Поставщик поддержки безопасности (Security Support Providers, SSP) в Windows - это динамические библиотеки, предоставляющие услуги аутентификации и безопасности, которые обычно загружаются в процесс Local Security Authority (LSA). Они выполняют такие важные задачи, как проверка подлинности пароля. Злоумышленники используют SSP для загрузки вредоносных библиотек DLL, используя их неотъемлемую роль и привилегии для сохранения и доступа к конфиденциальным данным, таким как открытые и зашифрованные пароли, что часто приводит к повышению привилегий.
Использование злоумышленниками Поставщика поддержки безопасности (SSP)
Злоумышленники часто используют провайдеров (поставщиков) поддержки безопасности Windows (SSP) для получения постоянного доступа и повышения привилегий. Внедряя вредоносные DLL в процесс LSA, они используют центральную роль SSP в аутентификации. Для этого часто приходится изменять ключи реестра, например следующие, чтобы контролировать загрузку SSP при запуске.
| 1 | HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages |
Например, с помощью следующей команды они могут добавить вредоносный SSP.
| 1 | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages" /v "MyMaliciousSSP" /d "C:\Path\To\Malicious.dll" /f |
Такие инструменты, как PowerSploit или Mimikatz, могут упростить этот процесс, предлагая такие функции, как Install-SSP и Invoke-Mimikatz для установки SSP и регистрации событий аутентификации. Кроме того, такие фреймворки, как Empire, могут перечислять существующие SSP, предоставляя злоумышленникам полный набор инструментов для манипулирования этими критическими компонентами.
Например, как было раскрыто CISA, северокорейский троянец HOPLIGHT использовал технику манипулирования SSP, нацелившись на LSASS в Windows. HOPLIGHT специально модифицировал ключ реестра Security Packages в SYSTEM\CurrentControlSet\Control\Lsa, чтобы троянец мог внедрить свой вредоносный код в процесс аутентификации, выполняемый LSASS. Таким образом, HOPLIGHT получал возможность перехватывать и манипулировать конфиденциальными данными безопасности, такими как пароли, и потенциально повышать свои привилегии в системе.
Такой изощренный подход не только обеспечил постоянный доступ к взломанной системе, но и существенно нарушил целостность ее защиты, продемонстрировав тем самым передовые возможности киберугроз, спонсируемых государством.