文章总结： 文档介绍了LSAWhisperer的CobaltStrikeBOF移植版，该工具利用LSA客户端接口调用LsaCallAuthenticationPackageAPI与身份验证包通信。其核心亮点在于无需打开LSASS进程句柄、读取内存或注入代码，即可在启用PPL和CredentialGuard的环境下提取DPAPI密钥及云端SSO令牌。该技术为红队演练提供了一种绕过传统内存保护机制、获取凭证的新型攻击路径，具有极高的实战价值。 综合评分： 87 文章分类： 红队,安全工具,内网渗透,免杀,渗透测试

LSA Whisperer BOF 如何在不触及 LSASS 的情况下绕过 PPL 和凭证保护

TtTeam

2026年3月5日 15:35 中国香港

LSA Whisperer BOF

LSA Whisperer的 Cobalt Strike Beacon 对象文件 (BOF) 移植版  ——该工具通过 LSA 不受信任/受信任客户端接口直接与Windows身份验证包通信，即使启用了 PPL 和 Credential Guard，也不会触及 LSASS 进程内存。

Evan McBroom （SpecterOps）开发的 LSA Whisperer 工具  证明，用户可以通过合法的 API 调用恢复 DPAPI 凭证密钥、提取云端 SSO 令牌并与 Kerberos 进行交互 LsaCallAuthenticationPackage 。无需内存读取、进程注或获取 LSASS 句柄。联网

本项目将这些功能作为 BOF 引入 C2 服务器，用于红队演练。它不会打开 lsass 进程的句柄，所有调用都通过 LsaCallAuthenticationPackage（用于与 lsass 通信的官方客户端 API）进行，因此 lsass 上的 PPL 完全无关紧要。PPL 的作用是保护 lsass 进程免遭打开、读取和注入。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《LSA Whisperer BOF 如何在不触及 LSASS 的情况下绕过 PPL 和凭证保护》