Custom SSP
カスタムSSP
ここでSSP(セキュリティサポートプロバイダ)とは何かを学びます。 マシンへのアクセスに使用される資格情報を平文でキャプチャするために、独自のSSPを作成できます。
Mimilib
Mimikatzによって提供されるmimilib.dll
バイナリを使用できます。これにより、すべての資格情報が平文でファイルに記録されます。
dllをC:\Windows\System32\
に配置します。
既存のLSAセキュリティパッケージのリストを取得します:
attacker@target
セキュリティ サポート プロバイダ リスト (セキュリティ パッケージ) に mimilib.dll
を追加します:
リブート後、すべての資格情報はC:\Windows\System32\kiwissp.log
内で平文で見つけることができます。
C:\Windows\System32\kiwissp.log
内で平文で見つけることができます。メモリ内
また、Mimikatzを使用してこれを直接メモリにインジェクトすることもできます(注意:少し不安定で動作しない可能性があります)。
これは再起動を乗り越えられません。
緩和策
イベントID 4657 - HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages
の作成/変更の監査
Last updated