攻击者是如何利用安全支持提供程序(SSP)来转储凭据的

本文涉及的产品
实时数仓Hologres,5000CU*H 100GB 3个月
实时计算 Flink 版,5000CU*H 3个月
智能开放搜索 OpenSearch行业算法版,1GB 20LCU 1个月
简介: 本文探讨了攻击者如何利用安全支持提供程序(SSP)动态链接库(DLL)窃取Windows系统中的登录凭据。通过修改注册表项或内存注入技术,攻击者可加载恶意SSP至本地安全机构(LSA)进程中,提取加密或明文密码。文章详细分析了两种方法:注册SSP DLL和内存中更新SSP,并展示了Mimikatz工具的应用。为防范此类攻击,建议使用监控解决方案检测域控制器上的异常修改,确保系统安全。

获取以哈希值或明文形式存在的账户登录名和密码是攻击者的主要目标。凭据转储或凭据泄露有助于攻击者进行横向移动,进一步在组织的网络中扩散,访问受限数据,并以高权限执行命令和程序。
存在许多广为人知且相对简单的凭据窃取攻击,例如转储安全账户管理器(SAM)数据库、利用本地安全机构子系统服务(LSASS)窃取凭据,以及从 NTLMv2 中提取密码等,这些攻击方式已被广泛提及。然而,通过利用安全支持提供程序(SSP)动态链接库(DLL)来获取 Windows 登录凭据是另一种可行的技术,安全团队需要了解并防范这种技术。在本文中,我们将解释攻击者是如何利用安全支持提供程序(SSP)动态链接库(DLL)来访问存储在 Windows 系统中的加密密码和明文密码的。
image.png

攻击者是如何利用安全支持提供程序(SSP)的呢?

Windows 操作系统具有身份验证机制,以便在计算机系统启动时或用户账户登录期间自动执行库或程序。组织可以通过将这些程序放置在指定位置,或者在 Windows 注册表项中进行配置来设置此功能。攻击者能够通过修改这些系统配置,或者在系统启动期间注册恶意的动态链接库(DLL)程序(如安全支持提供程序(SSP))来实现持久化控制并提升权限。

什么是安全支持提供程序(SSP)呢?

安全支持提供程序是一种动态链接库(DLL),它执行与安全相关的操作(如身份验证),并使一个或多个安全包可供应用程序使用。

安全支持提供程序接口(SSPI)是 Windows 应用程序编程接口(API)的一个组件,它充当多个安全支持提供程序(SSP)的标准接口。该组件使 Windows 身份验证方法能够轻松扩展,并在无需额外编码的情况下添加新的安全支持提供程序(SSP)。

攻击者可以修改注册表项,以便在 Windows 将安全支持提供程序(SSP)动态链接库(DLL)加载到本地安全机构(LSA)进程中时,注入恶意的安全支持提供程序(SSP)。然后,攻击者就能够提取存储在 Windows 中的加密密码和明文密码,例如已登录用户的域密码或智能卡密码。
使用 Mimikatz 注入 Windows 安全支持提供程序(SSP)
Mimikatz 应用程序支持以下两种实现安全支持提供程序(SSP)的方法。

1.注册安全支持提供程序(SSP)动态链接库(DLL)
在这种手动方法中,Mimikatz 提供了一个名为 mimilib.dll 的 DLL 文件,攻击者会将其复制到与本地安全机构子系统服务(LSASS)相同的位置(C:\Windows\System32)。这个 DLL 文件负责创建 kiwissp.log 文件,该文件以明文形式存储凭据。

有两个注册表项存储了安全支持提供程序(SSP)的配置信息:HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages
以下 PowerShell 命令用于检查注册表项中是否存在安全支持提供程序(SSP)的配置项。如下图所示,当查询结果为空时,攻击者可以添加一些标准的 Windows 身份验证安全支持提供程序(Kerberos、msv1_0、Schannel、wdigest、tspkg 和 pku2u)。
image.png

攻击者在注册表编辑器中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”
来验证安全支持提供程序(SSP)的相关条目。
image.png
每当用户重新启动他们的计算机系统时,Windows 都会在 C:\Windows\System32 下创建一个 kiwissp.log 文件。攻击者可以访问该系统已认证的所有域用户所存储的明文密码。

2.安全支持提供程序的内存中更新
Mimikatz 支持另一种利用内存技术的方法,即使用 “privilege::debug”(权限::调试)和 “misc::memssp”(杂项::内存中的安全支持提供程序)命令将新的安全支持提供程序注入到本地安全机构子系统服务(LSASS)的内存中。
image.png

