登录  |  注册
当前位置:网站首页 > 更多 > 玩电脑 > 正文

[玩转系统] 安全支持提供商 (SSP) 攻击

作者:精品下载站 日期:2024-12-14 06:18:25 浏览:12 分类:玩电脑

安全支持提供商 (SSP) 攻击

Mimikatz 为攻击者提供了多种不同的方法来从内存中窃取凭据或从 Active Directory 中提取凭据。最有趣的选项之一是 MemSSP 命令。攻击者可以使用此命令在 Windows 成员服务器或域控制器 (DC) 上注册恶意安全支持提供程序 (SSP),并且该 SSP 将以明文形式记录本地登录到该系统的任何用户的所有密码。

在这篇文章中,我们将探讨这种攻击以及攻击者如何利用它来提升他们的权限。

SSP攻击场景

安全支持提供程序是涉及安全相关操作(包括身份验证)的动态链接库 (DLL)。 Microsoft 提供了许多 SSP,包括 Kerberos 和 NTLM 的软件包。让我们看一下攻击者可能想要在计算机上注册恶意 SSP 的一些原因:

  • 攻击者以本地管理员身份入侵了成员服务器,但在整个域中横向移动的权限有限。
  • 攻击者以域管理员或管理员身份入侵了 DC,但希望将其权限提升为企业管理员以跨域横向移动。
  • 攻击者使用哈希传递攻击以域管理员身份破坏了 DC,但希望利用管理员的明文密码登录其他应用程序,例如 Outlook Web Access 或远程桌面连接。

在任何这些场景中,SSP 攻击都可能非常有效。

执行 SSP 攻击

执行 SSP 攻击非常简单。在这篇文章中,我们将重点关注针对域控制器的攻击。假设我们已经入侵了一个域管理员帐户,并且想要将恶意 SSP 注入内存。我们需要做的就是在 Mimikatz 中发出misc::memssp 命令:

[玩转系统] 安全支持提供商 (SSP) 攻击

现在SSP被注入到内存中。但是,如果 DC 重新启动,SSP 将丢失,必须重新注入。 这可以通过将 DLL 注册为 Mimikatz 提供的 SSP 来解决。

[玩转系统] 安全支持提供商 (SSP) 攻击

SSP 注册后,登录到 DC 的所有用户以及所有本地服务都会将其密码记录到 c:WindowsSystem32mimilsa.log 文件中。 该文件将包含所有已登录用户和系统上运行的服务帐户的明文密码:

[玩转系统] 安全支持提供商 (SSP) 攻击

防范 SSP 攻击

检测

SSP 攻击可能很难检测。要查看您的任何 DC 是否已受到威胁,您可以运行以下 PowerShell 命令来检查域中的每个 DC 是否存在 mimilsa.log 文件。希望结果是空的。

[玩转系统] 安全支持提供商 (SSP) 攻击

预防

由于对 DC 的 SSP 攻击要求攻击者以域管理员或管理员的身份入侵 DC,因此最好的预防措施是通过严格限制这些组中的成员身份、实施严格的帐户治理和监控特权帐户的活动来防止这些帐户受到威胁。 。

猜你还喜欢

您需要 登录账户 后才能发表评论

取消回复欢迎 发表评论:

精品推荐!
欢迎 访客 登录没有账号?
  • 最新文章
  • 热门文章
  • 热评文章
最新评论
    热门tag
    友情链接

    关灯