Mimikatz

La skill extracting-credentials-from-memory-dump ayuda a analizar volcados de memoria de Windows para extraer hashes NTLM, secretos de LSA, material de Kerberos y tokens mediante flujos de trabajo con Volatility 3 y pypykatz. Está pensada para análisis forense digital y respuesta a incidentes cuando necesitas evidencia sólida, evaluar el impacto en cuentas y obtener orientación de remediación a partir de un volcado válido.

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

detecting-golden-ticket-forgery detecta la falsificación de Kerberos Golden Ticket mediante el análisis del Event ID 4769 de Windows, el uso de degradación a RC4 (0x17), duraciones anómalas de los tickets y anomalías de krbtgt en Splunk y Elastic. Está pensado para auditorías de seguridad, investigación de incidentes y threat hunting, con orientación práctica para la detección.

La skill detecting-credential-dumping-techniques te ayuda a detectar acceso a LSASS, exportación de SAM, robo de NTDS.dit y abuso de comsvcs.dll MiniDump mediante el Event ID 10 de Sysmon, registros de Windows Security y reglas de correlación en SIEM. Está pensada para threat hunting, ingeniería de detección y flujos de trabajo de Security Audit.

deploying-active-directory-honeytokens ayuda a los defensores a planificar y generar honeytokens de Active Directory para trabajos de auditoría de seguridad, incluidos cuentas privilegiadas falsas, SPN falsos para detectar Kerberoasting, trampas de GPO señuelo y rutas engañosas en BloodHound. Combina una guía orientada a la instalación con scripts y señales de telemetría para facilitar una implementación y revisión prácticas.

conducting-pass-the-ticket-attack es una habilidad de Auditoría de Seguridad y red team para planificar y documentar flujos de trabajo de Pass-the-Ticket. Te ayuda a revisar tickets Kerberos, mapear señales de detección y generar un flujo estructurado de validación o informe usando la habilidad conducting-pass-the-ticket-attack.

Guía de conducting-domain-persistence-with-dcsync para trabajos autorizados de auditoría de seguridad en Active Directory. Aprende notas de instalación, uso y flujo de trabajo para evaluar permisos de DCSync, exposición de KRBTGT, riesgo de Golden Ticket y pasos de remediación con los scripts, referencias y plantilla de informe incluidos.