恶意SSP注入收集密码

SSP 安全服务提供者，是微软提供的与安全有关的函数接口，用户可根据自己的需求调用 SSP 接口实现高度自定义的身份验证等安全功能。攻击者注入恶意的 SSP 接口覆盖微软默认的某些安全功能，导致用户一旦进行身份验证，恶意的 SSP 将保存用户输入明文密码。

mimikatz.exe "privilege::debug" "misc::memssp" "exit"

当用户登录时，恶意 ssp 触发，将明文密码写入 C:\Windows\System32\mimilsa.txt。

注册表添加 SSP

将恶意 SSP 添加到注册表，即使目标重启，机器仍然使用我们恶意的 SSP。

将 mimikatz 中的 mimilib.dll 文件放到系统的 C:\Windows\System32\ 目录下。 HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa 的 Security Packages 项写入值 "mimilib.dll" 。 系统重启后，登录密码保存在 C:\Windows\System32\kiwissp.log 下。