detecting-pass-the-hash-attacks
通过分析 NTLM 认证模式、识别预期使用 Kerberos 时出现的 NTLM 类型 3 登录,并与凭据转储关联,检测哈希传递(Pass-the-Hash)攻击。
Best use case
detecting-pass-the-hash-attacks is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
通过分析 NTLM 认证模式、识别预期使用 Kerberos 时出现的 NTLM 类型 3 登录,并与凭据转储关联,检测哈希传递(Pass-the-Hash)攻击。
Teams using detecting-pass-the-hash-attacks should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/detecting-pass-the-hash-attacks/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How detecting-pass-the-hash-attacks Compares
| Feature / Agent | detecting-pass-the-hash-attacks | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
通过分析 NTLM 认证模式、识别预期使用 Kerberos 时出现的 NTLM 类型 3 登录,并与凭据转储关联,检测哈希传递(Pass-the-Hash)攻击。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 检测哈希传递攻击 ## 适用场景 - 主动狩猎环境中哈希传递攻击指标时 - 威胁情报表明使用这些技术的攻击活动正在活跃时 - 事件响应期间确定与这些技术相关的攻击范围时 - EDR 或 SIEM 告警触发相关指标时 - 定期安全评估和紫队(Purple Team)演练期间 ## 前置条件 - 具备进程和网络遥测功能的 EDR 平台(CrowdStrike、MDE、SentinelOne) - 已接入相关日志数据的 SIEM(Splunk、Elastic、Sentinel) - 部署了完整配置的 Sysmon - 已启用 Windows 安全事件日志转发 - 用于 IOC 关联的威胁情报 feeds ## 工作流程 1. **制定假设**:基于威胁情报或 ATT&CK 差距分析,定义可测试的假设。 2. **识别数据源**:确定验证或反驳假设所需的日志和遥测数据。 3. **执行查询**:针对 SIEM 和 EDR 平台运行检测查询,收集相关事件。 4. **分析结果**:检查查询结果中的异常,并跨多个数据源进行关联。 5. **验证发现**:通过上下文分析区分真阳性和假阳性。 6. **关联活动**:将发现结果链接到更广泛的攻击链和威胁行为者 TTP。 7. **记录与报告**:记录发现结果、更新检测规则并推荐响应措施。 ## 核心概念 | 概念 | 描述 | |------|------| | T1550.002 | 哈希传递(Pass the Hash) | | T1550.003 | 票据传递(Pass the Ticket) | | T1078 | 有效账户(Valid Accounts) | ## 工具与系统 | 工具 | 用途 | |------|------| | CrowdStrike Falcon | EDR 遥测和威胁检测 | | Microsoft Defender for Endpoint | 使用 KQL 进行高级狩猎 | | Splunk Enterprise | 使用 SPL 查询进行 SIEM 日志分析 | | Elastic Security | 检测规则和调查时间线 | | Sysmon | 详细的 Windows 事件监控 | | Velociraptor | 终端工件收集和狩猎 | | Sigma Rules | 跨平台检测规则格式 | ## 常见场景 1. **场景 1**:使用盗取的 NTLM 哈希的 Mimikatz sekurlsa::pth 2. **场景 2**:Impacket psexec.py 使用哈希进行远程执行 3. **场景 3**:CrackMapExec 跨主机哈希喷射 4. **场景 4**:通过哈希传递进行 WMI 横向移动 ## 输出格式 ``` Hunt ID: TH-DETECT-[DATE]-[SEQ] Technique: T1550.002 Host: [主机名] User: [账户上下文] Evidence: [日志条目、进程树、网络数据] Risk Level: [Critical/High/Medium/Low] Confidence: [High/Medium/Low] Recommended Action: [遏制、调查、监控] ```
Related Skills
performing-wifi-password-cracking-with-aircrack
在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。
performing-web-application-firewall-bypass
使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。
performing-mobile-app-certificate-pinning-bypass
在授权安全评估期间,绕过 Android 和 iOS 应用中的 SSL/TLS 证书固定实现,以启用流量拦截。 涵盖使用 Frida、Objection 和自定义脚本对 OkHttp、TrustManager、NSURLSession 及第三方固定库的绕过技术。适合证书固定绕过、SSL 固定破解、移动 TLS 拦截 或代理抗性应用测试相关请求。
performing-malware-hash-enrichment-with-virustotal
使用 VirusTotal API 富化恶意软件文件哈希,获取检测率、行为分析、YARA 匹配和上下文威胁情报,用于事件分类和 IOC 验证。
performing-hash-cracking-with-hashcat
哈希破解(Hash Cracking)是渗透测试人员和安全审计员评估密码强度的重要技能。Hashcat 是全球最快的密码恢复工具,支持 GPU 加速下的超过 300 种哈希类型。本技能涵盖在授权许可下使用 Hashcat 进行密码审计、理解攻击模式、创建有效规则集以及生成哈希分析报告。
performing-content-security-policy-bypass
通过利用错误配置、JSONP 端点、不安全指令和策略注入技术,分析并绕过内容安全策略(CSP)实现,以实现跨站脚本攻击。
performing-api-rate-limiting-bypass
通过操纵请求头、IP 地址、HTTP 方法、API 版本和编码方案,测试 API 限速(Rate Limiting) 实现中的绕过漏洞,以规避请求节流控制。测试人员识别限速响应头,确定执行机制, 并尝试包括 X-Forwarded-For 欺骗、参数污染、大小写变换和端点路径操纵在内的绕过手段。 映射至 OWASP API4:2023 无限制资源消耗。当请求涉及限速绕过、API 节流规避、 暴力破解防护测试或 API 滥用防御评估时触发。
implementing-zero-trust-with-hashicorp-boundary
使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。
implementing-passwordless-authentication-with-fido2
使用安全密钥和平台认证器部署 FIDO2/WebAuthn 无密码认证。涵盖 WebAuthn API 集成、FIDO2 服务器配置、Passkey 注册、生物特征认证,以及符合 NIST SP 800-63B AAL3 标准的密码系统迁移。
implementing-passwordless-auth-with-microsoft-entra
使用 Microsoft Entra ID 实施无密码认证,支持 FIDO2 安全密钥、 Windows Hello for Business、Microsoft Authenticator 通行密钥和基于证书的 认证,以消除基于密码的攻击。 适用于无密码部署、FIDO2 通行密钥配置、 抗钓鱼 MFA 或 Microsoft Entra 认证方法策略相关请求。
implementing-hashicorp-vault-dynamic-secrets
为数据库凭据、AWS IAM 密钥和 PKI 证书实施 HashiCorp Vault 动态密钥引擎, 支持自动生成、租约管理和凭据轮换, 以消除应用程序配置中的静态密钥。 适用于 Vault 密钥引擎配置、动态数据库凭据、 短暂云凭据或自动密钥轮换相关请求。
hunting-for-ntlm-relay-attacks
通过分析 Windows 事件 4624 中的 NTLMSSP 认证、IP 与主机名不匹配、Responder 流量签名、SMB 签名状态及跨域可疑认证模式,检测 NTLM 中继攻击。