ritikanathani/Active-Directory-Attack-Investigation

# Active-Directory-攻击调查 对 EmberForge Studios 关键安全漏洞的事件响应调查，该公司未发布的游戏源代码被泄露到地下论坛。 EmberForge：源代码泄露 = Active Directory 攻击调查 本项目记录了对 EmberForge Studios 关键安全漏洞的完整事件响应调查，该公司未发布的游戏源代码被泄露到地下论坛。 分析追踪了攻击者在 3 台主机 Windows 域环境（工作站 → 服务器 → 域控制器）中的活动，使用 Sysmon 和 Windows Security 日志在 Microsoft Sentinel 中进行分析。调查遵循 MITRE ATT&CK 杀伤链，涵盖初始访问、执行、横向移动、持久化和数据泄露。 主要发现包括： 通过 Volume Shadow Copy 提取 NTDS.dit 进行凭证访问 使用 SMB 和远程执行进行横向移动 通过计划任务和远程访问工具（AnyDesk）建立持久化 使用云同步工具（rclone）进行数据泄露 📄 详细报告已附上，内容包括： 完整攻击时间线 使用的技术和工具 检测缺口和建议

标签：Active Directory安全, AnyDesk, DAST, HTTP工具, kill chain, Microsoft Sentinel, NTDS.dit, PE 加载器, rclone, SMB协议, Sysmon, Windows域环境, 云同步工具, 凭证访问, 卷影复制, 安全监测, 恶意软件分析, 数字取证, 数据外泄, 数据泄露调查, 无线安全, 横向移动, 源代码泄露, 终端检测与响应EDR, 编程规范, 网络安全, 网络安全审计, 自动化脚本, 隐私保护