Mimikatz

A skill extracting-credentials-from-memory-dump ajuda a analisar dumps de memória do Windows em busca de hashes NTLM, segredos LSA, material Kerberos e tokens, usando fluxos de trabalho com Volatility 3 e pypykatz. Ela foi feita para Digital Forensics e resposta a incidentes quando você precisa de evidências defensáveis, avaliar o impacto em contas e orientar a remediação a partir de um dump válido.

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

A skill detecting-golden-ticket-forgery identifica falsificação de Kerberos Golden Ticket analisando o Windows Event ID 4769, uso de downgrade para RC4 (0x17), tempos de vida anormais dos tickets e anomalias em krbtgt no Splunk e no Elastic. Foi criada para Security Audit, investigação de incidentes e threat hunting, com orientação prática de detecção.

O skill detecting-credential-dumping-techniques ajuda você a detectar acesso ao LSASS, exportação do SAM, roubo do NTDS.dit e abuso do comsvcs.dll MiniDump usando o Sysmon Event ID 10, logs de Segurança do Windows e regras de correlação em SIEM. Ele foi criado para threat hunting, engineering de detecção e fluxos de trabalho de Security Audit.

deploying-active-directory-honeytokens ajuda defensores a planejar e gerar honeytokens de Active Directory para trabalhos de Auditoria de Segurança, incluindo contas privilegiadas falsas, SPNs falsos para detecção de Kerberoasting, armadilhas com GPOs isca e caminhos enganosos no BloodHound. Ele combina orientação voltada à instalação com scripts e sinais de telemetria para implantação e revisão práticas.

conducting-pass-the-ticket-attack é uma skill de Auditoria de Segurança e red team para planejar e documentar fluxos de trabalho de Pass-the-Ticket. Ela ajuda você a revisar tickets Kerberos, mapear sinais de detecção e produzir um fluxo estruturado de validação ou relatório usando a skill conducting-pass-the-ticket-attack.

Guia de conducting-domain-persistence-with-dcsync para trabalho autorizado de auditoria de segurança no Active Directory. Aprenda a instalar, usar e seguir o fluxo para avaliar permissões de DCSync, exposição do KRBTGT, risco de Golden Ticket e etapas de remediação com os scripts, referências e modelo de relatório incluídos.