Pencurian kredensial adalah jenis serangan dunia maya di mana peretas menargetkan proses yang menangani keamanan Windows. Anda dapat menyamakannya dengan pencuri yang menggesekkan kunci rumah Anda dan menyalinnya dengan cepat. Dengan kunci ini, mereka memiliki akses ke rumah Anda kapan pun mereka mau. Jadi apa yang Anda lakukan ketika Anda menemukan kunci Anda dicuri? Anda mengubah kunci. Inilah cara melakukan hal yang setara di Windows untuk memerangi pencurian kredensial.
Apa itu Windows LSASS?
Layanan Server Otoritas Keamanan Lokal Windows (LSASS) adalah proses yang mengelola kebijakan keamanan komputer Anda. LSASS memvalidasi login, perubahan kata sandi, token akses, dan hak istimewa administratif untuk banyak pengguna di sistem atau server.
Pikirkan LSASS sebagai penjaga yang memeriksa ID di gerbang utama dan menutup kamar VIP. Tanpa penjaga di pintu, siapa pun dapat memasuki klub dengan ID palsu, dan tidak ada yang menghentikan mereka memasuki area terlarang.
Apa itu Pencurian Kredensial?
LSASS berjalan sebagai proses, lsass.exe. Setelah boot, lsass.exe menyimpan kredensial autentikasi seperti kata sandi terenkripsi, hash NT, hash LM, dan tiket Kerberos di memori. Menyimpan kredensial ini di memori memungkinkan pengguna mengakses dan berbagi file selama sesi Windows aktif tanpa memasukkan kembali kredensial setiap kali mereka perlu melakukan tugas.
Pencurian kredensial adalah saat penyerang menggunakan alat seperti Mimikatz untuk menghapus, memindahkan, mengedit, atau mengganti file lsass.exe asli. Alat pencuri kredensial populer lainnya termasuk Crackmapexec dan Lsassy.
Bagaimana Peretas Mencuri Kredensial LSASS
Biasanya, dalam pencurian kredensial, penyerang mengakses komputer korban dari jarak jauh—peretas mendapatkan akses jarak jauh dengan beberapa cara. Sementara itu, mengekstraksi atau membuat perubahan pada LSASS memerlukan hak istimewa admin. Jadi, urutan bisnis pertama penyerang adalah meningkatkan hak istimewa mereka. Dengan akses ini, mereka dapat menginstal malware untuk membuang proses LSASS, mengunduh dump, dan mengekstrak kredensial secara lokal darinya.
Namun, Pertahanan Microsoft telah menjadi lebih efisien dalam mengidentifikasi dan menghapus malware, yang berarti peretas cenderung menggunakannya Hidup dari serangan Tanah. Di sini, penyerang membajak aplikasi Windows asli yang rentan dan menggunakannya untuk mencuri kredensial di LSASS.
Misalnya, menggunakan Pengelola Tugas, penyerang dapat membuka Pengelola Tugas, menggulir ke bawah ke “Proses Windows”, dan menemukan “Lokal Proses Otoritas Keamanan.” Mengklik kanan ini memberi penyerang opsi untuk membuat file dump atau membuka file lokasi. Keputusan penyerang dari sini tergantung pada tujuan mereka. Mereka dapat mengunduh file dump untuk mengekstrak kredensial atau mengganti lsass.exe asli dengan yang palsu.
Pencurian Kredensial: Cara Memeriksa dan Apa yang Harus Dilakukan
Untuk memeriksa apakah Anda telah menjadi korban serangan pencurian kredensial, berikut adalah lima cara untuk mengetahuinya.
1. Lsass.exe Menggunakan Banyak Sumber Daya Perangkat Keras
Muat Task Manager dan periksa proses penggunaan CPU dan Memori. Biasanya, proses ini harus menggunakan 0 persen CPU Anda dan sekitar 5 MB memori. Jika Anda melihat penggunaan CPU yang berat dan penggunaan memori lebih dari 10 MB, dan Anda belum melakukan tindakan terkait keamanan seperti mengubah detail masuk Anda baru-baru ini, maka ada yang salah.
Dalam hal ini, gunakan Pengelola Tugas untuk mengakhiri proses. Lalu, pergi ke lokasi file dan Geser + Hapus berkas. Proses yang sebenarnya akan menimbulkan kesalahan, tetapi yang palsu tidak, jadi Anda pasti tahu. Juga, untuk memastikan, Anda harus periksa Riwayat File untuk memastikan Windows tidak menyimpan cadangan.
2. Lsass.exe Salah Eja
Seperti dalam kesalahan ketik, peretas sering mengganti nama proses yang telah mereka bajak agar terlihat seperti aslinya. Dalam kasus ini, penyerang dapat dengan cerdik menamai proses palsu dengan huruf besar "i" untuk meniru tampilan huruf kecil "L". Konverter huruf besar kecil dapat membantu Anda menemukan file penipu dengan mudah. Nama proses palsu mungkin juga memiliki "a" atau "s" tambahan. Jika Anda melihat proses yang salah eja, Geser + Hapus file dan tindak lanjuti dengan Riwayat File untuk menghapus cadangan.
