El robo de credenciales es un tipo de ataque cibernético en el que los piratas informáticos apuntan al proceso que maneja la seguridad de Windows. Puede compararlo con un ladrón que desliza las llaves de su casa y las copia rápidamente. Con estas llaves, tienen acceso a tu casa cuando lo deseen. Entonces, ¿qué haces cuando descubres que te robaron las llaves? Cambias las cerraduras. Aquí se explica cómo hacer el equivalente en Windows para combatir el robo de credenciales.
¿Qué es Windows LSASS?
El servicio de servidor de autoridad de seguridad local de Windows (LSASS) es un proceso que administra la política de seguridad de su computadora. LSASS valida inicios de sesión, cambios de contraseña, tokens de acceso y privilegios administrativos para múltiples usuarios en un sistema o servidor.
Piense en LSASS como el portero que verifica las identificaciones en la puerta principal y acordona las salas VIP. Sin un portero en la puerta, cualquiera puede ingresar al club con una identificación falsa, y nada les impide ingresar a las áreas restringidas.
¿Qué es el robo de credenciales?
LSASS se ejecuta como un proceso, lsass.exe. Al arrancar, lsass.exe almacena credenciales de autenticación como contraseñas cifradas, hashes NT, hashes LM y vales de Kerberos en la memoria. El almacenamiento de estas credenciales en la memoria permite a los usuarios acceder y compartir archivos durante las sesiones activas de Windows sin volver a ingresar las credenciales cada vez que necesitan realizar una tarea.
El robo de credenciales ocurre cuando los atacantes usan herramientas como Mimikatz para eliminar, mover, editar o reemplazar el archivo lsass.exe real. Otras herramientas populares para robar credenciales incluyen Crackmapexec y Lsassy.
Cómo los piratas informáticos roban las credenciales de LSASS
Por lo general, en el robo de credenciales, los atacantes acceden de forma remota a la computadora de la víctima; los piratas informáticos obtienen acceso remoto de varias maneras. Mientras tanto, extraer o realizar cambios en LSASS requiere privilegios de administrador. Por lo tanto, la primera orden del día del atacante será elevar sus privilegios. Con este acceso, pueden instalar malware para volcar el proceso LSASS, descargar el volcado y extraer las credenciales localmente de él.
Sin embargo, Microsoft Defender se ha vuelto más eficiente en la identificación y eliminación de malware, lo que significa que los hackers tienden a recurrir a Vivir de los ataques de Land. Aquí, el atacante secuestra aplicaciones nativas de Windows vulnerables y las usa para saquear las credenciales en LSASS.
Por ejemplo, al usar el Administrador de tareas, un atacante puede abrir el Administrador de tareas, desplazarse hacia abajo hasta "Procesos de Windows" y buscar "Procesos locales". Proceso de la Autoridad de Seguridad”. Hacer clic derecho le da al atacante la opción de crear un archivo de volcado o abrir el archivo ubicación. La decisión del atacante de aquí en adelante depende de sus objetivos. Pueden descargar el archivo de volcado para extraer las credenciales o reemplazar el lsass.exe real por uno falso.
Robo de credenciales: cómo verificar y qué hacer
Cuando se trata de verificar si ha sido víctima de un ataque de robo de credenciales, aquí hay cinco formas en que puede averiguarlo.
1. Lsass.exe utiliza una gran cantidad de recursos de hardware
Cargue el Administrador de tareas y verifique el uso de CPU y memoria del proceso. Normalmente, este proceso debería usar el 0 por ciento de su CPU y alrededor de 5 MB de memoria. Si ve un uso intensivo de la CPU y más de 10 MB de uso de la memoria, y no ha realizado una acción relacionada con la seguridad, como cambiar los datos de inicio de sesión recientemente, entonces algo anda mal.
En este caso, utilice el Administrador de tareas para finalizar el proceso. Luego, vaya a la ubicación del archivo y Mayús + Eliminar el archivo. El proceso real generaría un error, pero uno falso no, por lo que estaría seguro. Además, para estar seguro, debe echa un vistazo al historial de archivos para asegurarse de que Windows no conserve una copia de seguridad.
2. Lsass.exe está mal escrito
Como en typosquatting, los hackers a menudo cambian el nombre de los procesos que han secuestrado para que se parezcan a los reales. En este caso, un atacante puede nombrar inteligentemente el proceso falso con una "i" mayúscula para imitar la apariencia de una "L" minúscula. Un convertidor de casos puede ayudarlo a detectar fácilmente el archivo del impostor. El nombre del proceso falso también puede tener una "a" o "s" adicional. Si ve tales procesos mal escritos, Mayús + Eliminar el archivo y haga un seguimiento con el Historial de archivos para eliminar las copias de seguridad.
