Credential Theft

EDR、Sysmon、Windowsイベントの相関を使って T1003 の credential dumping を検知するための detecting-t1003-credential-dumping-with-edr スキルです。LSASS、SAM、NTDS.dit、LSA secrets、キャッシュされた認証情報のダンプを見つけるための脅威ハンティングに使えます。アラートの妥当性確認、インシデントの範囲特定、実用的なワークフロー指針による誤検知の低減に役立ちます。

detecting-dcsync-attack-in-active-directory は、Active DirectoryにおけるDCSync悪用を見つけるための脅威ハンティング用スキルです。4662イベント、レプリケーションGUID、正規のDCアカウントを相関させて調査します。Splunk、KQL、解析スクリプトを使って、資格情報窃取の兆候を確認・トリアージ・記録するのに役立ちます。

Malware Analysis向けのextracting-config-from-agent-tesla-ratスキル。Agent Teslaの.NET config、SMTP/FTP/Telegram認証情報、keylogger設定、C2エンドポイントを、再現しやすいワークフローで抽出できます。