安全支持提供者
Windows 安全支持提供者 (SSP)
DLL 在系统启动时加载到本地安全中心 (LSA) 进程中。一旦加载到 LSA 中,SSP DLL
就有权访问存储在 Windows 中加密数据和密码密明文,例如任何登录用户的域密码或智能卡 PIN。SSP 配置存储在两个注册表项中:
HKLMPackages 和
HKLMPackages。攻击者可以修改这些注册表键来添加新的 SSP,这些 SSP 将在下一次系统启动时或者在调用 AddSecurityPackage
Windows API 函数时加载。
缓解
Windows 8.1、Windows Server 2012 R2 以及后续版本可能通过设置注册表键 HKLM 使 LSA 作为受保护轻进程 (PPL) 运行,HKLM 要求所有 SSP DLL 都必须由 Microsoft 签名。
检测
监视注册表以查看对 SSP 注册表项的更改。
监控 DLL 加载的 LSA 进程。
当没有签名的 SSP DLL 试图设置注册表键 HKLMNTFile Execution Options.exe 的 AuditLevel = 8, 使其加载到 LSA 中时,Windows 8.1 和 Windows Server 2012 R2 可能会生成事件。
- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论