通过运行上述 Mimikatz 命令,攻击者将在 C:\Windows\System32\ 下创建一个 mimilsa.log 文件,该文件包含所有已登录用户的明文密码。
image.png
上述两种方法使得攻击者能够向 Windows 系统注入新的安全支持提供程序(SSP),并自动记录本地经过身份验证的凭据。
如何检测和缓解恶意安全支持提供程序(SSP)
SentinelOne Ranger AD 解决方案会持续在活动目录(AD)中监控在域、用户和计算机层面上的漏洞和错误配置情况。该解决方案会监控每一个域控制器,并且当有新的安全包被加载时发出警报。
结论
拥有管理员权限的攻击者能够从被攻陷系统的内存中窃取凭据。攻击者可以篡改注册表项,并添加新的或恶意的安全支持提供程序(SSP)。企业应该部署能够审计和检测域控制器上未经授权修改的解决方案,以避免攻击者利用安全支持提供程序(SSP)。如需了解更多信息,请访问 Singularity Ranger AD。

♚上海甫连信息技术有限公司DocuSign | Okta | Yubikey | SentinelOne | BlackBerry | Cylance | Varonis |HubSpot|
长图.png

目录
相关文章
|
1月前
|
数据采集 存储 NoSQL
基于Scrapy-Redis的分布式景点数据爬取与热力图生成
基于Scrapy-Redis的分布式景点数据爬取与热力图生成
179 67
|
1月前
|
机器学习/深度学习 设计模式 人工智能
深度解析Agent实现,定制自己的Manus
文章结合了理论分析与实践案例,旨在帮助读者系统地认识AI Agent的核心要素、设计模式以及未来发展方向。
818 99
深度解析Agent实现,定制自己的Manus
|
18天前
|
缓存 NoSQL 关系型数据库
美团面试:MySQL有1000w数据,redis只存20w的数据,如何做 缓存 设计?
美团面试:MySQL有1000w数据,redis只存20w的数据,如何做 缓存 设计?
美团面试:MySQL有1000w数据,redis只存20w的数据,如何做 缓存 设计?
|
1月前
|
自然语言处理 前端开发 API
10个常用的无头CMS(Headless CMS)
无头CMS是一种内容管理系统,它将前端和后端分离,只关注内容的创建和管理,而不处理呈现内容的前端界面。传统的CMS通常将内容管理和展示耦合在一起,即内容的创建、编辑和展示都依赖于特定的前端界面和模板。而无头CMS则将内容与前端逻辑完全解耦,提供了一种更加灵活的方式来处理内容。
163 3
|
1月前
|
文字识别 Python
python做ocr卡证识别很简单
本示例展示了如何使用 `potencent` 库调用腾讯云 OCR 服务识别银行卡和身份证信息。代码中分别通过本地图片路径 (`img_path`) 和配置文件 (`potencent-config.toml`) 实现了银行卡和身份证的 OCR 识别,并输出结果。测试图片及结果显示了识别效果,需提前配置腾讯云的 `SECRET_ID` 和 `SECRET_KEY`。
|
1月前
|
人工智能 安全 网络安全
Burp Suite Professional 2025.5 for macOS x64 & ARM64 - 领先的 Web 渗透测试软件
Burp Suite Professional 2025.5 for macOS x64 & ARM64 - 领先的 Web 渗透测试软件
78 3
|
1月前
|
数据采集 人工智能 自然语言处理
阶跃星辰联合光影焕像开源 3D 大模型 Step1X-3D,高保真+可控!
阶跃星辰联合光影焕像开源 3D 大模型 Step1X-3D,高保真+可控!
90 4
|
1月前
|
人工智能 自然语言处理 测试技术
UGMathBench:评估语言模型数学推理能力的动态基准测试数据集
近年来,人工智能蓬勃发展,自然语言模型(LLM)进展显著。语言模型被广泛应用于自动翻译、智能客服、甚至医疗、金融、天气等领域。而研究者们仍在不断努力,致力于提高语言模型的规模和性能。随着语言模型的蓬勃发展,评估一个语言模型的性能变得越来越重要。其中一个重要的评估指标,就是衡量语言模型的推理能力和解决数学问题的能力。
180 38
|
3月前
|
存储 关系型数据库 分布式数据库
登顶TPC-C|云原生数据库PolarDB技术揭秘:单机性能优化篇
阿里云PolarDB云原生数据库在TPC-C基准测试中,以20.55亿tpmC的成绩打破性能与性价比世界纪录。此外,国产轻量版PolarDB已上线,提供更具性价比的选择。
|
1月前
|
消息中间件 存储 JSON
日志采集 Agent 性能大比拼——LoongCollector 性能深度测评
为了展现 LoongCollector 的卓越性能,本文通过纵向(LoongCollector 与 iLogtail 产品升级对比)和横向(LoongCollector 与其他开源日志采集 Agent 对比)两方面对比,深度测评不同采集 Agent 在常见的日志采集场景下的性能。
298 33