आप जैसे पाठक MUO का समर्थन करने में मदद करते हैं। जब आप हमारी साइट पर लिंक का उपयोग करके खरीदारी करते हैं, तो हम संबद्ध कमीशन अर्जित कर सकते हैं। और पढ़ें।

क्रेडेंशियल चोरी एक प्रकार का साइबर हमला है जहां हैकर्स विंडोज सुरक्षा को संभालने वाली प्रक्रिया को लक्षित करते हैं। आप इसकी तुलना उस चोर से कर सकते हैं जो आपके घर की चाबियों को स्वाइप करता है और जल्दी से उनकी कॉपी कर लेता है। इन चाबियों के साथ, वे जब चाहें आपके घर तक पहुंच सकते हैं। तो आप क्या करते हैं जब आपको पता चलता है कि आपकी चाबियां चोरी हो गई हैं? तुम ताले बदल दो। यहां बताया गया है कि क्रेडेंशियल चोरी से निपटने के लिए विंडोज पर इसके बराबर कैसे किया जाए।

विंडोज़ एलएसएएसएस क्या है?

Windows स्थानीय सुरक्षा प्राधिकरण सर्वर सेवा (LSASS) एक प्रक्रिया है जो आपके कंप्यूटर की सुरक्षा नीति का प्रबंधन करती है। LSASS सिस्टम या सर्वर पर कई उपयोगकर्ताओं के लिए लॉगिन, पासवर्ड परिवर्तन, एक्सेस टोकन और प्रशासनिक विशेषाधिकारों को मान्य करता है।

LSASS को बाउंसर के रूप में सोचें जो मुख्य द्वार पर आईडी की जांच करता है और VIP कमरों की घेराबंदी करता है। दरवाजे पर बाउंसर के बिना, कोई भी फर्जी आईडी के साथ क्लब में प्रवेश कर सकता है, और प्रतिबंधित क्षेत्रों में प्रवेश करने से उन्हें कुछ भी नहीं रोक रहा है।

instagram viewer

क्रेडेंशियल चोरी क्या है?

LSASS एक प्रक्रिया के रूप में चलता है, lsass.exe। बूट करने पर, lsass.exe स्मृति में एन्क्रिप्टेड पासवर्ड, NT हैश, LM हैश, और Kerberos टिकट जैसे प्रमाणीकरण क्रेडेंशियल संग्रहीत करता है। इन क्रेडेंशियल्स को स्मृति में संग्रहीत करने से उपयोगकर्ता सक्रिय विंडोज सत्रों के दौरान फ़ाइलों को एक्सेस और साझा कर सकते हैं, बिना किसी कार्य को करने के लिए हर बार क्रेडेंशियल्स को फिर से दर्ज किए बिना।

क्रेडेंशियल चोरी तब होती है जब हमलावर वास्तविक lsass.exe फ़ाइल को हटाने, स्थानांतरित करने, संपादित करने या बदलने के लिए Mimikatz जैसे टूल का उपयोग करते हैं। अन्य लोकप्रिय साख चोरी करने वाले उपकरणों में शामिल हैं Crackmapexec और Lsassy।

कैसे हैकर्स LSASS क्रेडेंशियल चुराते हैं

आमतौर पर, क्रेडेंशियल चोरी में, हमलावर दूर से पीड़ित के कंप्यूटर तक पहुँच प्राप्त करते हैं - हैकर कई तरीकों से दूरस्थ पहुँच प्राप्त करते हैं। इस बीच, एलएसएएसएस में परिवर्तन करने या निकालने के लिए व्यवस्थापकीय विशेषाधिकारों की आवश्यकता होती है। तो, हमलावर का व्यवसाय का पहला क्रम उनके विशेषाधिकारों को बढ़ाना होगा। इस एक्सेस के साथ, वे एलएसएएसएस प्रक्रिया को डंप करने के लिए मैलवेयर इंस्टॉल कर सकते हैं, डंप डाउनलोड कर सकते हैं और स्थानीय स्तर पर क्रेडेंशियल्स निकाल सकते हैं।

