Active Directory許可權持久控制之惡意的安全支持提供者(SSP)

本文的內容描述了一種方法，通過該方法，攻擊者可以在擁有了域管理級別許可權的5分鐘後，就可以持續的對Active Directory進行管理訪問。我在拉斯維加斯舉辦的DEF CON 23（2015年）峰會上介紹了這種AD持久性的方法。

安全支持提供程序介面（SSPI）可以輕鬆的擴展Windows的驗證方法，從而可以添加新的安全支持提供程序（SSP），而無需額外的編碼。

一些標準的Windows認證SSP：

NTLMKerberosNegotiate安全通道（Schannel）摘要憑證（CredSSP）

Mimikatz支持DLL 和註冊表（場景1）以及在內存中更新SSP（場景2）。

場景1：將mimilib.dll複製到與LSASS（c:windowssystem32）相同的位置，並使用SSP DLL名稱更新安全軟體包註冊表項（HKEY_LOCAL_MACHINE SystemCurrentControlSetControlLsaSecurity Packages）。

場景2：使用mimikatz在內存中用新的SSP對LSASS打補丁，此操作無需重新啟動（重新啟動會清除Mimikatz 的 memssp 注入）。

這些場景中的任何一種都可以將新的SSP添加到Windows系統中。mimikatz中包含的SSP提供對本地認證憑據的自動記錄功能。包括計算機帳戶密碼，運行服務的憑證和任何登錄的帳戶。

默認情況下，這些數據會記錄到一個與dll文件位於相同的位置的日誌文件中，儘管可以將該數據記錄在系統的其他位置。如果當前的Windows系統是提供對已驗證用戶的訪問的域控制器，那麼備用的記錄的日誌文件可以在SYSVOL中找到。

一個典型的組策略模板文件可能看起來是這樣的。

當該路徑作為Mimikatz SSP記錄憑證的日誌文件的位置時，這個假的組合策略模板文件看起來是這樣的。

檢測方法

1. 監控控制安全軟體包的LSA註冊表項：HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsaSecurity Packages

2. 監控在域控制器上運行cmd.exe時執行的命令。

3. 監控在域控制器上運行PowerShell時執行的命令。

緩解措施

保護Active Directory的管理員許可權。

本文翻譯自：Sneaky Active Directory Persistence #12: Malicious Security Support Provider (SSP)，如若轉載，請註明來源於嘶吼：Active Directory許可權持久控制之惡意的安全支持提供者(SSP) 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：