detecting-pass-the-ticket-attacks

通过在 Splunk 和 Elastic SIEM 中分析 Windows 事件 ID 4768、4769 和 4771 的异常票据使用模式,检测 Kerberos 票据传递(PtT)攻击

9 stars

Best use case

detecting-pass-the-ticket-attacks is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

通过在 Splunk 和 Elastic SIEM 中分析 Windows 事件 ID 4768、4769 和 4771 的异常票据使用模式,检测 Kerberos 票据传递(PtT)攻击

Teams using detecting-pass-the-ticket-attacks should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/detecting-pass-the-ticket-attacks/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/detecting-pass-the-ticket-attacks/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/detecting-pass-the-ticket-attacks/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How detecting-pass-the-ticket-attacks Compares

Feature / Agentdetecting-pass-the-ticket-attacksStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

通过在 Splunk 和 Elastic SIEM 中分析 Windows 事件 ID 4768、4769 和 4771 的异常票据使用模式,检测 Kerberos 票据传递(PtT)攻击

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 检测票据传递攻击

## 概述

票据传递(PtT)是一种凭据盗窃技术(MITRE ATT&CK T1550.003),攻击者从一个系统中窃取 Kerberos 票据(TGT 或 TGS),然后在另一个系统上重放,无需知道用户密码即可进行认证。本技能通过关联 Windows 安全事件 ID 4768(TGT 请求)、4769(TGS 请求)和 4771(预认证失败)来检测 PtT 攻击,寻找异常情况,如跨不同主机的票据重用、RC4 加密降级和异常的服务票据请求量。

## 前置条件

- 启用了高级审计策略的 Windows 域控制器(审计 Kerberos 认证服务、审计 Kerberos 服务票据操作)
- Splunk 或 Elastic SIEM 摄入 Windows 安全事件日志
- 在端点上部署 Sysmon 以提供补充的进程遥测
- Python 3.8+ 及 `requests` 库

## 步骤

1. 通过组策略在域控制器上启用 Kerberos 审计日志
2. 将事件 ID 4768、4769 和 4771 转发到 SIEM 平台
3. 部署 RC4 加密降级(TicketEncryptionType 0x17)的检测规则
4. 创建针对多个源 IP 的票据重用的关联规则
5. 构建每用户/主机正常 TGS 请求量的基线
6. 对票据请求模式中的标准偏差异常发出告警
7. 使用 Active Directory 的丰富信息调查被标记事件

## 预期输出

JSON 报告,包含检测到的 PtT 指标,包括异常票据请求、RC4 降级、跨主机票据重用事件,以及带 MITRE ATT&CK 技术映射的风险评分用户。

Related Skills

performing-wifi-password-cracking-with-aircrack

9
from killvxk/cybersecurity-skills-zh

在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。

performing-web-application-firewall-bypass

9
from killvxk/cybersecurity-skills-zh

使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。

performing-mobile-app-certificate-pinning-bypass

9
from killvxk/cybersecurity-skills-zh

在授权安全评估期间,绕过 Android 和 iOS 应用中的 SSL/TLS 证书固定实现,以启用流量拦截。 涵盖使用 Frida、Objection 和自定义脚本对 OkHttp、TrustManager、NSURLSession 及第三方固定库的绕过技术。适合证书固定绕过、SSL 固定破解、移动 TLS 拦截 或代理抗性应用测试相关请求。

performing-content-security-policy-bypass

9
from killvxk/cybersecurity-skills-zh

通过利用错误配置、JSONP 端点、不安全指令和策略注入技术,分析并绕过内容安全策略(CSP)实现,以实现跨站脚本攻击。

performing-api-rate-limiting-bypass

9
from killvxk/cybersecurity-skills-zh

通过操纵请求头、IP 地址、HTTP 方法、API 版本和编码方案,测试 API 限速(Rate Limiting) 实现中的绕过漏洞,以规避请求节流控制。测试人员识别限速响应头,确定执行机制, 并尝试包括 X-Forwarded-For 欺骗、参数污染、大小写变换和端点路径操纵在内的绕过手段。 映射至 OWASP API4:2023 无限制资源消耗。当请求涉及限速绕过、API 节流规避、 暴力破解防护测试或 API 滥用防御评估时触发。

implementing-ticketing-system-for-incidents

9
from killvxk/cybersecurity-skills-zh

实施集成事件工单系统,将 SIEM 告警对接 ServiceNow、Jira 或 TheHive, 用于结构化事件跟踪、SLA 管理、升级工作流和合规文档记录。 适用于 SOC 团队需要通过自动化工单创建、分配路由和解决跟踪来规范事件生命周期管理时。

implementing-passwordless-authentication-with-fido2

9
from killvxk/cybersecurity-skills-zh

使用安全密钥和平台认证器部署 FIDO2/WebAuthn 无密码认证。涵盖 WebAuthn API 集成、FIDO2 服务器配置、Passkey 注册、生物特征认证,以及符合 NIST SP 800-63B AAL3 标准的密码系统迁移。

implementing-passwordless-auth-with-microsoft-entra

9
from killvxk/cybersecurity-skills-zh

使用 Microsoft Entra ID 实施无密码认证,支持 FIDO2 安全密钥、 Windows Hello for Business、Microsoft Authenticator 通行密钥和基于证书的 认证,以消除基于密码的攻击。 适用于无密码部署、FIDO2 通行密钥配置、 抗钓鱼 MFA 或 Microsoft Entra 认证方法策略相关请求。

hunting-for-ntlm-relay-attacks

9
from killvxk/cybersecurity-skills-zh

通过分析 Windows 事件 4624 中的 NTLMSSP 认证、IP 与主机名不匹配、Responder 流量签名、SMB 签名状态及跨域可疑认证模式,检测 NTLM 中继攻击。

hunting-for-dcsync-attacks

9
from killvxk/cybersecurity-skills-zh

通过分析 Windows 事件 ID 4662,检测非域控制器账户发起的未授权 DS-Replication-Get-Changes 请求,从而发现 DCSync 攻击。

hunting-credential-stuffing-attacks

9
from killvxk/cybersecurity-skills-zh

通过分析认证日志中的登录速率异常、ASN 多样性、密码喷洒(password spray)模式和失败登录的地理分布,检测凭据填充(credential stuffing)攻击。对 Splunk 或原始日志数据进行统计分析。适用于调查账户接管活动或为认证滥用构建检测规则。

detecting-wmi-persistence

9
from killvxk/cybersecurity-skills-zh

通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建,检测 WMI 事件订阅持久化。