हालाँकि, Microsoft डिफेंडर मैलवेयर को पहचानने और हटाने में अधिक कुशल हो गया है, जिसका अर्थ हैकर्स इसका सहारा लेते हैं भूमि हमलों से दूर रहना. यहां, हमलावर कमजोर देशी विंडोज ऐप्स को हाईजैक कर लेता है और एलएसएएसएस में क्रेडेंशियल्स को लूटने के लिए उनका इस्तेमाल करता है।

उदाहरण के लिए, टास्क मैनेजर का उपयोग करके, एक हमलावर टास्क मैनेजर खोल सकता है, "विंडोज प्रोसेस" तक स्क्रॉल कर सकता है और "लोकल सुरक्षा प्राधिकरण प्रक्रिया। इसे राइट-क्लिक करने से हमलावर को डंप फ़ाइल बनाने या फ़ाइल खोलने का विकल्प मिलता है जगह। यहाँ से हमलावर का निर्णय उनके उद्देश्यों पर निर्भर करता है। वे क्रेडेंशियल निकालने के लिए डंप फ़ाइल डाउनलोड कर सकते हैं या असली lsass.exe को नकली से बदल सकते हैं।

क्रेडेंशियल चोरी: कैसे जांचें और क्या करें

जब यह जाँचने की बात आती है कि क्या आप किसी क्रेडेंशियल चोरी के हमले के शिकार हुए हैं, तो यहाँ पाँच तरीके हैं जिनसे आप पता लगा सकते हैं।

1. Lsass.exe बहुत सारे हार्डवेयर संसाधनों का उपयोग करता है

टास्क मैनेजर को लोड करें और सीपीयू और मेमोरी उपयोग की प्रक्रिया की जांच करें। आम तौर पर, इस प्रक्रिया में आपके CPU का 0 प्रतिशत और लगभग 5 एमबी मेमोरी का उपयोग होना चाहिए। यदि आप भारी CPU उपयोग और 10 एमबी से अधिक मेमोरी उपयोग देखते हैं, और आपने हाल ही में अपना साइन-इन विवरण बदलने जैसी सुरक्षा संबंधी कार्रवाई नहीं की है, तो कुछ गड़बड़ है।

इस स्थिति में, प्रक्रिया को समाप्त करने के लिए कार्य प्रबंधक का उपयोग करें। फिर, फ़ाइल स्थान पर जाएँ और शिफ्ट + डिलीट फ़ाइल। वास्तविक प्रक्रिया एक त्रुटि फेंक देगी, लेकिन एक नकली नहीं होगी, इसलिए आपको निश्चित रूप से पता चल जाएगा। साथ ही, निश्चित होने के लिए, आपको चाहिए फ़ाइल इतिहास देखें यह सुनिश्चित करने के लिए कि विंडोज़ बैकअप को संरक्षित नहीं करता है।

2. Lsass.exe गलत वर्तनी है

टाइपोस्क्वाटिंग के रूप में, हैकर्स अक्सर उन प्रक्रियाओं का नाम बदल देते हैं जिन्हें उन्होंने वास्तविक की तरह दिखने के लिए हाईजैक कर लिया है। इस मामले में, एक हमलावर चालाकी से फर्जी प्रक्रिया को अपरकेस "i" के साथ लोअरकेस "एल" की उपस्थिति की नकल करने के लिए नाम दे सकता है। एक केस कन्वर्टर कपटी फाइल को आसानी से ढूंढने में आपकी मदद कर सकता है। नकली प्रक्रिया के नाम में एक अतिरिक्त "ए" या "एस" भी हो सकता है। यदि आप ऐसी गलत वर्तनी वाली प्रक्रियाओं को देखते हैं, शिफ्ट + डिलीट फ़ाइल और बैकअप हटाने के लिए फ़ाइल इतिहास के साथ फ़ॉलो अप करें।