3. Lsass.exe está en otra carpeta
Deberá pasar por el Administrador de tareas aquí. Abierto Administrador de tareas> Procesos de Windowsy busque "Proceso de autoridad de seguridad local". Luego, haga clic derecho en el proceso para ver sus opciones y elija Abrir localización de archivo. El archivo lsass.exe real estará en la carpeta "C:\Windows\System32". Lo más probable es que un archivo en cualquier otra ubicación sea malware; quitarlo
4. Más de un proceso o archivo Lsass
Cuando usa el Administrador de tareas para verificar, solo debería ver un "Proceso de autoridad de seguridad local". Es normal que este proceso tenga actividades en ejecución cuando hace clic en el botón desplegable. Sin embargo, si ve más de un proceso de autoridad de seguridad local ejecutándose, lo más probable es que haya sido víctima de robo de credenciales. Lo mismo se aplica a ver más de un archivo lsass.exe cuando vaya a la ubicación del archivo. En este caso, intente eliminar los archivos. El lsass.exe real arrojará un error si intenta eliminarlo.
5. El archivo Lsass.exe es demasiado grande
Los archivos Lsass.exe son pequeños: el de nuestra máquina que se ejecuta en Windows 11 tiene 83 KB. La computadora con Windows 10 que revisamos tiene uno de 60 KB de tamaño. Entonces, los archivos lsass.exe son pequeños. Por supuesto, los atacantes saben que un archivo Lsass.exe grande es un claro indicio, por lo que generalmente hacen que sus cargas útiles sean pequeñas. Un tamaño de archivo pequeño, consistente con nuestros valores, entonces, no dice mucho. Sin embargo, si tiene en cuenta los signos reveladores mencionados anteriormente, puede detectar fácilmente el malware disfrazado.
Cómo evitar el robo de credenciales a través de Windows LSASS
La seguridad en las computadoras con Windows continúa mejorando, pero el robo de credenciales sigue siendo un potente amenaza, especialmente para dispositivos antiguos que ejecutan sistemas operativos obsoletos o nuevos con software atrasado actualizaciones Aquí hay tres formas de evitar el robo de credenciales para usuarios de Windows no avanzados.
Descargue e instale las últimas actualizaciones de seguridad
Las actualizaciones de seguridad corrigen las vulnerabilidades que los atacantes pueden aprovechar para apoderarse de su computadora. Mantener los dispositivos en su red actualizados reduce el riesgo de ser pirateado. Por lo tanto, configure su computadora para que descargue e instale automáticamente las actualizaciones de Windows tan pronto como estén disponibles. también deberías conseguir actualizaciones de seguridad para programas de terceros en su PC.
Usar la protección de credenciales de Windows Defender
Protección de credenciales de Windows Defender es una función de seguridad que crea un proceso LSASS aislado (LSAIso). Todas las credenciales se almacenan de forma segura en este proceso aislado que, a su vez, se comunica con el proceso LSASS principal para validar a los usuarios. Esto protege la integridad de sus credenciales y evita que los piratas informáticos roben datos valiosos en caso de un ataque.
Credential Guard está disponible en las versiones Enterprise y Pro de Windows 10 y Windows 11, así como en versiones seleccionadas de Windows Servers. Estos dispositivos también deben cumplir requisitos estrictos como arranque seguro y virtualización de 64 bits. Debe habilitar esta función manualmente, ya que no está habilitada de forma predeterminada.
Deshabilitar el acceso a escritorio remoto
Remote Desktop le permite a usted y a otras personas autorizadas usar una computadora sin estar en la misma ubicación física. Es excelente para cuando desea obtener archivos de un dispositivo de trabajo en la máquina de su hogar o cuando el soporte técnico quiere ayudarlo a solucionar un problema que no puede describir exactamente. A pesar de la conveniencia, el acceso al escritorio remoto también lo deja vulnerable a los ataques.
Para deshabilitar el acceso remoto, presione el botón Clave de Windows luego escriba "configuración remota". Seleccione "Permitir acceso remoto a su computadora" y desmarque "Permitir conexión de asistencia remota a esta computadora" en el cuadro de diálogo.
También desea verificar y eliminar software de acceso remoto como TeamViewer, AeroAdmin y AnyDesk. Estos programas no solo aumentan su exposición al malware común y los ataques de vulnerabilidad, sino también a los ataques de Living off the Land, donde los piratas informáticos explotan los programas preinstalados para llevar a cabo un ataque.
Los atacantes quieren las llaves de la casa, pero puedes detenerlos
LSASS tiene las llaves de su computadora. Comprometer este proceso permite a los atacantes acceder a los secretos de su dispositivo en cualquier momento. Lo peor es que pueden acceder a él como si fueran usuarios legítimos. Aunque puede encontrar y eliminar a estos intrusos, lo mejor es prevenirlos en primer lugar. Mantener su dispositivo actualizado y ajustar la configuración de seguridad lo ayuda a lograr este objetivo.
