsass.exe lưu trữ thông tin đăng nhập xác thực như mật khẩu được mã hóa, hàm băm NT, hàm băm LM và vé Kerberos trong bộ nhớ. Việc lưu trữ các thông tin đăng nhập này trong bộ nhớ cho phép người dùng truy cập và chia sẻ tệp trong các phiên Windows đang hoạt động mà không cần nhập lại thông tin đăng nhập mỗi khi họ cần thực hiện một tác vụ.
Đánh cắp thông tin xác thực là khi kẻ tấn công sử dụng các công cụ như Mimikatz để xóa, di chuyển, chỉnh sửa hoặc thay thế tệp lsass.exe thực. Các công cụ đánh cắp thông tin đăng nhập phổ biến khác bao gồm Crackmapexec và Lsassy.
Cách tin tặc đánh cắp thông tin xác thực LSASS
Thông thường, trong hành vi đánh cắp thông tin xác thực, kẻ tấn công truy cập từ xa vào máy tính của nạn nhân—tin tặc có quyền truy cập từ xa theo nhiều cách. Trong khi đó, việc giải nén hoặc thực hiện các thay đổi đối với LSASS yêu cầu quyền của quản trị viên. Vì vậy, thứ tự kinh doanh đầu tiên của kẻ tấn công sẽ là nâng cao các đặc quyền của chúng. Với quyền truy cập này, họ có thể cài đặt phần mềm độc hại để kết xuất quy trình LSASS, tải xuống kết xuất và trích xuất thông tin đăng nhập cục bộ từ quy trình đó.
Tuy nhiên, Bộ bảo vệ Microsoft đã trở nên hiệu quả hơn trong việc xác định và xóa phần mềm độc hại, nghĩa là tin tặc có xu hướng sử dụng các cuộc tấn công Living off the Land. Tại đây, kẻ tấn công chiếm quyền điều khiển các ứng dụng Windows gốc dễ bị tổn thương và sử dụng chúng để lấy cắp thông tin đăng nhập trong LSASS.
Ví dụ: khi sử dụng Trình quản lý tác vụ, kẻ tấn công có thể mở Trình quản lý tác vụ, cuộn xuống “Quy trình Windows” và tìm “Quy trình của cơ quan bảo mật cục bộ”. Nhấp chuột phải vào đây sẽ cung cấp cho kẻ tấn công tùy chọn để tạo tệp kết xuất hoặc mở vị trí tệp. Quyết định của kẻ tấn công từ đây trở đi phụ thuộc vào mục tiêu của họ. Họ có thể tải xuống tệp kết xuất để trích xuất thông tin đăng nhập hoặc thay thế lsass.exe thật bằng tệp giả.
Đánh cắp thông tin xác thực: Cách kiểm tra và phải làm gì
Khi cần kiểm tra xem bạn có phải là nạn nhân của một cuộc tấn công đánh cắp thông tin xác thực hay không, đây là năm cách bạn có thể tìm hiểu.
1. Lsass.exe sử dụng nhiều tài nguyên phần cứng
Tải lên Trình quản lý tác vụ và kiểm tra quá trình sử dụng CPU và Bộ nhớ. Thông thường, quá trình này sẽ sử dụng 0 phần trăm CPU của bạn và khoảng 5 MB bộ nhớ. Nếu bạn thấy mức sử dụng CPU cao và mức sử dụng bộ nhớ hơn 10 MB, đồng thời gần đây bạn chưa thực hiện hành động liên quan đến bảo mật như thay đổi chi tiết đăng nhập của mình, thì có nghĩa là đã xảy ra sự cố.
Trong trường hợp này, hãy sử dụng Trình quản lý tác vụ để kết thúc quá trình. Sau đó, đi đến vị trí tệp và Ca + Xóa tập tin. Quá trình thực sự sẽ gây ra lỗi, nhưng quá trình giả mạo thì không, vì vậy bạn biết chắc chắn. Ngoài ra, để chắc chắn, bạn nên kiểm tra Lịch sử tệp để đảm bảo Windows không lưu bản sao lưu.
2. Lsass.exe viết sai chính tả
Giống như khi đánh máy, tin tặc thường đổi tên các quy trình mà chúng đã chiếm quyền điều khiển để giống với quy trình thực. Trong trường hợp này, kẻ tấn công có thể khéo léo đặt tên cho quy trình giả mạo bằng chữ “i” viết hoa để bắt chước sự xuất hiện của chữ “L” viết thường. Công cụ chuyển đổi trường hợp có thể giúp bạn dễ dàng phát hiện ra tệp giả mạo. Tên quy trình giả mạo cũng có thể có thêm một chữ “a” hoặc “s.” Nếu bạn thấy các quy trình sai chính tả như vậy, Ca + Xóa tệp và theo dõi với Lịch sử tệp để xóa các bản sao lưu.
3. Lsass.exe nằm trong một thư mục khác
Bạn sẽ cần đi qua Trình quản lý tác vụ tại đây. Mở Quản lý công việc > Quy trình Windowsvà tìm kiếm “Quy trình của Cơ quan An ninh Địa phương”. Sau đó, nhấp chuột phải vào quy trình để xem các tùy chọn của bạn và chọn Mở vị trí file. Tệp lsass.exe thực sẽ nằm trong thư mục “C:WindowsSystem32”. Một tệp ở bất kỳ vị trí nào khác rất có thể là phần mềm độc hại; gỡ bỏ nó.
