detecting-credential-dumping-techniques

使用 Sysmon 事件 ID 10、Windows 安全日志和 SIEM 关联规则检测 LSASS 凭据转储、SAM 数据库提取和 NTDS.dit 盗窃

9 stars

Best use case

detecting-credential-dumping-techniques is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用 Sysmon 事件 ID 10、Windows 安全日志和 SIEM 关联规则检测 LSASS 凭据转储、SAM 数据库提取和 NTDS.dit 盗窃

Teams using detecting-credential-dumping-techniques should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/detecting-credential-dumping-techniques/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/detecting-credential-dumping-techniques/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/detecting-credential-dumping-techniques/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How detecting-credential-dumping-techniques Compares

Feature / Agentdetecting-credential-dumping-techniquesStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用 Sysmon 事件 ID 10、Windows 安全日志和 SIEM 关联规则检测 LSASS 凭据转储、SAM 数据库提取和 NTDS.dit 盗窃

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 检测凭据转储技术

## 概述

凭据转储(MITRE ATT&CK T1003)是后利用技术,攻击者从操作系统内存、注册表配置单元或域控制器数据库中提取认证凭据。本技能涵盖通过 Sysmon 事件 ID 10(ProcessAccess)检测 LSASS 内存访问、通过 reg.exe 导出 SAM 注册表配置单元、通过 ntdsutil/vssadmin 提取 NTDS.dit,以及滥用 comsvcs.dll MiniDump。检测规则分析 GrantedAccess 位掩码、可疑调用进程和已知工具特征。

## 前置条件

- 已部署 Sysmon v14+,并为 lsass.exe 启用 ProcessAccess 日志记录(事件 ID 10)
- Windows 安全审计策略启用带命令行日志的进程创建(事件 ID 4688)
- Splunk 或 Elastic SIEM 摄入 Sysmon 和 Windows 安全日志
- Python 3.8+ 用于日志分析

## 步骤

1. 配置 Sysmon 记录针对 lsass.exe 的 ProcessAccess 事件
2. 将 Sysmon 事件 ID 10 和 Windows 事件 ID 4688 转发到 SIEM
3. 为已知 GrantedAccess 模式(0x1010、0x1FFFFF)创建检测规则
4. 检测针对 LSASS PID 的 comsvcs.dll MiniDump 和 procdump.exe
5. 对 reg.exe SAM/SECURITY/SYSTEM 配置单元导出命令发出告警
6. 检测用于 NTDS.dit 盗窃的 ntdsutil/vssadmin 卷影副本创建
7. 将检测与用户/主机上下文关联进行风险评分

## 预期输出

JSON 报告,包含检测到的凭据转储指标,含技术分类、严重性评级、进程详情、MITRE ATT&CK 映射和 Splunk/Elastic 检测查询。

Related Skills

performing-service-account-credential-rotation

9
from killvxk/cybersecurity-skills-zh

跨 Active Directory、云平台和应用程序数据库自动化服务账户凭据轮换,消除陈旧密钥并降低泄露风险。

performing-paste-site-monitoring-for-credentials

9
from killvxk/cybersecurity-skills-zh

使用自动化抓取和关键词匹配技术,监控 Pastebin 和 GitHub Gists 等粘贴站点上的泄露凭证、API 密钥和敏感数据转储,实现早期泄露检测

performing-credential-access-with-lazagne

9
from killvxk/cybersecurity-skills-zh

在授权红队行动中,使用 LaZagne 后渗透工具从已控制的终端提取存储的凭据,从浏览器、数据库、系统密钥库和应用程序中恢复密码。

mapping-mitre-attack-techniques

9
from killvxk/cybersecurity-skills-zh

将观察到的对手行为、安全告警和检测规则映射到 MITRE ATT&CK 技术和子技术,以量化检测覆盖率并指导控制优先级。当构建基于 ATT&CK 的覆盖热图、为 SIEM 告警标记技术 ID、将安全控制与对手攻击手册对齐,或向高层报告威胁暴露时使用。适用于涉及 ATT&CK Navigator、Sigma 规则、MITRE D3FEND 或覆盖缺口分析的请求。

hunting-for-process-injection-techniques

9
from killvxk/cybersecurity-skills-zh

通过 Sysmon 事件 ID 8 和 10 以及 EDR 进程遥测,检测进程注入技术(T1055),包括 CreateRemoteThread、进程空洞化和 DLL 注入。

hunting-for-living-off-the-cloud-techniques

9
from killvxk/cybersecurity-skills-zh

狩猎攻击者滥用合法云服务(Azure、AWS、GCP 和 SaaS 平台)进行 C2、数据暂存和数据外泄的行为。

hunting-credential-stuffing-attacks

9
from killvxk/cybersecurity-skills-zh

通过分析认证日志中的登录速率异常、ASN 多样性、密码喷洒(password spray)模式和失败登录的地理分布,检测凭据填充(credential stuffing)攻击。对 Splunk 或原始日志数据进行统计分析。适用于调查账户接管活动或为认证滥用构建检测规则。

extracting-credentials-from-memory-dump

9
from killvxk/cybersecurity-skills-zh

使用 Volatility 和 Mimikatz 从内存转储中提取缓存的凭据、密码哈希、Kerberos 票据和身份验证令牌,用于取证调查。

detecting-wmi-persistence

9
from killvxk/cybersecurity-skills-zh

通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建,检测 WMI 事件订阅持久化。

detecting-t1548-abuse-elevation-control-mechanism

9
from killvxk/cybersecurity-skills-zh

通过监控注册表修改、进程提升标志和异常的父子进程关系,检测提升控制机制滥用,包括 UAC 绕过、sudo 利用和 setuid/setgid 操纵。

detecting-t1055-process-injection-with-sysmon

9
from killvxk/cybersecurity-skills-zh

通过分析 Sysmon 事件中的跨进程内存操作、远程线程创建和异常 DLL 加载模式,检测进程注入技术(T1055),包括经典 DLL 注入、进程镂空和 APC 注入。

detecting-t1003-credential-dumping-with-edr

9
from killvxk/cybersecurity-skills-zh

利用 EDR 遥测数据、Sysmon 进程访问监控和 Windows 安全事件关联,检测针对 LSASS 内存、SAM 数据库、NTDS.dit 和缓存凭据的 OS 凭据转储技术。