detecting-pass-the-ticket-attacks
通过在 Splunk 和 Elastic SIEM 中分析 Windows 事件 ID 4768、4769 和 4771 的异常票据使用模式,检测 Kerberos 票据传递(PtT)攻击
Best use case
detecting-pass-the-ticket-attacks is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
通过在 Splunk 和 Elastic SIEM 中分析 Windows 事件 ID 4768、4769 和 4771 的异常票据使用模式,检测 Kerberos 票据传递(PtT)攻击
Teams using detecting-pass-the-ticket-attacks should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/detecting-pass-the-ticket-attacks/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How detecting-pass-the-ticket-attacks Compares
| Feature / Agent | detecting-pass-the-ticket-attacks | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
通过在 Splunk 和 Elastic SIEM 中分析 Windows 事件 ID 4768、4769 和 4771 的异常票据使用模式,检测 Kerberos 票据传递(PtT)攻击
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 检测票据传递攻击 ## 概述 票据传递(PtT)是一种凭据盗窃技术(MITRE ATT&CK T1550.003),攻击者从一个系统中窃取 Kerberos 票据(TGT 或 TGS),然后在另一个系统上重放,无需知道用户密码即可进行认证。本技能通过关联 Windows 安全事件 ID 4768(TGT 请求)、4769(TGS 请求)和 4771(预认证失败)来检测 PtT 攻击,寻找异常情况,如跨不同主机的票据重用、RC4 加密降级和异常的服务票据请求量。 ## 前置条件 - 启用了高级审计策略的 Windows 域控制器(审计 Kerberos 认证服务、审计 Kerberos 服务票据操作) - Splunk 或 Elastic SIEM 摄入 Windows 安全事件日志 - 在端点上部署 Sysmon 以提供补充的进程遥测 - Python 3.8+ 及 `requests` 库 ## 步骤 1. 通过组策略在域控制器上启用 Kerberos 审计日志 2. 将事件 ID 4768、4769 和 4771 转发到 SIEM 平台 3. 部署 RC4 加密降级(TicketEncryptionType 0x17)的检测规则 4. 创建针对多个源 IP 的票据重用的关联规则 5. 构建每用户/主机正常 TGS 请求量的基线 6. 对票据请求模式中的标准偏差异常发出告警 7. 使用 Active Directory 的丰富信息调查被标记事件 ## 预期输出 JSON 报告,包含检测到的 PtT 指标,包括异常票据请求、RC4 降级、跨主机票据重用事件,以及带 MITRE ATT&CK 技术映射的风险评分用户。
Related Skills
performing-wifi-password-cracking-with-aircrack
在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。
performing-web-application-firewall-bypass
使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。
performing-mobile-app-certificate-pinning-bypass
在授权安全评估期间,绕过 Android 和 iOS 应用中的 SSL/TLS 证书固定实现,以启用流量拦截。 涵盖使用 Frida、Objection 和自定义脚本对 OkHttp、TrustManager、NSURLSession 及第三方固定库的绕过技术。适合证书固定绕过、SSL 固定破解、移动 TLS 拦截 或代理抗性应用测试相关请求。
performing-content-security-policy-bypass
通过利用错误配置、JSONP 端点、不安全指令和策略注入技术,分析并绕过内容安全策略(CSP)实现,以实现跨站脚本攻击。
performing-api-rate-limiting-bypass
通过操纵请求头、IP 地址、HTTP 方法、API 版本和编码方案,测试 API 限速(Rate Limiting) 实现中的绕过漏洞,以规避请求节流控制。测试人员识别限速响应头,确定执行机制, 并尝试包括 X-Forwarded-For 欺骗、参数污染、大小写变换和端点路径操纵在内的绕过手段。 映射至 OWASP API4:2023 无限制资源消耗。当请求涉及限速绕过、API 节流规避、 暴力破解防护测试或 API 滥用防御评估时触发。
implementing-ticketing-system-for-incidents
实施集成事件工单系统,将 SIEM 告警对接 ServiceNow、Jira 或 TheHive, 用于结构化事件跟踪、SLA 管理、升级工作流和合规文档记录。 适用于 SOC 团队需要通过自动化工单创建、分配路由和解决跟踪来规范事件生命周期管理时。
implementing-passwordless-authentication-with-fido2
使用安全密钥和平台认证器部署 FIDO2/WebAuthn 无密码认证。涵盖 WebAuthn API 集成、FIDO2 服务器配置、Passkey 注册、生物特征认证,以及符合 NIST SP 800-63B AAL3 标准的密码系统迁移。
implementing-passwordless-auth-with-microsoft-entra
使用 Microsoft Entra ID 实施无密码认证,支持 FIDO2 安全密钥、 Windows Hello for Business、Microsoft Authenticator 通行密钥和基于证书的 认证,以消除基于密码的攻击。 适用于无密码部署、FIDO2 通行密钥配置、 抗钓鱼 MFA 或 Microsoft Entra 认证方法策略相关请求。
hunting-for-ntlm-relay-attacks
通过分析 Windows 事件 4624 中的 NTLMSSP 认证、IP 与主机名不匹配、Responder 流量签名、SMB 签名状态及跨域可疑认证模式,检测 NTLM 中继攻击。
hunting-for-dcsync-attacks
通过分析 Windows 事件 ID 4662,检测非域控制器账户发起的未授权 DS-Replication-Get-Changes 请求,从而发现 DCSync 攻击。
hunting-credential-stuffing-attacks
通过分析认证日志中的登录速率异常、ASN 多样性、密码喷洒(password spray)模式和失败登录的地理分布,检测凭据填充(credential stuffing)攻击。对 Splunk 或原始日志数据进行统计分析。适用于调查账户接管活动或为认证滥用构建检测规则。
detecting-wmi-persistence
通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建,检测 WMI 事件订阅持久化。