4. Nhiều hơn một quy trình hoặc tệp Lsass
Khi bạn sử dụng Trình quản lý tác vụ để kiểm tra, bạn sẽ chỉ thấy một “Quy trình của cơ quan bảo mật cục bộ”. Quá trình này có các hoạt động đang chạy khi bạn nhấp vào nút thả xuống là điều bình thường. Tuy nhiên, nếu bạn thấy nhiều hơn một Quy trình của Cơ quan An ninh Địa phương đang chạy, rất có thể bạn đã là nạn nhân của hành vi đánh cắp thông tin xác thực. Điều tương tự cũng áp dụng cho việc xem nhiều tệp lsass.exe khi bạn đi đến vị trí tệp. Trong trường hợp này, hãy cố gắng xóa các tệp. Lsass.exe thực sẽ báo lỗi nếu bạn cố xóa nó.
5. Tệp Lsass.exe quá lớn
Các tệp Lsass.exe nhỏ—tệp trên máy của chúng tôi chạy trên Windows 11 là 83 KB. Máy tính Windows 10 mà chúng tôi đã kiểm tra có một tệp lớn 60 KB. Vì vậy, các tệp lsass.exe rất nhỏ. Tất nhiên, những kẻ tấn công biết một tệp Lsass.exe lớn là một quà tặng đã chết, vì vậy chúng thường làm cho tải trọng của chúng nhỏ. Do đó, kích thước tệp nhỏ phù hợp với các giá trị của chúng tôi không cho bạn biết nhiều. Tuy nhiên, nếu bạn tính đến các dấu hiệu nhận biết đã nói ở trên, bạn có thể dễ dàng phát hiện ra phần mềm độc hại được ngụy trang.
Cách ngăn chặn hành vi đánh cắp thông tin xác thực thông qua Windows LSASS
Bảo mật trên máy tính Windows tiếp tục được cải thiện, nhưng hành vi đánh cắp thông tin xác thực vẫn là một mối đe dọa tiềm ẩn, đặc biệt là đối với các thiết bị cũ chạy hệ điều hành lỗi thời hoặc thiết bị mới chậm cập nhật phần mềm. Dưới đây là ba cách để ngăn chặn hành vi đánh cắp thông tin xác thực cho người dùng Windows không nâng cao.
Tải xuống và cài đặt các bản cập nhật bảo mật mới nhất
Các bản cập nhật bảo mật vá các lỗ hổng mà kẻ tấn công có thể khai thác để chiếm quyền điều khiển máy tính của bạn. Luôn cập nhật các thiết bị trên mạng của bạn sẽ giảm nguy cơ bị tấn công. Vì vậy, hãy đặt máy tính của bạn tự động tải xuống và cài đặt các bản cập nhật Windows ngay khi chúng có sẵn. Bạn cũng sẽ nhận được các bản cập nhật bảo mật cho các chương trình của bên thứ ba trên PC của mình.
Sử dụng Windows Defender Credential Guard
Windows Defender Credential Guard là một tính năng bảo mật tạo ra một quy trình LSASS bị cô lập (LSAIso). Tất cả thông tin đăng nhập được lưu trữ an toàn trong quy trình biệt lập này, do đó, giao tiếp với quy trình LSASS chính để xác thực người dùng. Điều này bảo vệ tính toàn vẹn của thông tin đăng nhập của bạn và ngăn tin tặc đánh cắp dữ liệu có giá trị trong trường hợp bị tấn công.
Credential Guard có sẵn trên phiên bản Enterprise và Pro của Windows 10 và Windows 11, cũng như các phiên bản chọn lọc của Máy chủ Windows. Các thiết bị này cũng phải đáp ứng các yêu cầu nghiêm ngặt như Khởi động an toàn và ảo hóa 64-bit. Bạn phải bật tính năng này theo cách thủ công vì tính năng này không được bật theo mặc định.
Vô hiệu hóa quyền truy cập máy tính từ xa
Máy tính Từ xa cho phép bạn và những người được ủy quyền khác sử dụng máy tính mà không cần ở cùng một vị trí thực tế. Thật tuyệt khi bạn muốn lấy tệp từ thiết bị làm việc trên máy ở nhà hoặc khi bộ phận hỗ trợ kỹ thuật muốn giúp bạn khắc phục sự cố mà bạn không thể mô tả chính xác. Bất chấp sự tiện lợi, truy cập máy tính từ xa cũng khiến bạn dễ bị tấn công.
Để vô hiệu hóa truy cập từ xa, nhấn nút Phím Windows sau đó gõ “cài đặt từ xa”. Chọn “Cho phép truy cập từ xa vào máy tính của bạn và bỏ chọn “Cho phép kết nối Hỗ trợ Từ xa với máy tính này” trong hộp thoại.
Bạn cũng muốn kiểm tra và xóa phần mềm truy cập từ xa như TeamViewer, AeroAdmin và AnyDesk. Các chương trình này không chỉ làm tăng khả năng bạn tiếp xúc với các cuộc tấn công dễ bị tổn thương và phần mềm độc hại phổ biến mà còn cả các cuộc tấn công của Living off the Land—nơi tin tặc khai thác các chương trình được cài đặt sẵn để thực hiện một cuộc tấn công.
Những kẻ tấn công muốn có chìa khóa nhà, nhưng bạn có thể ngăn chặn chúng
LSASS giữ chìa khóa máy tính của bạn. Việc thỏa hiệp quy trình này cho phép kẻ tấn công truy cập vào các bí mật trên thiết bị của bạn bất kỳ lúc nào. Phần tồi tệ nhất là họ có thể truy cập nó như thể họ là người dùng hợp pháp. Mặc dù bạn có thể tìm và loại bỏ những kẻ xâm nhập này nhưng tốt nhất là ngăn chặn chúng ngay từ đầu. Luôn cập nhật thiết bị của bạn và điều chỉnh cài đặt bảo mật sẽ giúp bạn đạt được mục tiêu này.
