近年來,網路安全威脅與日俱增,各種惡意軟體和入侵手法層出不窮,為了保護系統的安全,安全研究人員必須不斷開發新的工具以及方法來檢測和應對威脅。LSA Whisperer就是其中一個值得關注的開源工具。
LSA Whisperer是一套專為與身份驗證套件互動而設計的開源工具組合。它能夠透過獨特的消息傳遞協定,與包括cloudap、kerberos、msv1_0、negotiate、pku2u、schannel和cloudap的AzureAD插件在內的多個身份驗證套件進行互動。此外,它也提供了部分或不穩定的支援給livessp、negoexts和安全套件管理器。
LSA Whisperer的主要功能在於直接從本機安全授權子系統服務(LSASS)中恢復多種類型的憑證,而無需訪問其記憶體。在適當的環境下,LSA Whisperer可以恢復Kerberos票證、單一登入Cookie、DPAPI憑證金鑰(用於解密DPAPI保護的用戶資料)和NTLMv1響應(可輕鬆破解為可用的NT雜湊值)。
使用這種方式來恢復Kerberos票證的API雖然已經有文件記載並被其他票證轉儲工具所使用,但LSA Whisperer用於恢復上述所有憑證的方法卻是全新的,因此為防禦產品檢測其活動提供了較少的機會。
LSA Whisperer的開發背景是希望能夠深入瞭解和記錄儘可能多的套件呼叫(package calls),這是一種內部API,供身份驗證套件使用,但卻很少有文件記錄或在微軟外部使用。通過實現一種與這些呼叫互動的工具,研究人員可以識別哪些呼叫對於紅隊評估具有價值。
該工具使用CMake來生成和運行適用於您的平台的構建系統文件,不依賴任何庫管理器,因此可以輕鬆地脫機構建(如果需要的話)。不過,您需要安裝最新的Windows 11 SDK。
總的來說,LSA Whisperer是一款功能強大且具有創新性的開源安全工具。它提供了一種全新的方式來恢復系統中的各種憑證,擴展了研究人員的能力範疇,有助於提高系統安全性評估的深度和廣度。作為一款開源項目,它的發展離不開社區的參與和支持。我相信,隨著更多人的加入,LSA Whisperer將來必將成為網路安全研究領域中一個更加重要的力量。
詳情請看:
LSA Whisperer: Open-source tools for interacting with authentication packages