detecting-kerberoasting-attacks
通过监控针对具有 SPN 的服务账户的异常 Kerberos TGS 请求,检测用于离线密码破解的 Kerberoasting 攻击。
Best use case
detecting-kerberoasting-attacks is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
通过监控针对具有 SPN 的服务账户的异常 Kerberos TGS 请求,检测用于离线密码破解的 Kerberoasting 攻击。
Teams using detecting-kerberoasting-attacks should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/detecting-kerberoasting-attacks/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How detecting-kerberoasting-attacks Compares
| Feature / Agent | detecting-kerberoasting-attacks | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
通过监控针对具有 SPN 的服务账户的异常 Kerberos TGS 请求,检测用于离线密码破解的 Kerberoasting 攻击。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 检测 Kerberoasting 攻击 ## 适用场景 - 主动狩猎环境中 Kerberoasting 攻击指标时 - 威胁情报表明使用这些技术的攻击活动正在活跃时 - 事件响应期间确定与这些技术相关的攻击范围时 - EDR 或 SIEM 告警触发相关指标时 - 定期安全评估和紫队(Purple Team)演练期间 ## 前置条件 - 具备进程和网络遥测功能的 EDR 平台(CrowdStrike、MDE、SentinelOne) - 已接入相关日志数据的 SIEM(Splunk、Elastic、Sentinel) - 部署了完整配置的 Sysmon - 已启用 Windows 安全事件日志转发 - 用于 IOC 关联的威胁情报 feeds ## 工作流程 1. **制定假设**:基于威胁情报或 ATT&CK 差距分析,定义可测试的假设。 2. **识别数据源**:确定验证或反驳假设所需的日志和遥测数据。 3. **执行查询**:针对 SIEM 和 EDR 平台运行检测查询,收集相关事件。 4. **分析结果**:检查查询结果中的异常,并跨多个数据源进行关联。 5. **验证发现**:通过上下文分析区分真阳性和假阳性。 6. **关联活动**:将发现结果链接到更广泛的攻击链和威胁行为者 TTP。 7. **记录与报告**:记录发现结果、更新检测规则并推荐响应措施。 ## 核心概念 | 概念 | 描述 | |------|------| | T1558.003 | Kerberoasting | | T1558.004 | AS-REP Roasting | | T1558.001 | 黄金票据(Golden Ticket) | ## 工具与系统 | 工具 | 用途 | |------|------| | CrowdStrike Falcon | EDR 遥测和威胁检测 | | Microsoft Defender for Endpoint | 使用 KQL 进行高级狩猎 | | Splunk Enterprise | 使用 SPL 查询进行 SIEM 日志分析 | | Elastic Security | 检测规则和调查时间线 | | Sysmon | 详细的 Windows 事件监控 | | Velociraptor | 终端工件收集和狩猎 | | Sigma Rules | 跨平台检测规则格式 | ## 常见场景 1. **场景 1**:Rubeus kerberoast 针对所有 SPN 账户 2. **场景 2**:Impacket GetUserSPNs.py 请求 RC4 票据 3. **场景 3**:针对高权限服务账户的定向 kerberoast 4. **场景 4**:AS-REP roasting 无预认证的账户 ## 输出格式 ``` Hunt ID: TH-DETECT-[DATE]-[SEQ] Technique: T1558.003 Host: [主机名] User: [账户上下文] Evidence: [日志条目、进程树、网络数据] Risk Level: [Critical/High/Medium/Low] Confidence: [High/Medium/Low] Recommended Action: [遏制、调查、监控] ```
Related Skills
performing-kerberoasting-attack
Kerberoasting 是一种后渗透技术,通过为设置了服务主体名称(SPN)的账户请求 Kerberos TGS 票据来针对活动目录中的服务账户。这些票据用服务账户的 NTLM 哈希加密,允许在不产生登录失败事件的情况下进行离线暴力破解。
hunting-for-ntlm-relay-attacks
通过分析 Windows 事件 4624 中的 NTLMSSP 认证、IP 与主机名不匹配、Responder 流量签名、SMB 签名状态及跨域可疑认证模式,检测 NTLM 中继攻击。
hunting-for-dcsync-attacks
通过分析 Windows 事件 ID 4662,检测非域控制器账户发起的未授权 DS-Replication-Get-Changes 请求,从而发现 DCSync 攻击。
hunting-credential-stuffing-attacks
通过分析认证日志中的登录速率异常、ASN 多样性、密码喷洒(password spray)模式和失败登录的地理分布,检测凭据填充(credential stuffing)攻击。对 Splunk 或原始日志数据进行统计分析。适用于调查账户接管活动或为认证滥用构建检测规则。
exploiting-kerberoasting-with-impacket
使用 Impacket 的 GetUserSPNs 执行 Kerberoasting 攻击,提取并破解活动目录服务账户的 Kerberos TGS 票据。
detecting-wmi-persistence
通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建,检测 WMI 事件订阅持久化。
detecting-t1548-abuse-elevation-control-mechanism
通过监控注册表修改、进程提升标志和异常的父子进程关系,检测提升控制机制滥用,包括 UAC 绕过、sudo 利用和 setuid/setgid 操纵。
detecting-t1055-process-injection-with-sysmon
通过分析 Sysmon 事件中的跨进程内存操作、远程线程创建和异常 DLL 加载模式,检测进程注入技术(T1055),包括经典 DLL 注入、进程镂空和 APC 注入。
detecting-t1003-credential-dumping-with-edr
利用 EDR 遥测数据、Sysmon 进程访问监控和 Windows 安全事件关联,检测针对 LSASS 内存、SAM 数据库、NTDS.dit 和缓存凭据的 OS 凭据转储技术。
detecting-suspicious-powershell-execution
检测可疑的 PowerShell 执行模式,包括编码命令、下载器(download cradles)、AMSI 绕过尝试以及受限语言模式规避。
detecting-suspicious-oauth-application-consent
使用 Microsoft Graph API、审计日志和权限分析,检测 Azure AD / Microsoft Entra ID 中的高风险 OAuth 应用授权同意,识别非法同意授权攻击。
detecting-supply-chain-attacks-in-ci-cd
扫描 GitHub Actions 工作流和 CI/CD 流水线配置,检测供应链攻击(Supply Chain Attack)向量, 包括未固定的 Action 版本、通过表达式的脚本注入、依赖混淆(Dependency Confusion)和密钥泄露。 使用 PyGithub 和 YAML 解析进行自动化审计。适用于加固 CI/CD 流水线或调查被攻击的构建系统。