Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1547 , T1547.001 , T1547.002 , T1547.003 , T1547.004 , T1547.005 , T1547.006 , T1547.007 , T1547.008 , T1547.009 , T1547.010 , T1547.012 , T1547.013 , T1547.014 , T1547.015
Злоумышленники могут использовать провайдеры поддержки безопасности (SSP) для выполнения библиотек DLL при загрузке системы. Библиотеки Windows SSP DLL загружаются в процесс Local Security Authority (LSA) при запуске системы. После загрузки в LSA библиотеки SSP DLL получают доступ к зашифрованным и открытым паролям, хранящимся в Windows, таким как пароль домена любого вошедшего в систему пользователя или PIN-коды смарт-карт.
Конфигурация SSP хранится в двух ключах реестра: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages и HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages.Злоумышленник может изменить эти ключи реестра, чтобы добавить новые SSP, которые будут загружены при следующей загрузке системы или при вызове функции Windows API AddSecurityPackage.(Цит. по: Graeber 2014)
https://attack.mitre.org/techniques/T1547/005
Визуализация смежных техник для T1547.005
| № | Техника |
|---|
