Гид по технологиям

Защита от кражи учётных данных через Windows LSASS

9 min read Кибербезопасность Обновлено 01 Jan 2026
Защита от кражи учётных данных LSASS
Защита от кражи учётных данных LSASS

Важно: если вы обнаружили подозрительную активность — изолируйте устройство от сети и свяжитесь с командой информационной безопасности. Самостоятельное удаление вредоносных файлов без резервного копирования и расследования может уничтожить ценные артефакты для форензики.

Что такое Windows LSASS?

Windows Local Security Authority Server Service (LSASS) — это системный процесс, который управляет политиками безопасности компьютера. LSASS проверяет входы в систему, изменения паролей, токены доступа и права администратора для пользователей на локальном устройстве и сервере.

Коротко: LSASS хранит и проверяет «доказательства личности» пользователей во время активных сеансов Windows.

Аналогия: представьте, что LSASS — это вышка охраны на входе в здание. Она проверяет удостоверения и решает, кому разрешено идти дальше. Если охрана скомпрометирована, злоумышленник получает свободный доступ внутрь.

Что такое кража учётных данных?

Кража учётных данных — это атака, в которой злоумышленник извлекает или подменяет данные аутентификации, хранящиеся в памяти системы. В Windows процесс lsass.exe при запуске может содержать в оперативной памяти зашифрованные пароли, NT- и LM-хеши, а также билеты Kerberos. Эти артефакты позволяют авторизоваться как легитимный пользователь и перемещаться внутри сети (lateral movement).

Инструменты, которые чаще всего применяются для таких атак: Mimikatz, CrackMapExec, Lsassy и похожие утилиты. Современные злоумышленники также прибегают к техникам «Living off the Land», когда используют штатные средства Windows для минимизации обнаружения.

Как злоумышленники крадут учётные данные LSASS

Злоумышленник обычно добивается удалённого доступа к машине: через эксплойты, фишинг, уязвимости в сервисах удалённого доступа или слабые пароли. Дальше ему нужно повысить свои привилегии до уровня администратора, чтобы получить возможность читать или модифицировать память защищённых процессов.

Типичный сценарий:

  • Эскалация привилегий. Без прав администратора работать с LSASS нельзя.
  • Установка инструментов или использование штатных утилит (procdump, Task Manager и т. п.) для дампа памяти процесса lsass.exe.
  • Скачивание дампа на контролируемую машину злоумышленника и извлечение хешей и билетов Kerberos.
  • Использование полученных учётных данных для перемещения по сети и получения доступа к критическим ресурсам.

Современные способы уклонения от детекции:

  • Жизнь за счёт встроенных средств Windows (LoLBin — сторонние и встроенные двоичные файлы, скрипты и менеджеры задач).
  • Переименование вредоносного исполняемого файла в похожее на lsass.exe имя (typosquatting), хранение в нестандартной папке или использование нескольких копий процесса.
  • Сжатие и минимизация размера полезной нагрузки, чтобы не привлекать внимание по объёму файла.

Человек использует MacBook Air за столом

Признаки компрометации и как проверять систему

Ниже — практическая проверка на наличие поддельного lsass.exe и признаки кражи учётных данных. Приведены безопасные проверки; при сомнении — инициируйте инцидент-ответ.

1. Нагрузка lsass.exe на процессор и память

Откройте Диспетчер задач (Task Manager) и посмотрите использование CPU и памяти процессом “Local Security Authority Process” (lsass.exe).

  • Норма: в простое процесс часто показывает ~0% CPU и несколько мегабайт памяти (обычно < 10 МБ в современных системах). Мы наблюдали файлы lsass.exe порядка 60–83 КБ на разных машинах.
  • Признак проблемы: высокое использование CPU или памяти без видимой причины (например, без одновременного изменения пароля или массовой аутентификации).

Команды для проверки (безопасные, только чтение):

  • PowerShell: Get-Process -Name lsass | Format-List *
  • CMD: tasklist /FI “IMAGENAME eq lsass.exe” /V

Если наблюдается аномалия: не выключайте систему сразу. Зафиксируйте состояние, сделайте снимки экрана, сохраните логи и обратитесь в команду ИБ.

2. Подозрительные имена и опечатки

Злоумышленники быстро маскируют файлы, создавая имена, похожие на lsass.exe. Типичные приёмы:

  • Заменить букву «l» на похожую «I» (строчного латинского “l” и заглавного “I”).
  • Добавление лишних символов: lsaass.exe, lsasss.exe, lsass.exea и т. п.

Проверьте точное имя файла в Диспетчере задач и в проводнике (через “Открыть расположение файла”). Если имя неточное — это серьёзный индикатор компрометации.

3. Нестандартное расположение файла

Откройте Диспетчер задач → Windows Processes → Local Security Authority Process → Правый клик → Открыть расположение файла.

