Active Directory許可權持久控制之惡意的安全支持提供者(SSP)
本文的內容描述了一種方法,通過該方法,攻擊者可以在擁有了域管理級別許可權的5分鐘後,就可以持續的對Active Directory進行管理訪問。我在拉斯維加斯舉辦的DEF CON 23(2015年)峰會上介紹了這種AD持久性的方法。
安全支持提供程序介面(SSPI)可以輕鬆的擴展Windows的驗證方法,從而可以添加新的安全支持提供程序(SSP),而無需額外的編碼。
一些標準的Windows認證SSP:
NTLMKerberosNegotiate安全通道(Schannel)摘要憑證(CredSSP)
Mimikatz支持DLL 和註冊表(場景1)以及在內存中更新SSP(場景2)。
場景1:將mimilib.dll複製到與LSASS(c:windowssystem32)相同的位置,並使用SSP DLL名稱更新安全軟體包註冊表項(HKEY_LOCAL_MACHINE SystemCurrentControlSetControlLsaSecurity Packages)。
場景2:使用mimikatz在內存中用新的SSP對LSASS打補丁,此操作無需重新啟動(重新啟動會清除Mimikatz 的 memssp 注入)。
這些場景中的任何一種都可以將新的SSP添加到Windows系統中。mimikatz中包含的SSP提供對本地認證憑據的自動記錄功能。包括計算機帳戶密碼,運行服務的憑證和任何登錄的帳戶。
默認情況下,這些數據會記錄到一個與dll文件位於相同的位置的日誌文件中,儘管可以將該數據記錄在系統的其他位置。如果當前的Windows系統是提供對已驗證用戶的訪問的域控制器,那麼備用的記錄的日誌文件可以在SYSVOL中找到。
一個典型的組策略模板文件可能看起來是這樣的。
當該路徑作為Mimikatz SSP記錄憑證的日誌文件的位置時,這個假的組合策略模板文件看起來是這樣的。
檢測方法
1. 監控控制安全軟體包的LSA註冊表項:HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsaSecurity Packages
2. 監控在域控制器上運行cmd.exe時執行的命令。
3. 監控在域控制器上運行PowerShell時執行的命令。
緩解措施
保護Active Directory的管理員許可權。
本文翻譯自:Sneaky Active Directory Persistence #12: Malicious Security Support Provider (SSP),如若轉載,請註明來源於嘶吼:Active Directory許可權持久控制之惡意的安全支持提供者(SSP) 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※隱寫技巧——PNG文件中的LSB隱寫
※2017-09-11
※一招搞定英語中證券技術分析的「黑話」
※2017-08-15