작성자 mukul975
EDR, Sysmon, Windows 이벤트 상관분석으로 LSASS, SAM, NTDS.dit, LSA 비밀, 캐시된 자격 증명 덤핑을 탐지하는 detecting-t1003-credential-dumping-with-edr 스킬입니다. 경보 검증, 사고 범위 파악, 오탐 감소에 도움이 되는 실무형 워크플로 가이드를 제공합니다.
작성자 mukul975
detecting-dcsync-attack-in-active-directory는 Active Directory에서 DCSync 악용을 찾아내기 위한 위협 헌팅 skill입니다. 4662 이벤트, 복제 GUID, 정상 DC 계정을 상관 분석해 의심 활동을 식별합니다. Splunk, KQL, 파싱 스크립트를 활용해 자격 증명 탈취 활동을 확인, 분류, 문서화하는 데 사용할 수 있습니다.
작성자 mukul975
악성코드 분석용 extracting-config-from-agent-tesla-rat 스킬로, Agent Tesla .NET 설정값과 SMTP/FTP/Telegram 자격 증명, 키로거 설정, C2 엔드포인트를 반복 가능한 워크플로 가이드와 함께 추출합니다.