  • Ожидаемое расположение: C:\Windows\System32\lsass.exe
  • Любая другая папка — большой шанс наличия вредоносного файла. Удаление выполните только после согласования с ИБ.

Руки на клавиатуре ноутбука

4. Несколько процессов или файлов lsass

В норме должен быть один активный процесс “Local Security Authority Process” и один системный файл lsass.exe в System32. Несколько экземпляров процесса или копии файла в разных папках — знак подделки.

5. Размер файла слишком большой (или слишком маленький для подозрения)

Файлы lsass.exe обычно малы — десятки килобайт. Большой размер исполняемого файла может свидетельствовать о внедрённом вредоносном коде. Однако злоумышленники стараются минимизировать полезную нагрузку, поэтому ориентируйтесь на совокупность признаков, а не на размер один.

Факт: в тестовой среде были замечены файлы lsass.exe около 60 КБ и 83 КБ; это стандартный диапазон для современных Windows-сборок.

Пошаговый план реагирования на обнаружение (Runbook)

Ниже — ориентированный на практику инцидент-реакции план. Применяйте его совместно с политиками вашей организации.

  1. Изоляция и первичная оценка

    • Отключите устройство от сети (физически или по политики изоляции) без выключения, если возможно.
    • Зафиксируйте индикаторы: снимки экрана Диспетчера задач, список процессов, активные сетевые соединения.

  2. Сбор артефактов и форензика (с согласованием ИБ)

    • Сохраните логи Windows Event (Security, System) и журнал Defender/EDR.
    • Зафиксируйте контрольные суммы подозрительных файлов и их расположение.
    • При наличии компетенций и инструментов: получите волатильные данные (список процессов, сетевые соединения). Не удаляйте файлы до проведения форензики.

  3. Анализ и подтверждение

    • Сравните манипуляции с известными правилами обнаружения (YARA, сигнатуры EDR).
    • Проверьте на наличие множества входов в систему с использованием похищенных учётных данных.

  4. Устранение и восстановление

    • Если подозрительный процесс — вредоносный: восстановите систему из проверенного образа или выполните чистую переустановку ОС.
    • Сбросьте пароли и откатьте скомпрометированные учетные записи.
    • Проинвалидируйте сессии и билеты Kerberos (при необходимости).

  5. Послеинцидентные меры

    • Внедрите дополнительные меры защиты (Credential Guard, VBS, ограничения RDP).
    • Проведите обучение персонала, обновите правила и сохраните артефакты для последующего расследования.

Важно: для действий по сбору дампов памяти рекомендуется привлекать специалистов по цифровой криминалистике. Неправильные шаги могут уничтожить доказательства.

Рабочие чек-листы по ролям

Ниже — краткие контрольные списки по ролям. Используйте их как напоминание для оперативных действий.

Роль: обычный пользователь

  • Немедленно отключитесь от сети при подозрении на взлом.
  • Сохраните сообщение/скриншот с подозрительной активностью.
  • Сообщите в службу поддержки или ИБ.

Роль: сотрудник службы поддержки (helpdesk)

  • Не просите пользователей менять пароли до получения указаний ИБ.
  • Соберите логи работы и краткое описание действий пользователя.
  • При необходимости передайте устройство в ИБ для расследования.

Роль: системный администратор

  • Проверьте наличие нестандартных lsass.exe экземпляров на машинах в зоне ответственности.
  • Выведите список машин с включённым RDP и удалите неавторизованный доступ.
  • Обновите политики локальных администраторов (LAPS, ограничение применения прав).

Роль: команда SOC/инцидент-ответ

  • Идентифицируйте затронутые учетные записи и источники доступа.
  • Проведите форензическую съёмку и анализ дампов памяти в изолированной среде.
  • Инициируйте сброс учётных данных и мониторинг на аномальную активность.

Методы предотвращения и защита системы

Ниже перечислены практические и приоритетные меры защиты для домашних и корпоративных пользователей.

  1. Поддерживайте актуальность системы и приложений
  • Включите автоматические обновления Windows и обновления сторонних программ.
  • Патчи закрывают известные уязвимости, которые используют злоумышленники для входа и эскалации привилегий.
  1. Включите Windows Defender Credential Guard
  • Credential Guard выделяет изолированный экземпляр для хранения учётных данных (LSAIso).
  • Требования: Windows 10/11 Pro или Enterprise (или соответствующие варианты серверов), Secure Boot, 64‑битная виртуализация и поддержка VBS.
  • Включается вручную через групповые политики или конфигурацию системы.
  1. Отключите удалённый рабочий стол, если он не нужен
  • Откройте «Параметры удалённого доступа» (Windows Key → введите “remote settings”).
  • Уберите галочку “Allow Remote Assistance connection to this computer” и снимите опции удалённого доступа, если они не требуются.
  • Удалите или ограничьте сторонние приложения удалённого доступа (TeamViewer, AnyDesk, AeroAdmin) при отсутствии необходимости.
  1. Минимизируйте права администраторов
  • Принцип наименьших привилегий (Least Privilege): дайте админ-права только тем, кому они действительно нужны.
  • Используйте LAPS для управления локальными паролями администратора.
  1. Применяйте многофакторную аутентификацию (MFA)
  • MFA значительно снижает риск использования украденных хешей и паролей, поскольку требуется второй фактор.
  1. Разверните EDR/NGAV и мониторинг
  • Современные EDR-системы отслеживают подозрительную активность процессов и могут блокировать попытки дампа памяти или выполнения непредвиденных двоичных файлов.
  1. Ограничьте использование PowerShell и WMI
  • Создайте политики аудита и ограничения для скриптов, которые могут использоваться для постэксплуатационных действий.

