Custom SSP
SSP personalizzato
Scopri cosa è un SSP (Security Support Provider) qui. Puoi creare il tuo SSP per catturare in testo normale le credenziali utilizzate per accedere alla macchina.
Mimilib
Puoi utilizzare il binario mimilib.dll
fornito da Mimikatz. Questo registrerà all'interno di un file tutte le credenziali in testo normale.
Rilascia la dll in C:\Windows\System32\
Ottieni un elenco dei pacchetti di sicurezza LSA esistenti:
Aggiungi mimilib.dll
all'elenco dei provider di supporto alla sicurezza (Security Packages):
E dopo un riavvio tutte le credenziali possono essere trovate in chiaro nel file C:\Windows\System32\kiwissp.log
In memoria
Puoi anche iniettare questo direttamente in memoria usando Mimikatz (nota che potrebbe essere un po' instabile/non funzionante):
Questo non sopravviverà ai riavvii.
Mitigazione
Event ID 4657 - Audit della creazione/modifica di HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages
Last updated