Selon l’annonce du projet « LSA Whisperer BOF » (port de l’outil LSA Whisperer de SpecterOps), ce module apporte aux C2 des capacités d’accès aux paquets d’authentification Windows via l’API légitime LsaCallAuthenticationPackage, sans lecture mémoire ni handle sur LSASS, y compris lorsque PPL et Credential Guard sont activés.

🔧 Capacités principales par module:

  • MSV1_0: récupération de clés DPAPI (classiques et « strong »), génération de réponses NTLMv1 avec défi choisi.
  • Kerberos: liste des tickets, dump de tickets (blobs .kirbi en base64 avec clés de session), purge sélective par nom de serveur.
  • CloudAP: extraction de cookies SSO (Entra ID/Azure AD, device, AD FS) et informations cloud (statut TGT/DPAPI).

🛠️ Architecture et intégration:

  • Chaque module compile en BOF indépendant, avec code commun inclus à la compilation, sans dépendances runtime. Un script Aggressor et les sources (structures LSA/MSV1_0/Kerberos/CloudAP) sont fournis.

🔒 Privilèges et contexte d’exécution:

  • En utilisateur courant non privilégié: certaines commandes pour la session propre (ex. klist/ssocookie/cloudinfo).
  • En SYSTEM (SeTcbPrivilege): toutes les commandes sur n’importe quel LUID (possibilité de viser des sessions spécifiques). Le LUID peut être omis ou mis à 0 pour la session courante; l’énumération des LUIDs est suggérée via outils externes.

📌 Notes opérationnelles:

  • Credential Guard: les commandes de récupération de clés DPAPI fonctionnent malgré sa présence; la génération NTLMv1 est bloquée par Credential Guard.
  • CloudAP: nécessite un poste joint Entra ID/Azure AD avec session cloud active; non applicable en environnement AD on-prem pur.
  • Purge Kerberos sélective: suppression ciblée par serveur pour limiter l’impact sur la session utilisateur.

Crédits: BOF porté à partir de LSA Whisperer par Evan McBroom (SpecterOps). Références citées: LSA Whisperer, Exploring Credential Guard, nanorobeus, Kerbeus-BOF. Cet article présente un nouvel outil offensif destiné aux engagements red team, en s’appuyant exclusivement sur des appels LsaCallAuthenticationPackage.

IOC(s): Aucun indicateur technique fourni.

TTP(s) observés (description):

  • Interaction avec LSA via LsaCallAuthenticationPackage (sans handle LSASS).
  • Récupération de clés DPAPI (dont « strong ») et génération NTLMv1.
  • Énumération/dump/purge de tickets Kerberos.
  • Extraction de cookies SSO via CloudAP/AAD/AD FS.

🔗 Source originale : https://github.com/dazzyddos/lsawhisper-bof