ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1101

术语表: /attack/glossary

安全支持提供者

Windows 安全支持提供者 (SSP) DLL 在系统启动时加载到本地安全中心 (LSA) 进程中。一旦加载到 LSA 中,SSP DLL 就有权访问存储在 Windows 中加密数据和密码密明文,例如任何登录用户的域密码或智能卡 PIN。SSP 配置存储在两个注册表项中: HKLMPackages 和 HKLMPackages。攻击者可以修改这些注册表键来添加新的 SSP,这些 SSP 将在下一次系统启动时或者在调用 AddSecurityPackage Windows API 函数时加载。

缓解

Windows 8.1、Windows Server 2012 R2 以及后续版本可能通过设置注册表键 HKLM 使 LSA 作为受保护轻进程 (PPL) 运行,HKLM 要求所有 SSP DLL 都必须由 Microsoft 签名。

检测

监视注册表以查看对 SSP 注册表项的更改。 监控 DLL 加载的 LSA 进程。 当没有签名的 SSP DLL 试图设置注册表键 HKLMNTFile Execution Options.exe 的 AuditLevel = 8, 使其加载到 LSA 中时,Windows 8.1 和 Windows Server 2012 R2 可能会生成事件。