Kerberos

exploiting-kerberoasting-with-impacket는 권한이 있는 테스터가 Impacket의 GetUserSPNs.py를 사용해 Kerberoasting을 계획할 수 있도록 돕습니다. SPN 열거부터 TGS 티켓 추출, 오프라인 크래킹, 탐지 고려 보고까지 한 흐름으로 안내합니다. 이 exploiting-kerberoasting-with-impacket 가이드는 명확한 설치 및 사용 맥락이 필요한 침투 테스트 워크플로에 적합합니다.

extracting-credentials-from-memory-dump 스킬은 Volatility 3와 pypykatz 워크플로를 사용해 Windows 메모리 덤프에서 NTLM 해시, LSA 비밀값, Kerberos 자료, 토큰을 분석하는 데 도움을 줍니다. 유효한 덤프를 바탕으로 방어 가능한 증거, 계정 영향 범위, 복구 및 완화 가이드를 확보해야 하는 디지털 포렌식과 사고 대응 상황에 적합합니다.

exploiting-nopac-cve-2021-42278-42287 skill은 Active Directory에서 noPac 체인(CVE-2021-42278 및 CVE-2021-42287)을 점검할 때 참고하는 실용 가이드입니다. 승인된 레드팀과 Security Audit 사용자가 사전 조건을 확인하고, 워크플로 파일을 검토하며, 추측을 줄이면서 익스플로잇 가능성을 문서화하는 데 도움을 줍니다.

exploiting-constrained-delegation-abuse 스킬은 Kerberos 제약 위임(constrained delegation) 악용에 대한 Active Directory의 허가된 테스트를 돕는 안내서입니다. 열거, S4U2self 및 S4U2proxy 티켓 요청, 그리고 측면 이동이나 권한 상승으로 이어질 수 있는 실무 경로를 다룹니다. 일반적인 Kerberos 개요가 아니라, 반복 가능한 침투 테스트 가이드가 필요할 때 적합합니다.

detecting-pass-the-ticket-attacks는 Windows 보안 이벤트 ID 4768, 4769, 4771을 상호 연관해 Kerberos Pass-the-Ticket 활동을 탐지하도록 돕습니다. Splunk 또는 Elastic에서 위협 헌팅에 사용해 티켓 재사용, RC4 다운그레이드, 비정상적인 TGS 증가를 실용적인 쿼리와 필드 안내로 찾아낼 수 있습니다.

detecting-kerberoasting-attacks skill은 의심스러운 Kerberos TGS 요청, 약한 티켓 암호화, 서비스 계정 패턴을 찾아 Kerberoasting을 헌팅하는 데 도움을 줍니다. SIEM, EDR, EVTX, Threat Modeling 워크플로에서 실용적인 탐지 템플릿과 튜닝 가이드를 활용할 때 적합합니다.

detecting-golden-ticket-forgery는 Windows 이벤트 ID 4769, RC4 다운그레이드 사용(0x17), 비정상적인 티켓 수명, 그리고 Splunk와 Elastic에서의 krbtgt 이상 징후를 분석해 Kerberos Golden Ticket 위조를 탐지합니다. Security Audit, 사고 조사, 위협 헌팅을 위해 실용적인 탐지 가이드를 제공합니다.

deploying-active-directory-honeytokens는 보안 감사 업무를 위해 Active Directory 허니토큰을 계획하고 생성하는 데 도움을 줍니다. 여기에는 가짜 특권 계정, Kerberoasting 탐지를 위한 가짜 SPN, 미끼 GPO 트랩, 기만적인 BloodHound 경로가 포함됩니다. 설치 중심의 안내와 스크립트, 텔레메트리 단서를 함께 제공해 실제 배포와 검토에 바로 활용할 수 있습니다.

conducting-pass-the-ticket-attack은 Pass-the-Ticket 워크플로를 계획하고 문서화하기 위한 보안 감사 및 레드팀 스킬입니다. Kerberos 티켓을 검토하고, 탐지 신호를 매핑하며, conducting-pass-the-ticket-attack 스킬을 사용해 구조화된 검증 또는 보고 흐름을 만드는 데 도움이 됩니다.