Windows权限维持：恶意安全支持提供程序技术解析

"本文主要介绍了Windows安全支持提供者（SSP）的概念，以及攻击者如何利用SSP来窃取和滥用系统凭据，保持网络持久性。内容涉及到使用Mimikatz等工具进行恶意SSP注入的方法，包括注册DLL和内存加载技术。" 在Windows操作系统中，安全支持提供程序（SSP）是一组API，它们扩展了身份验证机制，使得不同的身份验证协议能够与Local Security Authority Subsystem Service (LSASS) 进程交互。LSASS负责处理用户的登录和身份验证请求。攻击者可能利用这个机制，通过删除或替换LSASS加载的SSP DLL来实现恶意目的，例如窃取存储在LSASS进程中的密码。 攻击者通常需要管理员权限来实施此类攻击。有两种主要的注入恶意SSP的方法： 1. **注册SSP DLL**: 攻击者可以创建一个恶意的SSP DLL，并将其放置在System32目录下，然后修改注册表项"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\SecurityPackages"，添加恶意SSP的引用。这样，当系统重启时，LSASS会加载这个恶意DLL，允许攻击者捕获和记录用户凭据。例如，Mimikatz的mimilib.dll可以用来实现这一目标。 2. **加载到内存**: 除了注册恶意DLL之外，攻击者还可以选择直接将恶意SSP注入到LSASS的内存中，无需在磁盘上留下痕迹。这种方式虽然在系统重启后不会持久存在，但可以在避免被检测的情况下短暂获取凭据。 Mimikatz是一款知名的工具，它支持上述两种方法。在使用注册DLL的方法中，Mimikatz的mimilib.dll会在系统目录下创建，并通过修改注册表使得LSASS在每次启动时都加载这个恶意DLL。这会导致创建一个名为kiwissp的文件，该文件会记录通过系统的账户凭据。 对于内存加载技术，Mimikatz可以直接向LSASS进程注入新的SSP，这样就不需要在磁盘上存储DLL或修改注册表。尽管这种方法在系统重启后不会持续，但它提供了一种更隐蔽的凭据抓取方式。 理解SSP的工作原理和可能的安全风险对于系统管理员来说至关重要，因为这有助于识别和防止这类攻击。确保系统更新、安全补丁及时应用，以及限制不必要的管理员权限，都是防止恶意SSP注入的有效措施。同时，定期进行安全审计和监控系统异常行为也非常重要。