分类目录应急响应

在 Active Directory 域环境中，LDAP 是一个再正常不过的存在。无论是用户登录、计算机加入域，还是服务账户访问资源，底层几乎都绕不开 LDAP 查询。从运维视角看，这是“基础设施的必要操作”；但从攻击者视角看，LDAP 则是快速摸清整个域环境结构的捷径。

在 Active Directory 环境中，Kerberoasting 是一种非常经典、也非常“务实”的攻击方式。攻击者并不需要管理员权限，只要拥有一个普通的域用户账号，就可以对配置不当的服务账号发起攻击。

在 Active Directory 环境中，AS-REP Roasting 是一种针对 禁用了 Kerberos 预身份验证（Pre-Authentication）账户 的攻击手法。攻击者并不需要获取用户的明文密码，只要目标账户关闭了预身份验证，就可以直接向域控制器请求 Kerberos 的 TGT（Ticket Granting Ticket），并将返回的数据用于离线密码破解。

整理应急响应中经常会用到的Audit审计命令，方便排查使用。

监控Linux主机发起DNS请求的进程是应急响应中经常遇到的一个问题。虽然可以通过systemtap或者ebpf的方式实现，但是在实战场景下两者的安装都非常麻烦。

1. ebpf不支持低版本的内核，升级内核又需要重启，真实场景下不太可能实现。并且大部分内核只支持源码编译安装ebpf，过程非常繁琐。
2. systemtap必须安装当前指定内核版本的debuginfo，依赖多个包，动则几百M上G。镜像源都是国外的，在客户现场下载非常耗时。

监控发起DNS请求原本只是非常小的需求，用ebpf和systemtap简直是大材小用。我一直在思考有没有更轻量通用的解决方案。

KAPE(Kroll Artifact Parser and Extractor)用于获取和解析 Windows 取证所需的数据源。KAPE 是一款功能强大的免费软件分类程序，它将针对设备或存储位置，自定义获取重要的取证工件，并在几分钟内对其进行解析。由于速度快，KAPE 允许取证人员优先找到对他们的案件最关键的系统。此外，在数据采集过程中，可以查看 KAPE 生成的数据以获取线索、构建时间表等。

Windows中有许多没有默认开启的事件日志，比如进程创建、DNS查询、文件监控、网络连接等。开启这些高级事件的日志，有助于应急响应中狩猎更多的威胁。