القراء مثلك يساعدون في دعم MUO. عند إجراء عملية شراء باستخدام الروابط الموجودة على موقعنا ، فقد نربح عمولة تابعة. اقرأ أكثر.

سرقة بيانات الاعتماد هي نوع من الهجمات الإلكترونية حيث يستهدف المتسللون العملية التي تتعامل مع أمان Windows. يمكنك تشبيهه بلص يقوم بضرب مفاتيح منزلك ونسخها بسرعة. باستخدام هذه المفاتيح ، يمكنهم الوصول إلى منزلك وقتما يريدون. إذن ماذا تفعل عندما تكتشف أن مفاتيحك مسروقة؟ قمت بتغيير الأقفال. إليك كيفية القيام بما يعادل ذلك على Windows لمكافحة سرقة بيانات الاعتماد.

ما هو Windows LSASS؟

Windows Local Security Authority Server Service (LSASS) هي عملية تدير سياسة أمان جهاز الكمبيوتر الخاص بك. يتحقق LSASS من عمليات تسجيل الدخول وتغييرات كلمة المرور ورموز الوصول والامتيازات الإدارية لعدة مستخدمين على النظام أو الخادم.

فكر في LSASS باعتباره الحارس الذي يتحقق من بطاقات الهوية عند البوابة الرئيسية ويطوق غرف كبار الشخصيات. بدون وجود حارس على الباب ، يمكن لأي شخص دخول النادي بهوية مزورة ، ولا شيء يمنعهم من دخول المناطق المحظورة.

ما هي سرقة الاعتماد؟

يعمل LSASS كعملية ، lsass.exe. عند التمهيد ، يخزن lsass.exe بيانات اعتماد المصادقة مثل كلمات المرور المشفرة وتجزئة NT وتجزئة LM وتذاكر Kerberos في الذاكرة. يتيح تخزين بيانات الاعتماد هذه في الذاكرة للمستخدمين الوصول إلى الملفات ومشاركتها أثناء جلسات Windows النشطة دون إعادة إدخال بيانات الاعتماد في كل مرة يحتاجون فيها إلى أداء مهمة.

instagram viewer

تتم سرقة بيانات الاعتماد عندما يستخدم المهاجمون أدوات مثل Mimikatz لحذف ملف lsass.exe الحقيقي أو نقله أو تحريره أو استبداله. تتضمن أدوات سرقة بيانات الاعتماد الشائعة الأخرى Crackmapexec و Lsassy.

كيف يسرق المخترقون أوراق اعتماد LSASS

عادة ، في سرقة بيانات الاعتماد ، يقوم المهاجمون بالوصول عن بعد إلى كمبيوتر الضحية - يحصل المتسللون على وصول عن بعد بعدة طرق. وفي الوقت نفسه ، يتطلب استخراج LSASS أو إجراء تغييرات عليه امتيازات المسؤول. لذلك ، سيكون أول عمل للمهاجم هو رفع امتيازاته. من خلال هذا الوصول ، يمكنهم تثبيت برامج ضارة لتفريغ عملية LSASS وتنزيل ملف التفريغ واستخراج بيانات الاعتماد محليًا منه.

ومع ذلك ، أصبح Microsoft Defender أكثر كفاءة في تحديد وإزالة البرامج الضارة ، مما يعني أن المتسللين يميلون إلى اللجوء إليها العيش على الأرض. هنا ، يخطف المهاجم تطبيقات Windows الأصلية الضعيفة ويستخدمها لسرقة بيانات الاعتماد في LSASS.

على سبيل المثال ، باستخدام مدير المهام ، يمكن للمهاجم فتح مدير المهام ، والتمرير لأسفل إلى "عمليات Windows" ، والعثور على "محلي" عملية سلطة الأمان. " يؤدي النقر بزر الماوس الأيمن على هذا إلى منح المهاجم خيار إنشاء ملف تفريغ أو فتح الملف موقع. يعتمد قرار المهاجم من هنا على أهدافهم. يمكنهم تنزيل ملف التفريغ لاستخراج بيانات الاعتماد أو استبدال lsass.exe الحقيقي بواحد مزيف.

