O roubo de credenciais é um tipo de ataque cibernético em que os hackers visam o processo que lida com a segurança do Windows. Você pode compará-lo a um ladrão roubando as chaves de sua casa e copiando-as rapidamente. Com essas chaves, eles têm acesso à sua casa sempre que quiserem. Então, o que você faz quando descobre que suas chaves foram roubadas? Você muda as fechaduras. Veja como fazer o equivalente a isso no Windows para combater o roubo de credenciais.
O que é Windows LSASS?
O Windows Local Security Authority Server Service (LSASS) é um processo que gerencia a política de segurança do seu computador. O LSASS valida logins, alterações de senha, tokens de acesso e privilégios administrativos para vários usuários em um sistema ou servidor.
Pense no LSASS como o segurança que verifica as identidades no portão principal e isola as salas VIP. Sem segurança na porta, qualquer pessoa pode entrar no clube com uma identidade falsa, e nada impede que entrem em áreas restritas.
O que é roubo de credenciais?
LSASS é executado como um processo, lsass.exe. Na inicialização, lsass.exe armazena credenciais de autenticação como senhas criptografadas, hashes NT, hashes LM e tíquetes Kerberos na memória. Armazenar essas credenciais na memória permite que os usuários acessem e compartilhem arquivos durante as sessões ativas do Windows sem reinserir as credenciais sempre que precisarem realizar uma tarefa.
O roubo de credenciais ocorre quando os invasores usam ferramentas como o Mimikatz para excluir, mover, editar ou substituir o arquivo lsass.exe real. Outras ferramentas populares para roubo de credenciais incluem Crackmapexec e Lsassy.
Como os hackers roubam credenciais LSASS
Normalmente, no roubo de credenciais, os invasores acessam remotamente o computador da vítima — os hackers obtêm acesso remoto de várias maneiras. Enquanto isso, extrair ou fazer alterações no LSASS requer privilégios de administrador. Portanto, a primeira ordem de trabalho do invasor será elevar seus privilégios. Com esse acesso, eles podem instalar malware para descarregar o processo LSASS, baixar o despejo e extrair as credenciais dele localmente.
No entanto, o Microsoft Defender tornou-se mais eficiente na identificação e remoção de malware, o que significa que os hackers tendem a recorrer a Viver dos ataques à Terra. Aqui, o invasor sequestra aplicativos nativos vulneráveis do Windows e os usa para roubar as credenciais no LSASS.
Por exemplo, usando o Gerenciador de Tarefas, um invasor pode abrir o Gerenciador de Tarefas, rolar para baixo até “Processos do Windows” e encontrar “Local Processo de Autoridade de Segurança.” Clicar com o botão direito dá ao invasor a opção de criar um arquivo dump ou abrir o arquivo localização. A decisão do atacante daqui em diante depende de seus objetivos. Eles podem baixar o arquivo de despejo para extrair credenciais ou substituir o lsass.exe real por um falso.
Roubo de credenciais: como verificar e o que fazer
Quando se trata de verificar se você foi vítima de um ataque de roubo de credenciais, aqui estão cinco maneiras de descobrir.
1. Lsass.exe usa muitos recursos de hardware
Carregue o Gerenciador de tarefas e verifique o uso da CPU e da memória do processo. Normalmente, esse processo deve usar 0% da CPU e cerca de 5 MB de memória. Se você observar uso intenso de CPU e mais de 10 MB de uso de memória e não tiver executado uma ação relacionada à segurança, como alterar seus dados de login recentemente, há algo errado.
Nesse caso, use o Gerenciador de Tarefas para encerrar o processo. Em seguida, vá para o local do arquivo e Shift + Excluir o arquivo. O processo real geraria um erro, mas um falso não, então você teria certeza. Além disso, para ter certeza, você deve confira o histórico de arquivos para garantir que o Windows não preservou um backup.
2. Lsass.exe está com erros ortográficos
Como em typosquatting, os hackers geralmente renomeiam os processos que sequestraram para que se pareçam com os reais. Nesse caso, um invasor pode nomear de maneira inteligente o processo falso com um "i" maiúsculo para imitar a aparência do "L" minúsculo. Um conversor de caso pode ajudá-lo a identificar facilmente o arquivo impostor. O nome do processo falso também pode ter um “a” ou “s” extra. Se você vir esses processos com erros ortográficos, Shift + Excluir o arquivo e continue com o Histórico de arquivos para remover os backups.
