本文讲的是Active Directory权限持久控制之恶意的安全支持提供者(SSP),本文的内容描述了一种方法,通过该方法,攻击者可以在拥有了域管理级别权限的5分钟后,就可以持续的对Active Directory进行管理访问。我在拉斯维加斯举办的DEF CON 23(2015年)峰会上介绍了这种AD持久性的方法。
安全支持提供程序接口(SSPI)可以轻松的扩展Windows的验证方法,从而可以添加新的安全支持提供程序(SSP),而无需额外的编码。
一些标准的Windows认证SSP:
NTLM
Kerberos
Negotiate
安全通道(Schannel)
摘要
凭证(CredSSP)
Mimikatz支持DLL 和注册表(场景1)以及在内存中更新SSP(场景2)。
场景1:将mimilib.dll复制到与LSASS(c: windowssystem32)相同的位置,并使用SSP DLL名称更新安全软件包注册表项(HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa Security Packages )。
场景2:使用mimikatz在内存中用新的SSP对LSASS打补丁,此操作无需重新启动(重新启动会清除Mimikatz 的 memssp 注入)。
这些场景中的任何一种都可以将新的SSP添加到Windows系统中。mimikatz中包含的SSP提供对本地认证凭据的自动记录功能。包括计算机帐户密码,运行服务的凭证和任何登录的帐户。
默认情况下,这些数据会记录到一个与dll文件位于相同的位置的日志文件中,尽管可以将该数据记录在系统的其他位置。如果当前的Windows系统是提供对已验证用户的访问的域控制器,那么备用的记录的日志文件可以在SYSVOL中找到。
一个典型的组策略模板文件可能看起来是这样的。
当该路径作为Mimikatz SSP记录凭证的日志文件的位置时,这个假的组合策略模板文件看起来是这样的。
检测方法
1. 监控控制安全软件包的LSA注册表项:HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa Security Packages
2. 监控在域控制器上运行cmd.exe时执行的命令。
3. 监控在域控制器上运行PowerShell时执行的命令。
缓解措施
保护Active Directory的管理员权限。
原文发布时间为:2017年6月16日
本文作者:丝绸之路
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。