detecting-credential-dumping-techniques
使用 Sysmon 事件 ID 10、Windows 安全日志和 SIEM 关联规则检测 LSASS 凭据转储、SAM 数据库提取和 NTDS.dit 盗窃
Best use case
detecting-credential-dumping-techniques is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
使用 Sysmon 事件 ID 10、Windows 安全日志和 SIEM 关联规则检测 LSASS 凭据转储、SAM 数据库提取和 NTDS.dit 盗窃
Teams using detecting-credential-dumping-techniques should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/detecting-credential-dumping-techniques/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How detecting-credential-dumping-techniques Compares
| Feature / Agent | detecting-credential-dumping-techniques | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
使用 Sysmon 事件 ID 10、Windows 安全日志和 SIEM 关联规则检测 LSASS 凭据转储、SAM 数据库提取和 NTDS.dit 盗窃
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 检测凭据转储技术 ## 概述 凭据转储(MITRE ATT&CK T1003)是后利用技术,攻击者从操作系统内存、注册表配置单元或域控制器数据库中提取认证凭据。本技能涵盖通过 Sysmon 事件 ID 10(ProcessAccess)检测 LSASS 内存访问、通过 reg.exe 导出 SAM 注册表配置单元、通过 ntdsutil/vssadmin 提取 NTDS.dit,以及滥用 comsvcs.dll MiniDump。检测规则分析 GrantedAccess 位掩码、可疑调用进程和已知工具特征。 ## 前置条件 - 已部署 Sysmon v14+,并为 lsass.exe 启用 ProcessAccess 日志记录(事件 ID 10) - Windows 安全审计策略启用带命令行日志的进程创建(事件 ID 4688) - Splunk 或 Elastic SIEM 摄入 Sysmon 和 Windows 安全日志 - Python 3.8+ 用于日志分析 ## 步骤 1. 配置 Sysmon 记录针对 lsass.exe 的 ProcessAccess 事件 2. 将 Sysmon 事件 ID 10 和 Windows 事件 ID 4688 转发到 SIEM 3. 为已知 GrantedAccess 模式(0x1010、0x1FFFFF)创建检测规则 4. 检测针对 LSASS PID 的 comsvcs.dll MiniDump 和 procdump.exe 5. 对 reg.exe SAM/SECURITY/SYSTEM 配置单元导出命令发出告警 6. 检测用于 NTDS.dit 盗窃的 ntdsutil/vssadmin 卷影副本创建 7. 将检测与用户/主机上下文关联进行风险评分 ## 预期输出 JSON 报告,包含检测到的凭据转储指标,含技术分类、严重性评级、进程详情、MITRE ATT&CK 映射和 Splunk/Elastic 检测查询。
Related Skills
performing-service-account-credential-rotation
跨 Active Directory、云平台和应用程序数据库自动化服务账户凭据轮换,消除陈旧密钥并降低泄露风险。
performing-paste-site-monitoring-for-credentials
使用自动化抓取和关键词匹配技术,监控 Pastebin 和 GitHub Gists 等粘贴站点上的泄露凭证、API 密钥和敏感数据转储,实现早期泄露检测
performing-credential-access-with-lazagne
在授权红队行动中,使用 LaZagne 后渗透工具从已控制的终端提取存储的凭据,从浏览器、数据库、系统密钥库和应用程序中恢复密码。
mapping-mitre-attack-techniques
将观察到的对手行为、安全告警和检测规则映射到 MITRE ATT&CK 技术和子技术,以量化检测覆盖率并指导控制优先级。当构建基于 ATT&CK 的覆盖热图、为 SIEM 告警标记技术 ID、将安全控制与对手攻击手册对齐,或向高层报告威胁暴露时使用。适用于涉及 ATT&CK Navigator、Sigma 规则、MITRE D3FEND 或覆盖缺口分析的请求。
hunting-for-process-injection-techniques
通过 Sysmon 事件 ID 8 和 10 以及 EDR 进程遥测,检测进程注入技术(T1055),包括 CreateRemoteThread、进程空洞化和 DLL 注入。
hunting-for-living-off-the-cloud-techniques
狩猎攻击者滥用合法云服务(Azure、AWS、GCP 和 SaaS 平台)进行 C2、数据暂存和数据外泄的行为。
hunting-credential-stuffing-attacks
通过分析认证日志中的登录速率异常、ASN 多样性、密码喷洒(password spray)模式和失败登录的地理分布,检测凭据填充(credential stuffing)攻击。对 Splunk 或原始日志数据进行统计分析。适用于调查账户接管活动或为认证滥用构建检测规则。
extracting-credentials-from-memory-dump
使用 Volatility 和 Mimikatz 从内存转储中提取缓存的凭据、密码哈希、Kerberos 票据和身份验证令牌,用于取证调查。
detecting-wmi-persistence
通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建,检测 WMI 事件订阅持久化。
detecting-t1548-abuse-elevation-control-mechanism
通过监控注册表修改、进程提升标志和异常的父子进程关系,检测提升控制机制滥用,包括 UAC 绕过、sudo 利用和 setuid/setgid 操纵。
detecting-t1055-process-injection-with-sysmon
通过分析 Sysmon 事件中的跨进程内存操作、远程线程创建和异常 DLL 加载模式,检测进程注入技术(T1055),包括经典 DLL 注入、进程镂空和 APC 注入。
detecting-t1003-credential-dumping-with-edr
利用 EDR 遥测数据、Sysmon 进程访问监控和 Windows 安全事件关联,检测针对 LSASS 内存、SAM 数据库、NTDS.dit 和缓存凭据的 OS 凭据转储技术。