恶意 SSP 注入收集密码
SSP 安全服务提供者,是微软提供的与安全有关的函数接口,用户可根据自己的需求调用 SSP 接口实现高度自定义的身份验证等安全功能。攻击者注入恶意的 SSP 接口覆盖微软默认的某些安全功能,导致用户一旦进行身份验证,恶意的 SSP 将保存用户输入明文密码。
mimikatz.exe "privilege::debug" "misc::memssp" "exit"
当用户登录时,恶意 ssp 触发,将明文密码写入 C:\Windows\System32\mimilsa.txt。
注册表添加 SSP
将恶意 SSP 添加到注册表,即使目标重启,机器仍然使用我们恶意的 SSP。
将 mimikatz 中的 mimilib.dll 文件放到系统的 C:\Windows\System32\ 目录下。 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa 的 Security Packages 项写入值 "mimilib.dll" 。 系统重启后,登录密码保存在 C:\Windows\System32\kiwissp.log 下。