分类目录应急响应

在云上应急响应和安全运营场景中，AWS S3 几乎是绕不开的核心基础设施之一。

Amazon S3（Simple Storage Service）是 AWS 提供的对象存储服务，主打高可用、高可靠、可无限扩展。从企业日志、业务数据，到备份、镜像、取证文件，很多关键数据最终都会落在 S3 上。

也正因为它“什么都能存”，一旦配置不当，S3 也是云上数据泄露、勒索攻击、取证对抗中最常被利用的点之一。

在实际的应急响应过程中，很多分析工作都会优先聚焦在主机进程、网络流量或恶意样本本身，但浏览器往往是攻击链中最容易被忽视、却信息量极大的一个环节。

浏览器取证（Browser Forensics）通过还原用户的浏览行为，分析人员可以在多种安全事件中找到关键证据，例如内部人员违规、钓鱼攻击、恶意网站访问、数据外泄等场景。

在部分真实案例中，攻击的“起点”并不是一个可疑的可执行文件，而是一次看似正常的网页访问。

在 Active Directory 环境中，NTLM Relay 是一种非常经典、同时也极具现实威胁性的横向移动技术。它并不依赖漏洞利用，而是滥用了 NTLM 认证协议本身的设计缺陷。在实际应急响应中，这类攻击往往隐藏在“看似正常的登录行为”之中，如果没有针对性的检测思路，很容易被忽略。

在企业级 Windows 域环境中，Kerberos 是最核心的身份认证机制之一。而一旦 Kerberos 的根基被攻破，攻击者就可能获得对整个域的“无限通行证”——这正是 Golden Ticket（黄金票据）攻击 的本质。

在 Active Directory 环境中，NTDS.dit 是最核心、也是最危险的一份数据。一旦这份文件落入攻击者手中，基本可以视为整个域已经失守。在应急响应过程中，如果我们忽略了对 NTDS 数据库转储行为的监控，往往意味着攻击者离拿下域控不远了。

在 Active Directory 域环境中，LDAP 是一个再正常不过的存在。无论是用户登录、计算机加入域，还是服务账户访问资源，底层几乎都绕不开 LDAP 查询。从运维视角看，这是“基础设施的必要操作”；但从攻击者视角看，LDAP 则是快速摸清整个域环境结构的捷径。

在 Active Directory 环境中，Kerberoasting 是一种非常经典、也非常“务实”的攻击方式。攻击者并不需要管理员权限，只要拥有一个普通的域用户账号，就可以对配置不当的服务账号发起攻击。

在 Active Directory 环境中，AS-REP Roasting 是一种针对 禁用了 Kerberos 预身份验证（Pre-Authentication）账户 的攻击手法。攻击者并不需要获取用户的明文密码，只要目标账户关闭了预身份验证，就可以直接向域控制器请求 Kerberos 的 TGT（Ticket Granting Ticket），并将返回的数据用于离线密码破解。