detecting-service-account-abuse

通过检测异常交互式登录、权限提升、横向移动和未授权访问模式,发现服务账户滥用行为。

9 stars

Best use case

detecting-service-account-abuse is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

通过检测异常交互式登录、权限提升、横向移动和未授权访问模式,发现服务账户滥用行为。

Teams using detecting-service-account-abuse should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/detecting-service-account-abuse/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/detecting-service-account-abuse/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/detecting-service-account-abuse/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How detecting-service-account-abuse Compares

Feature / Agentdetecting-service-account-abuseStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

通过检测异常交互式登录、权限提升、横向移动和未授权访问模式,发现服务账户滥用行为。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 检测服务账户滥用

## 适用场景

- 主动狩猎环境中服务账户滥用指标时
- 威胁情报表明使用这些技术的攻击活动正在活跃时
- 事件响应期间确定与这些技术相关的攻击范围时
- EDR 或 SIEM 告警触发相关指标时
- 定期安全评估和紫队(Purple Team)演练期间

## 前置条件

- 具备进程和网络遥测功能的 EDR 平台(CrowdStrike、MDE、SentinelOne)
- 已接入相关日志数据的 SIEM(Splunk、Elastic、Sentinel)
- 部署了完整配置的 Sysmon
- 已启用 Windows 安全事件日志转发
- 用于 IOC 关联的威胁情报 feeds

## 工作流程

1. **制定假设**:基于威胁情报或 ATT&CK 差距分析,定义可测试的假设。
2. **识别数据源**:确定验证或反驳假设所需的日志和遥测数据。
3. **执行查询**:针对 SIEM 和 EDR 平台运行检测查询,收集相关事件。
4. **分析结果**:检查查询结果中的异常,并跨多个数据源进行关联。
5. **验证发现**:通过上下文分析区分真阳性和假阳性。
6. **关联活动**:将发现结果链接到更广泛的攻击链和威胁行为者 TTP。
7. **记录与报告**:记录发现结果、更新检测规则并推荐响应措施。

## 核心概念

| 概念 | 描述 |
|------|------|
| T1078.002 | 域账户(Domain Accounts) |
| T1078.001 | 默认账户(Default Accounts) |
| T1021 | 远程服务(Remote Services) |

## 工具与系统

| 工具 | 用途 |
|------|------|
| CrowdStrike Falcon | EDR 遥测和威胁检测 |
| Microsoft Defender for Endpoint | 使用 KQL 进行高级狩猎 |
| Splunk Enterprise | 使用 SPL 查询进行 SIEM 日志分析 |
| Elastic Security | 检测规则和调查时间线 |
| Sysmon | 详细的 Windows 事件监控 |
| Velociraptor | 终端工件收集和狩猎 |
| Sigma Rules | 跨平台检测规则格式 |

## 常见场景

1. **场景 1**:服务账户通过 RDP 登录域控制器
2. **场景 2**:SQL 服务访问范围外的文件共享
3. **场景 3**:备份服务在非工作时间进行横向移动
4. **场景 4**:被攻陷的具有域管理员权限的服务账户被用于执行 DCSync

## 输出格式

```
Hunt ID: TH-DETECT-[DATE]-[SEQ]
Technique: T1078.002
Host: [主机名]
User: [账户上下文]
Evidence: [日志条目、进程树、网络数据]
Risk Level: [Critical/High/Medium/Low]
Confidence: [High/Medium/Low]
Recommended Action: [遏制、调查、监控]
```

Related Skills

performing-soap-web-service-security-testing

9
from killvxk/cybersecurity-skills-zh

通过分析 WSDL 定义,测试 XML 注入(XML Injection)、XXE、WS-Security 绕过和 SOAPAction 欺骗,对 SOAP Web 服务执行安全测试。

performing-service-account-credential-rotation

9
from killvxk/cybersecurity-skills-zh

跨 Active Directory、云平台和应用程序数据库自动化服务账户凭据轮换,消除陈旧密钥并降低泄露风险。

performing-service-account-audit

9
from killvxk/cybersecurity-skills-zh

审计企业基础设施中的服务账户,识别孤立账户、过度特权账户和不合规账户。本技能涵盖在 Active Directory、云平台中发现服务账户,评估权限级别,识别缺失负责人,以及执行生命周期策略。

performing-privileged-account-discovery

9
from killvxk/cybersecurity-skills-zh

发现并清点企业基础设施中的所有特权账户,包括域管理员、本地管理员、服务账户、数据库管理员、云 IAM 角色和应用管理员账户。

performing-privileged-account-access-review

9
from killvxk/cybersecurity-skills-zh

对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。

performing-aws-account-enumeration-with-scout-suite

9
from killvxk/cybersecurity-skills-zh

使用 ScoutSuite 对 AWS 账户进行全面的安全态势评估,枚举资源、识别配置错误并生成可操作的安全报告。

implementing-mtls-for-zero-trust-services

9
from killvxk/cybersecurity-skills-zh

使用 Python cryptography 库进行证书生成,使用 ssl 模块进行 TLS 验证, 配置微服务之间的双向 TLS(mTLS)身份验证。验证证书链、检查过期情况, 并审计 mTLS 部署状态。适用于实现零信任服务间身份验证的场景。

implementing-api-abuse-detection-with-rate-limiting

9
from killvxk/cybersecurity-skills-zh

使用令牌桶、滑动窗口和自适应速率限制算法实现API滥用检测,防止DDoS、暴力破解和凭据填充攻击。

hunting-for-unusual-service-installations

9
from killvxk/cybersecurity-skills-zh

通过解析系统事件日志中的事件 ID 7045、分析服务二进制路径并识别持久化机制指标,检测可疑 Windows 服务安装(MITRE ATT&CK T1543.003)。

exploiting-constrained-delegation-abuse

9
from killvxk/cybersecurity-skills-zh

利用活动目录中的 Kerberos 约束委派(Constrained Delegation)错误配置,通过 S4U2self 和 S4U2proxy 扩展模拟特权用户,实现横向移动和权限提升。

exploiting-active-directory-certificate-services-esc1

9
from killvxk/cybersecurity-skills-zh

在授权红队评估中,利用活动目录证书服务(AD CS)的 ESC1 错误配置漏洞,以高权限用户身份申请证书并提升域权限。

detecting-wmi-persistence

9
from killvxk/cybersecurity-skills-zh

通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建,检测 WMI 事件订阅持久化。