3. Lsass.exe अन्य फ़ोल्डर में है

आपको यहां टास्क मैनेजर से गुजरना होगा। खुला कार्य प्रबंधक> विंडोज प्रक्रियाएं, और “Local Security Authority Process” को खोजें। फिर, अपने विकल्प देखने और चुनने के लिए प्रक्रिया पर राइट-क्लिक करें फ़ाइल के स्थान को खोलें. वास्तविक lsass.exe फ़ाइल "C:\Windows\System32" फ़ोल्डर में होगी। किसी अन्य स्थान की फ़ाइल में सबसे अधिक संभावना मैलवेयर की होती है; इसे हटा दो।

4. एक से अधिक Lsass प्रक्रिया या फ़ाइल

जब आप जांचने के लिए टास्क मैनेजर का उपयोग करते हैं, तो आपको केवल एक "स्थानीय सुरक्षा प्राधिकरण प्रक्रिया" दिखाई देनी चाहिए। जब आप ड्रॉप-डाउन बटन पर क्लिक करते हैं तो इस प्रक्रिया में गतिविधियां चलती रहना सामान्य बात है। हालाँकि, यदि आप एक से अधिक स्थानीय सुरक्षा प्राधिकरण प्रक्रियाएँ चलाते हुए देखते हैं, तो संभावना है कि आप क्रेडेंशियल चोरी के शिकार हो गए हैं। जब आप फ़ाइल स्थान पर जाते हैं तो एक से अधिक lsass.exe फ़ाइल देखने पर भी यही बात लागू होती है। इस स्थिति में, फ़ाइलों को हटाने का प्रयास करें। यदि आप इसे हटाने का प्रयास करते हैं तो वास्तविक lsass.exe एक त्रुटि फेंक देगा।

5. Lsass.exe फ़ाइल बहुत बड़ी है

Lsass.exe फ़ाइलें छोटी हैं—हमारी मशीन पर Windows 11 पर चलने वाली फ़ाइल 83 KB की है। हमने जिस विंडोज 10 कंप्यूटर की जांच की, उसमें एक 60 केबी बड़ा है। इसलिए lsass.exe फ़ाइलें छोटी हैं। बेशक, हमलावर जानते हैं कि एक बड़ी Lsass.exe फ़ाइल एक मृत सस्ता रास्ता है, इसलिए वे आम तौर पर अपने पेलोड को छोटा बनाते हैं। हमारे मूल्यों के अनुरूप एक छोटा फ़ाइल आकार, तब, आपको बहुत कुछ नहीं बताता है। हालाँकि, यदि आप उपरोक्त बताए गए संकेतों को ध्यान में रखते हैं, तो आप आसानी से भेस में मैलवेयर का पता लगा सकते हैं।

विंडोज़ एलएसएएसएस के माध्यम से क्रेडेंशियल चोरी को कैसे रोकें I

विंडोज कंप्यूटरों पर सुरक्षा में सुधार जारी है, लेकिन क्रेडेंशियल चोरी अभी भी एक शक्तिशाली है खतरा, विशेष रूप से पुराने ऑपरेटिंग सिस्टम चलाने वाले पुराने उपकरणों या सॉफ़्टवेयर में पीछे चल रहे नए उपकरणों के लिए अद्यतन। गैर-उन्नत विंडोज उपयोगकर्ताओं के लिए क्रेडेंशियल चोरी को रोकने के तीन तरीके यहां दिए गए हैं।

नवीनतम सुरक्षा अपडेट डाउनलोड और इंस्टॉल करें

सुरक्षा पैच भेद्यताओं को अद्यतन करता है जिसका हमलावर आपके कंप्यूटर पर कब्जा करने के लिए शोषण कर सकते हैं। अपने नेटवर्क पर उपकरणों को अप-टू-डेट रखने से हैक होने का जोखिम कम हो जाता है। इसलिए, जैसे ही वे उपलब्ध हों, अपने कंप्यूटर को विंडोज अपडेट को स्वचालित रूप से डाउनलोड और इंस्टॉल करने के लिए सेट करें। आपको भी मिलना चाहिए सुरक्षा अद्यतन अपने पीसी पर तीसरे पक्ष के कार्यक्रमों के लिए।

