检测
分析
启动或登录自动启动执行:安全支持提供者
描述
对手可能滥用安全支持提供者(SSPs)在系统启动时执行dll。Windows SSP dll加载到本地安全机构(LSA)过程在系统启动。一旦加载到LSA, SSP dll可以访问加密和明文密码存储在Windows中,如任何登录用户的域密码或智能卡别针。
产品、传感器和依赖关系
| 产品 | 依赖关系 | 数据源 | 访问所需的 | 协议 | 收集的数据 | 笔记 |
|---|---|---|---|---|---|---|
| Tenable.io | 先进的网络扫描 | Windows机器 | 验证扫描 | SMB | LSA保护状态 | 插件ID: 159929 |
引用
攻击路径技术细节
框架:主教法冠ATT&CK
技术:启动或登录自动启动执行
Sub-Technique:身份验证包
平台:窗户
产品要求:Tenable.io
站得住脚的发布日期:2022年第二季度