3. Lsass.exe Ada di Folder Lain
Anda harus melalui Task Manager di sini. Membuka Pengelola tugas> Proses Windows, dan telusuri "Proses Otoritas Keamanan Lokal". Kemudian, klik kanan proses untuk melihat opsi Anda dan pilih Buka Lokasi File. File lsass.exe asli akan berada di folder "C:\Windows\System32". File di lokasi lain mana pun kemungkinan besar adalah malware; Singkirkan.
4. Lebih dari Satu Proses atau File Lsass
Saat Anda menggunakan Pengelola Tugas untuk memeriksa, Anda seharusnya hanya melihat satu "Proses Otoritas Keamanan Lokal". Biasanya proses ini menjalankan aktivitas saat Anda mengeklik tombol tarik-turun. Namun, jika Anda melihat lebih dari satu Proses Otoritas Keamanan Lokal berjalan, kemungkinan besar Anda telah menjadi korban pencurian kredensial. Hal yang sama berlaku untuk melihat lebih dari satu file lsass.exe saat Anda pergi ke lokasi file. Dalam hal ini, cobalah untuk menghapus file. lsass.exe asli akan memunculkan kesalahan jika Anda mencoba menghapusnya.
5. File Lsass.exe Terlalu Besar
File Lsass.exe berukuran kecil—yang ada di mesin kami yang berjalan di Windows 11 berukuran 83 KB. Komputer Windows 10 yang kami periksa memiliki satu berukuran 60 KB. Jadi file lsass.exe berukuran kecil. Tentu saja, penyerang tahu file Lsass.exe yang besar adalah hadiah mati, jadi mereka umumnya membuat muatannya kecil. Ukuran file kecil yang konsisten dengan nilai kami, tidak banyak memberi tahu Anda. Namun, jika Anda mempertimbangkan tanda-tanda yang disebutkan di atas, Anda dapat dengan mudah menemukan malware yang menyamar.
Cara Mencegah Pencurian Kredensial Melalui Windows LSASS
Keamanan pada komputer Windows terus meningkat, tetapi pencurian kredensial masih berpotensi ancaman, terutama untuk perangkat lama yang menjalankan sistem operasi usang atau perangkat lunak baru update. Berikut adalah tiga cara untuk mencegah pencurian kredensial bagi pengguna Windows yang tidak mahir.
Unduh dan Instal Pembaruan Keamanan Terbaru
Pembaruan keamanan menambal kerentanan yang dapat dieksploitasi penyerang untuk mengambil alih komputer Anda. Memperbarui perangkat di jaringan Anda mengurangi risiko diretas. Jadi, atur komputer Anda untuk mengunduh dan menginstal pembaruan Windows secara otomatis segera setelah tersedia. Anda juga harus mendapatkan pembaruan keamanan untuk program pihak ketiga di PC Anda.
Gunakan Penjaga Kredensial Windows Defender
Penjaga Kredensial Windows Defender adalah fitur keamanan yang membuat proses LSASS terisolasi (LSAIso). Semua kredensial disimpan dengan aman dalam proses terisolasi ini, yang pada gilirannya berkomunikasi dengan proses LSASS utama untuk memvalidasi pengguna. Ini melindungi integritas kredensial Anda dan mencegah peretas mencuri data berharga jika terjadi serangan.
Credential Guard tersedia di versi Enterprise dan Pro Windows 10 dan Windows 11, serta versi tertentu dari Server Windows. Perangkat ini juga harus memenuhi persyaratan yang ketat seperti Secure Boot dan virtualisasi 64-bit. Anda harus mengaktifkan fitur ini secara manual, karena tidak diaktifkan secara default.
Nonaktifkan Akses Desktop Jarak Jauh
Remote Desktop memungkinkan Anda dan orang lain yang berwenang menggunakan komputer tanpa berada di lokasi fisik yang sama. Ini bagus ketika Anda ingin mendapatkan file dari perangkat kerja di mesin rumah Anda atau ketika dukungan teknis ingin membantu Anda memecahkan masalah yang tidak dapat Anda jelaskan dengan tepat. Terlepas dari kenyamanannya, akses desktop jarak jauh juga meninggalkan Anda rentan terhadap serangan.
Untuk menonaktifkan akses jarak jauh, tekan Kunci Jendela lalu ketik "pengaturan jarak jauh". Pilih "Izinkan akses jarak jauh ke komputer Anda dan hapus centang" Izinkan koneksi Bantuan Jarak Jauh ke komputer ini "di kotak dialog.
Anda juga ingin memeriksa dan menghapus perangkat lunak akses jarak jauh seperti TeamViewer, AeroAdmin, dan AnyDesk. Program ini tidak hanya meningkatkan keterpaparan Anda terhadap malware umum dan serangan kerentanan, tetapi juga serangan Living off the Land—di mana peretas mengeksploitasi program pra-instal untuk melakukan serangan.
Penyerang Menginginkan Kunci Rumah, tetapi Anda Bisa Menghentikannya
LSASS memegang kunci ke komputer Anda. Mengompromikan proses ini memungkinkan penyerang mengakses rahasia perangkat Anda kapan saja. Bagian terburuknya adalah mereka dapat mengaksesnya seolah-olah mereka adalah pengguna yang sah. Meskipun Anda dapat menemukan dan menghapus penyusup ini, yang terbaik adalah mencegahnya sejak awal. Menjaga perangkat Anda diperbarui dan menyesuaikan pengaturan keamanan membantu Anda mencapai tujuan ini.