Custom SSP
SSP Personalizado
Aprenda o que é um SSP (Provedor de Suporte de Segurança) aqui. Você pode criar seu próprio SSP para capturar em texto claro as credenciais usadas para acessar a máquina.
Mimilib
Você pode usar o binário mimilib.dll
fornecido pelo Mimikatz. Isso registrará em um arquivo todas as credenciais em texto claro.
Solte o dll em C:\Windows\System32\
Obtenha uma lista de Pacotes de Segurança LSA existentes:
```bash PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u
E após reiniciar, todas as credenciais podem ser encontradas em texto claro em C:\Windows\System32\kiwissp.log
Na memória
Você também pode injetar isso diretamente na memória usando o Mimikatz (observe que pode ser um pouco instável/não funcionar):
Isso não sobreviverá a reinicializações.
Mitigação
ID do Evento 4657 - Auditoria da criação/mudança de HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages
Last updated