Тест-кейсы и критерии приёмки

Критерии для проверки корректной настройки защиты:

  • Credential Guard включён и активен на тестовой машине.
  • На машине отсутствуют процессы lsass.exe вне System32 и нет дубликатов.
  • Система не позволяет выполнять дамп памяти защищённого процесса без явного разрешения и записи в логи.
  • Включён аудит успешных и неуспешных попыток локальных входов и эскалаций привилегий.

Примеры тест-кейсов:

  • Попытка создать дамп памяти lsass.exe с помощью Task Manager должна вызвать системную ошибку либо детектироваться EDR/Defender.
  • Переименование легитимного lsass.exe в другое имя и его запуск должно рассматриваться как незапланированное поведение при мониторинге.

Ментальные модели и рекомендации по приоритетам (Impact × Effort)

  • Высокое влияние / Низкие усилия: включение автоматических обновлений, отключение RDP, внедрение MFA.
  • Высокое влияние / Средние усилия: развёртывание Credential Guard и VBS по всем критическим устройствам.
  • Среднее влияние / Низкие усилия: ограничение прав локальных администраторов и удаление ненужного ПО удалённого доступа.

Часто задаваемые вопросы

Можно ли удалить подозрительный lsass.exe вручную?

Нет, не предпринимайте резких действий. Самостоятельное удаление может нарушить работу системы и уничтожить важные артефакты для расследования. Сначала зафиксируйте состояние и обратитесь в ИБ.

Достаточно ли одной инструкции, чтобы защититься от кражи учётных данных?

Нет. Это многоуровневая задача: патчи, конфигурации, мониторинг, обучение пользователей и ограничение прав — все вместе создают защитный барьер.

Работает ли Credential Guard на Windows Home?

Credential Guard доступен только в редакциях Pro и Enterprise Windows 10/11 и на некоторых вариантах серверных ОС. Также требуются Secure Boot и виртуализация.

Как узнать, какие аккаунты были скомпрометированы?

Это часть расследования: анализ логов входов, сессий Kerberos, событий безопасности и EDR-артефактов поможет выявить затронутые учётные записи.

Краткое резюме

  • LSASS — критичный системный процесс, который хранит данные аутентификации.
  • Кража учётных данных даёт злоумышленнику «ключи» для перемещения по сети.
  • Проверяйте имя, расположение, размер и поведение lsass.exe; используйте сочетание мер защиты: обновления, Credential Guard, MFA, ограничение RDP и мониторинг.
  • При обнаружении — изолируйте устройство и привлеките команду ИБ для корректной форензики и восстановления.

Дополнения: краткий глоссарий и чек-лист для быстрого использования ниже.

Глоссарий (1 строка каждое):

  • LSASS: процесс Windows, управляющий проверкой подлинности.
  • NT hash: хеш пароля Windows, используемый для аутентификации.
  • Kerberos ticket: временный билет для доступа к ресурсам в домене.
  • Credential Guard: функция Windows для изоляции учётных данных.

Быстрый чек‑лист (оперативный):

  • Откройте Диспетчер задач и найдите lsass.exe.
  • Проверьте “Открыть расположение файла” — должно быть C:\Windows\System32.
  • Убедитесь, что нет дублей процесса и файл невелик по размеру.
  • При малейших сомнениях — изоляция и уведомление ИБ.

Мужчина в зелёном худи и чёрных солнцезащитных очках, сидящий на оранжевом кресле

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Как поделиться экраном в Google Meet
Руководства

Как поделиться экраном в Google Meet

Как открыть и редактировать Pages на Windows
Руководство

Как открыть и редактировать Pages на Windows

Как начать 3D‑моделирование: руководство
3D

Как начать 3D‑моделирование: руководство

Как создать QR-код на Fast QR Code
Гайды

Как создать QR-код на Fast QR Code

Какие приложения iPhone могут использовать Face ID
iPhone

Какие приложения iPhone могут использовать Face ID

Висячие отступы в Google Документах
Руководство

Висячие отступы в Google Документах