سرقة الاعتماد: كيفية التحقق وماذا تفعل

عندما يتعلق الأمر بالتحقق مما إذا كنت ضحية لهجوم سرقة بيانات الاعتماد ، فإليك خمس طرق يمكنك اكتشافها.

1. يستخدم Lsass.exe الكثير من موارد الأجهزة

قم بتحميل إدارة المهام وتحقق من استخدام وحدة المعالجة المركزية والذاكرة العملية. عادة ، يجب أن تستخدم هذه العملية 0 في المائة من وحدة المعالجة المركزية وحوالي 5 ميغابايت من الذاكرة. إذا رأيت استخدامًا كثيفًا لوحدة المعالجة المركزية واستخدامًا للذاكرة يزيد عن 10 ميغابايت ، ولم تتخذ إجراءً متعلقًا بالأمان مثل تغيير تفاصيل تسجيل الدخول مؤخرًا ، فهناك خطأ ما.

في هذه الحالة ، استخدم إدارة المهام لإنهاء العملية. ثم انتقل إلى موقع الملف و Shift + Delete الملف. قد تؤدي العملية الحقيقية إلى حدوث خطأ ، ولكن الخطأ الوهمي لن يحدث ، لذا فأنت على يقين من ذلك. أيضا ، لكي تكون على يقين ، يجب عليك تحقق من ملف التاريخ للتأكد من أن Windows لم يحتفظ بنسخة احتياطية.

2. Lsass.exe هو Misspelt

كما في الكتابة المطبعية، غالبًا ما يعيد المخترقون تسمية العمليات التي اختطفوها لتبدو وكأنها حقيقية. في هذه الحالة ، قد يسمي المهاجم بذكاء العملية الزائفة بحرف كبير "i" لتقليد مظهر الحرف الصغير "L". يمكن أن يساعدك محول الحالات في اكتشاف ملف المحتال بسهولة. قد يحتوي اسم العملية المزيف أيضًا على "a" أو "s". إذا رأيت مثل هذه العمليات التي بها أخطاء إملائية ، Shift + Delete الملف ومتابعته مع File History لإزالة النسخ الاحتياطية.

3. يوجد Lsass.exe في مجلد آخر

ستحتاج إلى المرور عبر مدير المهام هنا. يفتح مدير المهام> عمليات Windows، وابحث عن "Local Security Authority Process". بعد ذلك ، انقر بزر الماوس الأيمن فوق العملية لرؤية خياراتك والاختيار افتح مكان ملف. سيكون ملف lsass.exe الحقيقي في المجلد "C: \ Windows \ System32". من المرجح أن يكون الملف الموجود في أي مكان آخر برنامجًا ضارًا ؛ أزلها.

4. أكثر من عملية أو ملف Lsass

عند استخدام "إدارة المهام" للتحقق ، يجب أن ترى "عملية سلطة أمان محلية" واحدة فقط. من الطبيعي أن تكون هذه العملية قيد التشغيل عند النقر فوق زر القائمة المنسدلة. ومع ذلك ، إذا رأيت أكثر من عملية سلطة أمان محلية قيد التشغيل ، فمن المحتمل أنك وقعت ضحية لسرقة بيانات الاعتماد. الأمر نفسه ينطبق على رؤية أكثر من ملف lsass.exe عند الانتقال إلى موقع الملف. في هذه الحالة ، حاول حذف الملفات. سيظهر خطأ lsass.exe الحقيقي إذا حاولت حذفه.

5. حجم ملف Lsass.exe كبير جدًا

ملفات Lsass.exe صغيرة - الملف الموجود على أجهزتنا والذي يعمل على Windows 11 هو 83 كيلو بايت. كمبيوتر Windows 10 الذي فحصناه به 60 كيلوبايت. لذا فإن ملفات lsass.exe صغيرة جدًا. بالطبع ، يعرف المهاجمون أن ملف Lsass.exe الكبير هو هدية ميتة ، لذا فهم عمومًا يجعلون حمولاتهم صغيرة. حجم الملف الصغير المتوافق مع قيمنا ، إذن ، لا يخبرك كثيرًا. ومع ذلك ، إذا كنت تأخذ في الاعتبار علامات الحكاية المذكورة أعلاه ، فيمكنك بسهولة اكتشاف البرامج الضارة المقنعة.

