Custom SSP
사용자 정의 SSP
SSP (Security Support Provider)가 무엇인지 알아보세요. 자신의 SSP를 만들어서 기계에 액세스하는 데 사용되는 자격 증명을 평문으로 캡처할 수 있습니다.
Mimilib
Mimikatz에서 제공하는 mimilib.dll
바이너리를 사용할 수 있습니다. 이를 통해 모든 자격 증명이 평문으로 파일에 기록됩니다.
dll을 C:\Windows\System32\
에 드롭하세요.
기존 LSA 보안 패키지 목록을 가져옵니다:
attacker@target
보안 지원 공급자 목록 (보안 패키지)에 mimilib.dll
을 추가합니다:
그리고 재부팅 후에 모든 자격 증명은 C:\Windows\System32\kiwissp.log
에 평문으로 찾을 수 있습니다.
메모리에
또한 Mimikatz를 사용하여 직접 메모리에 주입할 수도 있습니다 (약간 불안정하거나 작동하지 않을 수 있음에 유의하세요):
이것은 재부팅을 견딜 수 없습니다.
완화 방법
이벤트 ID 4657 - HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages
의 생성/변경 감사 기록
Last updated