detecting-golden-ticket-attacks
通过分析 Windows 安全事件日志中的异常 TGT 使用模式,检测 Kerberos 黄金票据(Golden Ticket)攻击。从 EVTX 文件中解析事件 ID 4624、4672 和 4768,识别具有异常生命周期的票据、域 SID 不匹配,以及非管理员账户无对应组成员身份变更却获得管理员级别权限的特权提升序列。
Best use case
detecting-golden-ticket-attacks is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
通过分析 Windows 安全事件日志中的异常 TGT 使用模式,检测 Kerberos 黄金票据(Golden Ticket)攻击。从 EVTX 文件中解析事件 ID 4624、4672 和 4768,识别具有异常生命周期的票据、域 SID 不匹配,以及非管理员账户无对应组成员身份变更却获得管理员级别权限的特权提升序列。
Teams using detecting-golden-ticket-attacks should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/detecting-golden-ticket-attacks/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How detecting-golden-ticket-attacks Compares
| Feature / Agent | detecting-golden-ticket-attacks | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
通过分析 Windows 安全事件日志中的异常 TGT 使用模式,检测 Kerberos 黄金票据(Golden Ticket)攻击。从 EVTX 文件中解析事件 ID 4624、4672 和 4768,识别具有异常生命周期的票据、域 SID 不匹配,以及非管理员账户无对应组成员身份变更却获得管理员级别权限的特权提升序列。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
## 使用说明 1. 安装依赖:`pip install python-evtx lxml` 2. 从域控制器收集 Windows Security EVTX 日志。 3. 解析事件 ID: - 4768:Kerberos TGT 请求(认证服务请求) - 4624:登录事件(查找使用 NTLM 或 Kerberos 的 LogonType 3) - 4672:特殊权限分配(管理员登录指标) 4. 检测黄金票据指标: - 有效期超过 10 小时的 TGT(默认最大值为 10 小时) - 非 Domain Admins 成员账户触发事件 4672 - 无对应 4768 TGT 请求的登录事件 - 票据数据中的域 SID 不一致 5. 生成带有时间线重建的检测报告。 ```bash python scripts/agent.py --evtx-file /path/to/Security.evtx --output golden_ticket_report.json ``` ## 示例 ### 检测异常权限分配 标准用户账户触发事件 4672 并获得 SeDebugPrivilege、SeTcbPrivilege 或 SeBackupPrivilege,表明可能存在黄金票据使用。 ### 无对应 AS-REQ 的 TGT 使用 Kerberos 认证的登录事件(4624)但域控制器上没有匹配的 4768(TGT 请求),说明可能是伪造的 TGT。
Related Skills
implementing-ticketing-system-for-incidents
实施集成事件工单系统,将 SIEM 告警对接 ServiceNow、Jira 或 TheHive, 用于结构化事件跟踪、SLA 管理、升级工作流和合规文档记录。 适用于 SOC 团队需要通过自动化工单创建、分配路由和解决跟踪来规范事件生命周期管理时。
hunting-for-ntlm-relay-attacks
通过分析 Windows 事件 4624 中的 NTLMSSP 认证、IP 与主机名不匹配、Responder 流量签名、SMB 签名状态及跨域可疑认证模式,检测 NTLM 中继攻击。
hunting-for-dcsync-attacks
通过分析 Windows 事件 ID 4662,检测非域控制器账户发起的未授权 DS-Replication-Get-Changes 请求,从而发现 DCSync 攻击。
hunting-credential-stuffing-attacks
通过分析认证日志中的登录速率异常、ASN 多样性、密码喷洒(password spray)模式和失败登录的地理分布,检测凭据填充(credential stuffing)攻击。对 Splunk 或原始日志数据进行统计分析。适用于调查账户接管活动或为认证滥用构建检测规则。
detecting-wmi-persistence
通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建,检测 WMI 事件订阅持久化。
detecting-t1548-abuse-elevation-control-mechanism
通过监控注册表修改、进程提升标志和异常的父子进程关系,检测提升控制机制滥用,包括 UAC 绕过、sudo 利用和 setuid/setgid 操纵。
detecting-t1055-process-injection-with-sysmon
通过分析 Sysmon 事件中的跨进程内存操作、远程线程创建和异常 DLL 加载模式,检测进程注入技术(T1055),包括经典 DLL 注入、进程镂空和 APC 注入。
detecting-t1003-credential-dumping-with-edr
利用 EDR 遥测数据、Sysmon 进程访问监控和 Windows 安全事件关联,检测针对 LSASS 内存、SAM 数据库、NTDS.dit 和缓存凭据的 OS 凭据转储技术。
detecting-suspicious-powershell-execution
检测可疑的 PowerShell 执行模式,包括编码命令、下载器(download cradles)、AMSI 绕过尝试以及受限语言模式规避。
detecting-suspicious-oauth-application-consent
使用 Microsoft Graph API、审计日志和权限分析,检测 Azure AD / Microsoft Entra ID 中的高风险 OAuth 应用授权同意,识别非法同意授权攻击。
detecting-supply-chain-attacks-in-ci-cd
扫描 GitHub Actions 工作流和 CI/CD 流水线配置,检测供应链攻击(Supply Chain Attack)向量, 包括未固定的 Action 版本、通过表达式的脚本注入、依赖混淆(Dependency Confusion)和密钥泄露。 使用 PyGithub 和 YAML 解析进行自动化审计。适用于加固 CI/CD 流水线或调查被攻击的构建系统。
detecting-stuxnet-style-attacks
本技能涵盖检测遵循Stuxnet攻击模式的复杂网络物理攻击——在修改PLC逻辑的同时欺骗传感器读数以向操作员隐藏操控行为。内容涉及PLC逻辑完整性监控、基于物理的过程异常检测、工程师工作站入侵指标、USB传播攻击向量,以及从IT到OT横向移动直至过程操控的多阶段攻击链检测。