विंडोज डिफेंडर क्रेडेंशियल गार्ड का प्रयोग करें

विंडोज डिफेंडर क्रेडेंशियल गार्ड एक सुरक्षा सुविधा है जो एक पृथक LSASS प्रक्रिया (LSAIso) बनाती है। इस पृथक प्रक्रिया में सभी प्रमाण-पत्र सुरक्षित रूप से संग्रहीत किए जाते हैं, जो बदले में, उपयोगकर्ताओं को मान्य करने के लिए मुख्य LSASS प्रक्रिया के साथ संचार करता है। यह आपके क्रेडेंशियल्स की अखंडता की रक्षा करता है और हैकर्स को हमले की स्थिति में मूल्यवान डेटा चोरी करने से रोकता है।

क्रेडेंशियल गार्ड विंडोज 10 और विंडोज 11 के एंटरप्राइज और प्रो फ्लेवर के साथ-साथ विंडोज सर्वर के चुनिंदा वर्जन पर उपलब्ध है। इन उपकरणों को भी मिलना चाहिए सख्त आवश्यकताएं जैसे सिक्योर बूट और 64-बिट वर्चुअलाइजेशन। आपको इस सुविधा को मैन्युअल रूप से सक्षम करना होगा, क्योंकि यह डिफ़ॉल्ट रूप से सक्षम नहीं है।

रिमोट डेस्कटॉप एक्सेस को अक्षम करें

दूरस्थ डेस्कटॉप आपको और अन्य अधिकृत व्यक्तियों को एक ही भौतिक स्थान पर बिना कंप्यूटर का उपयोग करने देता है। जब आप अपने होम मशीन पर किसी कार्य डिवाइस से फ़ाइलें प्राप्त करना चाहते हैं या जब तकनीकी सहायता आपको किसी समस्या का निवारण करने में मदद करना चाहती है, तो यह बहुत अच्छा होता है, जिसका आप सटीक वर्णन नहीं कर सकते। सुविधा के बावजूद रिमोट डेस्कटॉप एक्सेस भी आपका साथ छोड़ देता है हमलों के प्रति संवेदनशील.

रिमोट एक्सेस को अक्षम करने के लिए, दबाएं विंडोज की फिर "रिमोट सेटिंग्स" टाइप करें। डायलॉग बॉक्स में "अपने कंप्यूटर को रिमोट एक्सेस की अनुमति दें और इस कंप्यूटर को रिमोट असिस्टेंस कनेक्शन की अनुमति दें" को अनचेक करें।

आप भी जांचना और हटाना चाहते हैं रिमोट एक्सेस सॉफ्टवेयर जैसे TeamViewer, AeroAdmin और AnyDesk। ये प्रोग्राम न केवल सामान्य मैलवेयर और भेद्यता हमलों के प्रति आपके जोखिम को बढ़ाते हैं, बल्कि भूमि हमलों से दूर रहना भी - जहां हैकर्स हमले करने के लिए पहले से इंस्टॉल किए गए प्रोग्रामों का फायदा उठाते हैं।

हमलावर घर की चाबी चाहते हैं, लेकिन आप उन्हें रोक सकते हैं

LSASS आपके कंप्यूटर की चाबियां रखता है। इस प्रक्रिया से समझौता करने से हमलावर किसी भी समय आपके डिवाइस के रहस्यों तक पहुंच सकते हैं। सबसे बुरी बात यह है कि वे इसे ऐक्सेस कर सकते हैं जैसे कि वे एक वैध उपयोगकर्ता हों। हालांकि आप इन घुसपैठियों को ढूंढ और निकाल सकते हैं, लेकिन सबसे पहले उन्हें रोकना सबसे अच्छा है। अपने डिवाइस को अपडेट रखने और सुरक्षा सेटिंग्स को समायोजित करने से आपको यह लक्ष्य हासिल करने में मदद मिलती है।