detecting-rdp-brute-force-attacks

通过分析 Windows 安全事件日志中的失败认证模式(事件 ID 4625)、失败后的成功登录(事件 ID 4624)、NLA 失败以及源 IP 频率分析,检测 RDP 暴力破解攻击。

9 stars

Best use case

detecting-rdp-brute-force-attacks is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

通过分析 Windows 安全事件日志中的失败认证模式(事件 ID 4625)、失败后的成功登录(事件 ID 4624)、NLA 失败以及源 IP 频率分析,检测 RDP 暴力破解攻击。

Teams using detecting-rdp-brute-force-attacks should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/detecting-rdp-brute-force-attacks/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/detecting-rdp-brute-force-attacks/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/detecting-rdp-brute-force-attacks/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How detecting-rdp-brute-force-attacks Compares

Feature / Agentdetecting-rdp-brute-force-attacksStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

通过分析 Windows 安全事件日志中的失败认证模式(事件 ID 4625)、失败后的成功登录(事件 ID 4624)、NLA 失败以及源 IP 频率分析,检测 RDP 暴力破解攻击。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 检测 RDP 暴力破解攻击

## 概述

RDP 暴力破解攻击通过对暴露的 RDP 端点快速尝试猜测凭据来攻击 Windows 远程桌面协议服务。检测依赖于分析 Windows 安全事件日志中的事件 ID 4625(登录类型 10 或 3 的失败登录),并与事件 ID 4624(成功登录)关联,以识别被入侵的账户。本技能涵盖使用 python-evtx 解析 EVTX 文件,通过源 IP 频率分析识别攻击模式,检测 NLA 绕过尝试,以及生成可操作的检测报告。

## 前置条件

- Python 3.9+ 及 `python-evtx`、`lxml` 库
- Windows 安全 EVTX 日志文件(从事件查看器导出或通过 WEF 收集)
- 了解 Windows 认证事件 ID(4624、4625、4776)
- 熟悉 RDP 登录类型(NLA 为类型 3,RemoteInteractive 为类型 10)

## 步骤

### 步骤一:导出安全事件日志
使用事件查看器或 wevtutil 将 Windows 安全日志导出为 EVTX 格式:
```
wevtutil epl Security C:\logs\security.evtx
```

### 步骤二:解析失败登录事件
使用 python-evtx 解析事件 ID 4625 条目,提取源 IP、目标用户名、失败原因(Sub Status)和登录类型字段。

### 步骤三:分析攻击模式
通过以下方式识别暴力破解模式:
- 统计时间窗口内每个源 IP 的失败登录次数
- 检测用户名喷洒攻击(同一 IP 尝试多个用户名)
- 将 4625 失败与来自同一 IP 的后续 4624 成功关联

### 步骤四:生成检测报告
生成包含头部攻击 IP、目标账户、基于时间的分析和入侵指标的 JSON 报告。

## 预期输出

JSON 报告,包含:
- 失败登录事件总数和唯一源 IP 数量
- 按失败次数排名的顶部攻击 IP
- 目标用户名和失败子状态码
- 暴力破解尝试后的成功登录(潜在入侵)
- 攻击强度的时间序列分析

Related Skills

performing-gcp-penetration-testing-with-gcpbucketbrute

9
from killvxk/cybersecurity-skills-zh

使用 GCPBucketBrute 执行 GCP 安全测试,进行存储桶(Storage Bucket)枚举、gcloud IAM 权限提升路径分析和服务账号权限审计。

performing-dmarc-policy-enforcement-rollout

9
from killvxk/cybersecurity-skills-zh

执行从 p=none 监控到 p=quarantine 再到 p=reject 执行的分阶段 DMARC 推进,确保所有合法邮件来源在封锁未授权发件人之前完成认证。

implementing-opa-gatekeeper-for-policy-enforcement

9
from killvxk/cybersecurity-skills-zh

使用 OPA Gatekeeper 通过 ConstraintTemplate、Rego 规则和 Gatekeeper 策略库强制执行 Kubernetes 准入策略。

hunting-for-ntlm-relay-attacks

9
from killvxk/cybersecurity-skills-zh

通过分析 Windows 事件 4624 中的 NTLMSSP 认证、IP 与主机名不匹配、Responder 流量签名、SMB 签名状态及跨域可疑认证模式,检测 NTLM 中继攻击。

hunting-for-dcsync-attacks

9
from killvxk/cybersecurity-skills-zh

通过分析 Windows 事件 ID 4662,检测非域控制器账户发起的未授权 DS-Replication-Get-Changes 请求,从而发现 DCSync 攻击。

hunting-credential-stuffing-attacks

9
from killvxk/cybersecurity-skills-zh

通过分析认证日志中的登录速率异常、ASN 多样性、密码喷洒(password spray)模式和失败登录的地理分布,检测凭据填充(credential stuffing)攻击。对 Splunk 或原始日志数据进行统计分析。适用于调查账户接管活动或为认证滥用构建检测规则。

detecting-wmi-persistence

9
from killvxk/cybersecurity-skills-zh

通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建,检测 WMI 事件订阅持久化。

detecting-t1548-abuse-elevation-control-mechanism

9
from killvxk/cybersecurity-skills-zh

通过监控注册表修改、进程提升标志和异常的父子进程关系,检测提升控制机制滥用,包括 UAC 绕过、sudo 利用和 setuid/setgid 操纵。

detecting-t1055-process-injection-with-sysmon

9
from killvxk/cybersecurity-skills-zh

通过分析 Sysmon 事件中的跨进程内存操作、远程线程创建和异常 DLL 加载模式,检测进程注入技术(T1055),包括经典 DLL 注入、进程镂空和 APC 注入。

detecting-t1003-credential-dumping-with-edr

9
from killvxk/cybersecurity-skills-zh

利用 EDR 遥测数据、Sysmon 进程访问监控和 Windows 安全事件关联,检测针对 LSASS 内存、SAM 数据库、NTDS.dit 和缓存凭据的 OS 凭据转储技术。

detecting-suspicious-powershell-execution

9
from killvxk/cybersecurity-skills-zh

检测可疑的 PowerShell 执行模式,包括编码命令、下载器(download cradles)、AMSI 绕过尝试以及受限语言模式规避。

detecting-suspicious-oauth-application-consent

9
from killvxk/cybersecurity-skills-zh

使用 Microsoft Graph API、审计日志和权限分析,检测 Azure AD / Microsoft Entra ID 中的高风险 OAuth 应用授权同意,识别非法同意授权攻击。