Mimikatz

extracting-credentials-from-memory-dump 스킬은 Volatility 3와 pypykatz 워크플로를 사용해 Windows 메모리 덤프에서 NTLM 해시, LSA 비밀값, Kerberos 자료, 토큰을 분석하는 데 도움을 줍니다. 유효한 덤프를 바탕으로 방어 가능한 증거, 계정 영향 범위, 복구 및 완화 가이드를 확보해야 하는 디지털 포렌식과 사고 대응 상황에 적합합니다.

detecting-mimikatz-execution-patterns는 명령줄 패턴, LSASS 접근 신호, 바이너리 지표, 메모리 아티팩트를 활용해 Mimikatz 실행을 탐지하도록 돕습니다. Security Audit, 헌팅, 인시던트 대응에 이 detecting-mimikatz-execution-patterns 스킬을 설치해 템플릿, 참고 자료, 워크플로 가이드를 활용하세요.

detecting-golden-ticket-forgery는 Windows 이벤트 ID 4769, RC4 다운그레이드 사용(0x17), 비정상적인 티켓 수명, 그리고 Splunk와 Elastic에서의 krbtgt 이상 징후를 분석해 Kerberos Golden Ticket 위조를 탐지합니다. Security Audit, 사고 조사, 위협 헌팅을 위해 실용적인 탐지 가이드를 제공합니다.

detecting-credential-dumping-techniques 스킬은 Sysmon Event ID 10, Windows Security 로그, 그리고 SIEM 상관관계 규칙을 사용해 LSASS 접근, SAM 내보내기, NTDS.dit 탈취, comsvcs.dll MiniDump 악용을 탐지하는 데 도움을 줍니다. 위협 헌팅, 탐지 엔지니어링, Security Audit 워크플로우에 맞춰 설계되었습니다.

deploying-active-directory-honeytokens는 보안 감사 업무를 위해 Active Directory 허니토큰을 계획하고 생성하는 데 도움을 줍니다. 여기에는 가짜 특권 계정, Kerberoasting 탐지를 위한 가짜 SPN, 미끼 GPO 트랩, 기만적인 BloodHound 경로가 포함됩니다. 설치 중심의 안내와 스크립트, 텔레메트리 단서를 함께 제공해 실제 배포와 검토에 바로 활용할 수 있습니다.

conducting-pass-the-ticket-attack은 Pass-the-Ticket 워크플로를 계획하고 문서화하기 위한 보안 감사 및 레드팀 스킬입니다. Kerberos 티켓을 검토하고, 탐지 신호를 매핑하며, conducting-pass-the-ticket-attack 스킬을 사용해 구조화된 검증 또는 보고 흐름을 만드는 데 도움이 됩니다.

허가받은 Active Directory 보안 감사 작업을 위한 DCSync를 활용한 도메인 지속성 가이드입니다. 포함된 스크립트, 참고 자료, 보고서 템플릿을 사용해 DCSync 권한, KRBTGT 노출, Golden Ticket 위험, 그리고 대응 절차를 점검하는 데 필요한 설치, 사용법, 워크플로 노트를 확인할 수 있습니다.