LSASS 内存

对手可能会尝试访问本地安全机构子系统服务 (LSASS) 的进程内存中存储的凭据材料。用户登录后，系统会在 LSASS 进程内存中生成并存储各种凭据材料。管理员用户或 SYSTEM 可以收集这些凭据材料，并使用它们通过使用替代身份验证材料进行横向移动。 除了内存中的技术外，还可以从目标主机转储 LSASS 进程内存，并在本地系统上进行分析。 例如，在目标主机上使用 procdump： * procdump -ma lsass.exe lsass_dump 在本地，可以运行 mimikatz： * sekurlsa::Minidump lsassdump.dmp * sekurlsa::logonPasswords 也可以使用内置的 Windows 工具，如 comsvcs.dll： * rundll32.exe C:\Windows\System32\comsvcs.dll MiniDump PID lsass.dmp full(引用: Volexity Exchange Marauder March 2021)(引用: Symantec Attacks Against Government Sector) 类似于图像文件执行选项注入，可以滥用静默进程退出机制，通过 Windows 错误报告 (WerFault.exe) 创建 lsass.exe 的内存转储。(引用: Deep Instinct LSASS) Windows 安全支持提供程序 (SSP) DLL 在系统启动时加载到 LSASS 进程中。一旦加载到 LSA 中，SSP DLL 就可以访问存储在 Windows 中的加密和明文密码，例如任何登录用户的域密码或智能卡 PIN。SSP 配置存储在两个注册表项中：HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages 和 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages。对手可能会修改这些注册表项以添加新的 SSP，这些 SSP 将在系统下次启动时加载，或者在调用 AddSecurityPackage Windows API 函数时加载。(引用: Graeber 2014) 以下 SSP 可用于访问凭据： * Msv：交互式登录、批处理登录和服务登录通过 MSV 身份验证包完成。 * Wdigest：摘要身份验证协议设计用于超文本传输协议 (HTTP) 和简单身份验证安全层 (SASL) 交换。(引用: TechNet Blogs Credential Protection) * Kerberos：首选用于 Windows 2000 及更高版本中的客户端-服务器域身份验证。 * CredSSP：为远程桌面服务提供单点登录和网络级别身份验证。(引用: TechNet Blogs Credential Protection)