凭证窃取攻击测试 dump lsass 智量无拦截

显示全部楼层 · 发表于 2022-6-22 16:22:48

swizzer 发表于 2022-6-22 16:17
2.5和3.07的测试环境如下

仅安装有智量。WD处于关闭状态。

很好奇的是明明有PPL这种东西可以有效防御，为什么微软默认不打开………，是开了有啥兼容性问题么……

显示全部楼层 · 发表于 2022-6-22 16:37:08

00006666 发表于 2022-6-22 16:22
很好奇的是明明有PPL这种东西可以有效防御，为什么微软默认不打开………，是开了有啥兼容性问题么……

不好说···连Direct Syscall这种敏感技术还有合法程序在用，读取lsass内存估计也会有合法程序去做

显示全部楼层 · 发表于 2022-6-22 16:42:47

swizzer 发表于 2022-6-22 16:37
不好说···连Direct Syscall这种敏感技术还有合法程序在用，读取lsass内存估计也会有合法程序去做

话说智量进程有没有带PPL保护 ~~虽然意义不大~~

显示全部楼层 · 发表于 2022-6-22 16:54:09

00006666 发表于 2022-6-22 16:42
话说智量进程有没有带PPL保护 ~~虽然意义不大~~

当然没有

显示全部楼层 · 发表于 2022-6-22 17:09:06

00006666 发表于 2022-6-22 16:22
很好奇的是明明有PPL这种东西可以有效防御，为什么微软默认不打开………，是开了有啥兼容性问题么……

请问怎么开启这个PPL呢

显示全部楼层 · 发表于 2022-6-23 00:26:44

qq340496302 发表于 2022-6-22 17:09
请问怎么开启这个PPL呢

注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 下创建一个叫 RunAsPPL 的 DWORD 键，值设置为1，然后重启。

显示全部楼层 · 发表于 2022-6-23 00:44:27

00006666 发表于 2022-6-22 16:22
很好奇的是明明有PPL这种东西可以有效防御，为什么微软默认不打开………，是开了有啥兼容性问题么……

有默认不开启的，有看似开启实则并没有的，还有开启不了的，更有关闭不上的。更别说，还有Bug，比如这个月的安全更新就是一个典型例子，所以开与不开的也别抱太大希望。

显示全部楼层 · 发表于 2022-6-23 00:52:13

yexo 发表于 2022-6-23 00:44
有默认不开启的，有看似开启实则并没有的，还有开启不了的，更有关闭不上的。更别说，还有Bug，比如这个 ...

开了也会被绕过，比如PyPyKatz

显示全部楼层 · 发表于 2022-6-23 01:09:33

00006666 发表于 2022-6-23 00:52
开了也会被绕过，比如PyPyKatz

是的，刚才我就想编辑一下帖子补一句，那个PPL开不开的，都防不住窃取，因为方法和工具都不止一种，结果论坛突然因为什么CDN死活打不开了。

显示全部楼层 · 发表于 2022-6-24 23:01:20

智量官方发表于 2022-6-19 08:29
感谢测试，我们会分析解决。另外LSASS.exe在Win8后是受PPL保护进程，其它程序是无法读取内存的，楼主是自 ...

只有运行Windows RT的设备的LSASS进程是受保护进程，其他版本的Windows OS需要手动设置一个注册表值才可以启用PPL。
https://docs.microsoft.com/zh-cn/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection

[讨论] 凭证窃取攻击测试 dump lsass 智量无拦截