(1)ADサーバの認証情報を取得する方法、権限昇格の方法

様々な方法があります。
以下の記事には、「NTTのレッドチーム「Team V」の活動実態　「管理者権限はほぼ確実に取れる」」とあり、具体的な例も述べられています。※Domainコントローラを乗っ取らなくてもDomaiAdminを乗っ取ればいい。攻撃者からすると、その方が楽。
https://businessnetwork.jp/article/19442/

たとえば、VPNのログを見たりパケットキャプチャをすると、ログインIDなどの情報がわかると思います。また、企業に所属するユーザ情報は、攻撃者はある程度つかんでいるでしょうし、ユーザ名の命名規則もわかっているようです。ブラックマーケットの情報だったり、設計書の情報が洩れていたり、一般的な命名方法などを使っていることでしょう。パスワードの認証情報ですが、ツールを使うとPCが1000台くらいあれば、数台くらいは一瞬でログインできるみたいです。

そこから、ADにログインしたことのあるPCへの感染を拡大したり、あとは、いろいろな方法があります。
脆弱性を突く方法であったり、Domain Admin権限を持ったユーザのパスワードが、運用向けバッチファイルに直書きされてるなんてこともあったりします。
https://internet.watch.impress.co.jp/docs/news/1049356.html

最近の攻撃者は、まずはEDRを無効化するまたは検知ができない状態にする。（管理コンソールで検知はできるが、だからといって止めることはできない）。

(2)仮想基盤の乗っ取り

ADじゃなくても、脆弱性を突いて、VMなどの仮想基盤を乗っ取るでもいい。VMを乗っ取れば、管理者権限を乗っ取ったようなもの。イメージファイルを抜ければ、アカウント情報は復元できてしまう。 

2.1 CrowdStrike

・Falcon Identity Solution（CrowdStrike Identity Protection）であり、Falcon プラットフォーム上の ID 保護の総称。ITD / ITP / Privileged Access などを包含
・アイデンティティ保護のソリューション
・ADへの攻撃。Kerberosingやパスワードクラックなど
・EDRを入れなくてもいい。入れても抱き合わせ販売とかはない。
・価格は、アクティブなアカウント数に比例する。ディスカウントで下がるだろうし、ボリュームにもよるだろうし、正確には販売代理店に聞く必要があるが、1人1万円強（年額）とか、それくらいかと思う。IDPは、IDPの1.5倍くらいだろう。

2.2 Microsoft Defender for Identity

CrowdStrikeと同様の機能。
https://learn.microsoft.com/ja-jp/defender-for-identity/what-is

2.3 Tenable　Identity Exposure

上の2つとはかなり仕組みが違うが、ADの保護という意味では、目的は同じのような気がする。
ADの設定変更のイベント（PW設定を弱くしたり）を監視する。攻撃する前の攻撃者の動きを検知するというコンセプトであろう。