3. Lsass.exe está em outra pasta
Você precisará acessar o Gerenciador de Tarefas aqui. Abrir Gerenciador de tarefas> Processos do Windowse procure por “Processo de Autoridade de Segurança Local”. Em seguida, clique com o botão direito do mouse no processo para ver suas opções e escolha Abrir local do Ficheiro. O arquivo lsass.exe real estará na pasta "C:\Windows\System32". Um arquivo em qualquer outro local provavelmente é um malware; remova.
4. Mais de um processo ou arquivo Lsass
Ao usar o Gerenciador de Tarefas para verificar, você deve ver apenas um “Processo de Autoridade de Segurança Local”. É normal que esse processo tenha atividades em execução quando você clica no botão suspenso. No entanto, se você vir mais de um processo de autoridade de segurança local em execução, é provável que você tenha sido vítima de roubo de credenciais. O mesmo se aplica à exibição de mais de um arquivo lsass.exe quando você acessa o local do arquivo. Nesse caso, tente excluir os arquivos. O verdadeiro lsass.exe apresentará um erro se você tentar excluí-lo.
5. O arquivo Lsass.exe é muito grande
Os arquivos Lsass.exe são pequenos - o da nossa máquina rodando no Windows 11 tem 83 KB. O computador com Windows 10 que verificamos tem um tamanho de 60 KB. Portanto, os arquivos lsass.exe são minúsculos. Claro, os invasores sabem que um grande arquivo Lsass.exe é uma revelação inoperante, então eles geralmente tornam suas cargas pequenas. Um tamanho de arquivo pequeno consistente com nossos valores, portanto, não diz muito. No entanto, se você considerar os sinais indicadores mencionados acima, poderá identificar facilmente o malware disfarçado.
Como evitar o roubo de credenciais por meio do Windows LSASS
A segurança em computadores Windows continua a melhorar, mas o roubo de credenciais ainda é um problema ameaça, especialmente para dispositivos antigos executando sistemas operacionais desatualizados ou novos atrasados em software atualizações. Aqui estão três maneiras de evitar o roubo de credenciais para usuários não avançados do Windows.
Baixe e instale as atualizações de segurança mais recentes
As atualizações de segurança corrigem vulnerabilidades que os invasores podem explorar para controlar seu computador. Manter os dispositivos em sua rede atualizados reduz o risco de ser hackeado. Portanto, configure seu computador para baixar e instalar automaticamente as atualizações do Windows assim que estiverem disponíveis. Você também deve obter atualizações de segurança para programas de terceiros em seu PC.
Use o Windows Defender Credential Guard
Guarda de credenciais do Windows Defender é um recurso de segurança que cria um processo LSASS isolado (LSAIso). Todas as credenciais são armazenadas com segurança neste processo isolado, que, por sua vez, se comunica com o processo LSASS principal para validar os usuários. Isso protege a integridade de suas credenciais e impede que hackers roubem dados valiosos em caso de ataque.
O Credential Guard está disponível nas versões Enterprise e Pro do Windows 10 e Windows 11, bem como em versões selecionadas de Windows Servers. Esses dispositivos também devem atender requisitos estritos como inicialização segura e virtualização de 64 bits. Você deve ativar esse recurso manualmente, pois ele não é ativado por padrão.
Desativar acesso remoto à área de trabalho
A Área de Trabalho Remota permite que você e outras pessoas autorizadas usem um computador sem estar no mesmo local físico. É ótimo para quando você deseja obter arquivos de um dispositivo de trabalho em sua máquina doméstica ou quando o suporte técnico deseja ajudá-lo a solucionar um problema que você não pode descrever exatamente. Apesar da conveniência, o acesso remoto à área de trabalho também deixa você vulnerável a ataques.
Para desativar o acesso remoto, pressione o botão Chave do Windows em seguida, digite "configurações remotas". Selecione “Permitir acesso remoto ao seu computador e desmarque “Permitir conexão de assistência remota a este computador” na caixa de diálogo.
Você também deseja verificar e remover software de acesso remoto como TeamViewer, AeroAdmin e AnyDesk. Esses programas não apenas aumentam sua exposição a malware comum e ataques de vulnerabilidade, mas também a ataques Living off the Land — em que os hackers exploram programas pré-instalados para realizar um ataque.
Os invasores querem as chaves da casa, mas você pode impedi-los
O LSASS contém as chaves do seu computador. Comprometer esse processo permite que invasores acessem os segredos do seu dispositivo a qualquer momento. A pior parte é que eles podem acessá-lo como se fossem um usuário legítimo. Embora você possa localizar e remover esses invasores, é melhor evitá-los em primeiro lugar. Manter seu dispositivo atualizado e ajustar as configurações de segurança ajuda você a atingir esse objetivo.
