Kerberos

exploiting-kerberoasting-with-impacket unterstützt autorisierte Tester bei der Planung von Kerberoasting mit Impacket GetUserSPNs.py – von der SPN-Aufzählung über das Extrahieren von TGS-Tickets bis hin zu Offline-Cracking und erkennungsbewusster Berichterstattung. Nutzen Sie diesen exploiting-kerberoasting-with-impacket-Leitfaden für Penetrationstests mit klarem Installations- und Nutzungskontext.

Die Fähigkeit „extracting-credentials-from-memory-dump“ unterstützt die Analyse von Windows-Memory-Dumps auf NTLM-Hashes, LSA-Secrets, Kerberos-Material und Tokens mithilfe von Workflows mit Volatility 3 und pypykatz. Sie ist für Digital Forensics und Incident Response gedacht, wenn Sie aus einem validen Dump belastbare Beweise, Auswirkungen auf Konten und Hinweise zur Remediation benötigen.

Das Skill „exploiting-nopac-cve-2021-42278-42287“ ist ein praxisnaher Leitfaden zur Bewertung der noPac-Kette (CVE-2021-42278 und CVE-2021-42287) in Active Directory. Es unterstützt autorisierte Red-Team-Mitglieder und Nutzer von Security Audits dabei, Voraussetzungen zu prüfen, Workflow-Dateien zu sichten und die Ausnutzbarkeit mit weniger Rätselraten zu dokumentieren.

Die Skill „exploiting-constrained-delegation-abuse“ führt durch autorisierte Active-Directory-Tests zum Missbrauch von Kerberos-gebundener Delegation. Sie deckt Enumeration, S4U2self- und S4U2proxy-Ticket-Anfragen sowie praktische Wege zu lateral movement oder Privilege Escalation ab. Verwende sie, wenn du einen wiederholbaren Leitfaden für Penetrationstests brauchst und keinen allgemeinen Kerberos-Überblick.

detecting-pass-the-ticket-attacks hilft dabei, Kerberos-Pass-the-Ticket-Aktivitäten zu erkennen, indem Windows Security Event IDs 4768, 4769 und 4771 korreliert werden. Nutzen Sie es für Threat Hunting in Splunk oder Elastic, um Ticket-Reuse, RC4-Downgrades und ungewöhnliche TGS-Volumina mit praxisnahen Queries und Feldhinweisen zu identifizieren.

Die Skill-Lösung detecting-kerberoasting-attacks unterstützt bei der Jagd auf Kerberoasting, indem sie verdächtige Kerberos-TGS-Anfragen, schwache Ticket-Verschlüsselung und typische Muster von Service-Accounts erkennt. Sie eignet sich für SIEM-, EDR- und EVTX-Analysen sowie für Threat-Modeling-Workflows mit praxistauglichen Detection-Templates und Hinweisen zum Tuning.

detecting-golden-ticket-forgery erkennt die Fälschung von Kerberos Golden Tickets durch die Analyse von Windows Event ID 4769, der Nutzung von RC4-Downgrades (0x17), untypischen Ticket-Laufzeiten und krbtgt-Anomalien in Splunk und Elastic. Entwickelt für Security Audits, Incident Investigations und Threat Hunting mit praxisnahen Hinweisen zur Erkennung.

deploying-active-directory-honeytokens hilft Verteidigern dabei, Active Directory Honeytokens für Security-Audit-Aufgaben zu planen und zu erzeugen – darunter gefälschte privilegierte Konten, gefälschte SPNs zur Erkennung von Kerberoasting, Lockvogel-GPO-Fallen und täuschende BloodHound-Pfade. Es verbindet installierungsorientierte Hinweise mit Skripten und Telemetrie-Signalen für eine praxisnahe Bereitstellung und Prüfung.

conducting-pass-the-ticket-attack ist eine Skill für Security Audits und Red-Team-Arbeiten zum Planen und Dokumentieren von Pass-the-Ticket-Workflows. Sie hilft dabei, Kerberos-Tickets zu prüfen, Erkennungssignale zuzuordnen und mit der conducting-pass-the-ticket-attack Skill einen strukturierten Ablauf für Validierung oder Bericht zu erstellen.