回归最本质的信息安全

Active Directory权限持久控制之恶意的安全支持提供者(SSP)

2017年6月16日发布

25,153
1
4

导语:本文的内容描述了一种方法,通过该方法,攻击者可以在拥有了域管理级别权限的5分钟后,就可以持续的对Active Directory进行管理访问。

本文的内容描述了一种方法,通过该方法,攻击者可以在拥有了域管理级别权限的5分钟后,就可以持续的对Active Directory进行管理访问。我在拉斯维加斯举办的DEF CON 23(2015年)峰会上介绍了这种AD持久性的方法。

安全支持提供程序接口(SSPI)可以轻松的扩展Windows的验证方法,从而可以添加新的安全支持提供程序(SSP),而无需额外的编码。

一些标准的Windows认证SSP

NTLM

Kerberos

Negotiate

安全通道(Schannel)

摘要

凭证(CredSSP)

Mimikatz支持DLL 和注册表(场景1)以及在内存中更新SSP(场景2)。

场景1:将mimilib.dll复制到与LSASS(c: windowssystem32)相同的位置,并使用SSP DLL名称更新安全软件包注册表项(HKEY_LOCAL_MACHINE  System  CurrentControlSet  Control  Lsa  Security Packages )。

SneakyPersistence-EnableMimiSSP-PowerShellScript-01.png

SneakyPersistence-EnableMimiSSP-MimilibDll-02.png

1497496439314958.png

场景2:使用mimikatz在内存中用新的SSP对LSASS打补丁,此操作无需重新启动(重新启动会清除Mimikatz 的 memssp 注入)。

SneakyPersistence-EnableMimiSSP-MemSSP-01.png

这些场景中的任何一种都可以将新的SSP添加到Windows系统中。mimikatz中包含的SSP提供对本地认证凭据的自动记录功能。包括计算机帐户密码,运行服务的凭证和任何登录的帐户。

默认情况下,这些数据会记录到一个与dll文件位于相同的位置的日志文件中,尽管可以将该数据记录在系统的其他位置。如果当前的Windows系统是提供对已验证用户的访问的域控制器,那么备用的记录的日志文件可以在SYSVOL中找到。

一个典型的组策略模板文件可能看起来是这样的。

1497496479482584.png

当该路径作为Mimikatz SSP记录凭证的日志文件的位置时,这个假的组合策略模板文件看起来是这样的。

1497496502237015.png

检测方法

1. 监控控制安全软件包的LSA注册表项:HKEY_LOCAL_MACHINE  System  CurrentControlSet  Control  Lsa  Security Packages

2. 监控在域控制器上运行cmd.exe时执行的命令。

3. 监控在域控制器上运行PowerShell时执行的命令。

缓解措施

保护Active Directory的管理员权限。

本文翻译自:https://adsecurity.org/?p=1760,如若转载,请注明来源于嘶吼: http://www.4hou.com/system/5475.html

点赞 4
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

丝绸之路

丝绸之路

嘶吼认证-特约作者/译者

发私信

发表评论

    绚濑绘里
    绚濑绘里 2017-06-16 18:16

    我好像找到了问题