كيفية منع سرقة بيانات الاعتماد من خلال Windows LSASS

يستمر الأمان على أجهزة الكمبيوتر التي تعمل بنظام Windows في التحسن ، ولكن سرقة بيانات الاعتماد لا تزال قوية تهديدًا ، خاصة للأجهزة القديمة التي تعمل بأنظمة تشغيل قديمة أو أنظمة تشغيل جديدة متأخرة في البرامج التحديثات. فيما يلي ثلاث طرق لمنع سرقة بيانات الاعتماد لمستخدمي Windows غير المتقدمين.

قم بتنزيل آخر تحديثات الأمان وتثبيتها

تعمل التحديثات الأمنية على تصحيح الثغرات التي يمكن للمهاجمين استغلالها للسيطرة على جهاز الكمبيوتر الخاص بك. يقلل تحديث الأجهزة الموجودة على شبكتك من خطر التعرض للاختراق. لذلك ، قم بتعيين جهاز الكمبيوتر الخاص بك لتنزيل تحديثات Windows وتثبيتها تلقائيًا بمجرد توفرها. يجب أن تحصل أيضًا على تحديثات الأمان لبرامج الجهات الخارجية على جهاز الكمبيوتر الخاص بك.

استخدم Windows Defender Credential Guard

حارس اعتماد Windows Defender هي ميزة أمان تنشئ عملية LSASS معزولة (LSAIso). يتم تخزين جميع بيانات الاعتماد بشكل آمن في هذه العملية المعزولة ، والتي بدورها تتواصل مع عملية LSASS الرئيسية للتحقق من صحة المستخدمين. هذا يحمي سلامة بيانات الاعتماد الخاصة بك ويمنع المتسللين من سرقة البيانات القيمة في حالة وقوع هجوم.

يتوفر Credential Guard في إصدارات Enterprise و Pro لنظامي التشغيل Windows 10 و Windows 11 ، بالإضافة إلى إصدارات محددة من خوادم Windows. يجب أن تلتقي هذه الأجهزة أيضًا متطلبات صارمة مثل التمهيد الآمن والمحاكاة الافتراضية 64 بت. يجب تمكين هذه الميزة يدويًا ، حيث لا يتم تمكينها افتراضيًا.

تعطيل الوصول إلى سطح المكتب البعيد

يتيح لك Remote Desktop أنت والأشخاص المعتمدين الآخرين استخدام الكمبيوتر دون التواجد في نفس الموقع الفعلي. إنه أمر رائع عندما تريد الحصول على الملفات من جهاز العمل على جهاز المنزل أو عندما يريد الدعم الفني مساعدتك في تحري الخلل وإصلاحه في مشكلة لا يمكنك وصفها بدقة. على الرغم من الراحة ، فإن الوصول إلى سطح المكتب البعيد يتركك أيضًا عرضة للهجمات.

لتعطيل الوصول عن بعد ، اضغط على مفتاح Windows ثم اكتب "الإعدادات عن بعد". حدد "السماح بالوصول عن بُعد إلى جهاز الكمبيوتر الخاص بك وإلغاء تحديد" السماح باتصال المساعدة عن بُعد بهذا الكمبيوتر "في مربع الحوار.

تريد أيضًا التحقق والإزالة برنامج الوصول عن بعد مثل TeamViewer و AeroAdmin و AnyDesk. لا تعمل هذه البرامج فقط على زيادة تعرضك لهجمات البرامج الضارة ونقاط الضعف الشائعة ، ولكن أيضًا هجمات العيش خارج الأرض - حيث يستغل المتسللون البرامج المثبتة مسبقًا لتنفيذ هجوم.

المهاجمون يريدون مفاتيح المنزل ، لكن يمكنك إيقافهم

LSASS يحمل مفاتيح جهاز الكمبيوتر الخاص بك. يسمح التنازل عن هذه العملية للمهاجمين بالوصول إلى أسرار جهازك في أي وقت. أسوأ جزء هو أنه يمكنهم الوصول إليه كما لو كانوا مستخدمين شرعيين. على الرغم من أنه يمكنك العثور على هؤلاء المتسللين وإزالتهم ، فمن الأفضل منعهم في المقام الأول. يساعدك الحفاظ على تحديث جهازك وضبط إعدادات الأمان على تحقيق هذا الهدف.