本文的内容描述了一种方法，通过该方法，攻击者可以在拥有了域管理级别权限的5分钟后，就可以持续的对Active Directory进行管理访问。我在拉斯维加斯举办的DEF CON 23（2015年）峰会上介绍了这种AD持久性的方法。

安全支持提供程序接口（SSPI）可以轻松的扩展Windows的验证方法，从而可以添加新的安全支持提供程序（SSP），而无需额外的编码。

一些标准的Windows认证SSP：

NTLM

Kerberos

Negotiate

安全通道（Schannel）

摘要

凭证（CredSSP）

Mimikatz支持DLL 和注册表（场景1）以及在内存中更新SSP（场景2）。

场景1：将mimilib.dll复制到与LSASS（c: windowssystem32）相同的位置，并使用SSP DLL名称更新安全软件包注册表项（HKEY_LOCAL_MACHINE  System  CurrentControlSet  Control  Lsa  Security Packages ）。

场景2：使用mimikatz在内存中用新的SSP对LSASS打补丁，此操作无需重新启动（重新启动会清除Mimikatz 的 memssp 注入）。

这些场景中的任何一种都可以将新的SSP添加到Windows系统中。mimikatz中包含的SSP提供对本地认证凭据的自动记录功能。包括计算机帐户密码，运行服务的凭证和任何登录的帐户。

默认情况下，这些数据会记录到一个与dll文件位于相同的位置的日志文件中，尽管可以将该数据记录在系统的其他位置。如果当前的Windows系统是提供对已验证用户的访问的域控制器，那么备用的记录的日志文件可以在SYSVOL中找到。

一个典型的组策略模板文件可能看起来是这样的。

当该路径作为Mimikatz SSP记录凭证的日志文件的位置时，这个假的组合策略模板文件看起来是这样的。

检测方法

1. 监控控制安全软件包的LSA注册表项：HKEY_LOCAL_MACHINE  System  CurrentControlSet  Control  Lsa  Security Packages

2. 监控在域控制器上运行cmd.exe时执行的命令。

3. 监控在域控制器上运行PowerShell时执行的命令。

缓解措施

保护Active Directory的管理员权限。