T1547.005 - Security Support Provider
Description
공격자는 시스템 부팅 시 DLL을 실행하기 위해 보안 지원 공급자(SSP)를 남용할 수 있습니다. Windows SSP DLL은 시스템 시작 시 LSA(로컬 보안 기관) 프로세스에 로드됩니다. LSA에 로드되면 SSP DLL은 로그온한 사용자의 도메인 암호 또는 스마트 카드 PIN과 같이 Windows에 저장된 암호화된 일반 텍스트 암호에 액세스할 수 있습니다.
SSP 구성은 두 개의 레지스트리 키 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages및 에 저장됩니다 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages. 공격자는 새 SSP를 추가하기 위해 이러한 레지스트리 키를 수정할 수 있습니다. 새 SSP는 다음에 시스템이 부팅되거나 AddSecurityPackage Windows API 기능이 호출될 때 로드됩니다. [1]
Test
-환경 : windows 10 admin privilege powershell
(1) 원본 레지스트리 값이다.
(2)Get-ItemProperty를 통해 임의의 ssp_dll을 삽입하였다. default : C:\Windows\System32
(3)임의의 DLL이 잘 들어간 것을 볼 수 있다.
- 간단한 실습이라 악성 SSP DLL 동작확인 못함. (수정예정)
참고문헌 : https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1547.005/T1547.005.md
'Mitre Att&CT - Privilege Escalation > Boot or Logon Autostart Execution' 카테고리의 다른 글
| Time Providers (0) | 2022.05.08 |
|---|---|
| WinLogon Helper DLL (0) | 2022.05.08 |
| Registry Run Keys / Startup Folder (0) | 2022.05.08 |