Best use case
detecting-service-account-abuse is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
通过检测异常交互式登录、权限提升、横向移动和未授权访问模式,发现服务账户滥用行为。
Teams using detecting-service-account-abuse should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/detecting-service-account-abuse/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How detecting-service-account-abuse Compares
| Feature / Agent | detecting-service-account-abuse | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
通过检测异常交互式登录、权限提升、横向移动和未授权访问模式,发现服务账户滥用行为。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 检测服务账户滥用 ## 适用场景 - 主动狩猎环境中服务账户滥用指标时 - 威胁情报表明使用这些技术的攻击活动正在活跃时 - 事件响应期间确定与这些技术相关的攻击范围时 - EDR 或 SIEM 告警触发相关指标时 - 定期安全评估和紫队(Purple Team)演练期间 ## 前置条件 - 具备进程和网络遥测功能的 EDR 平台(CrowdStrike、MDE、SentinelOne) - 已接入相关日志数据的 SIEM(Splunk、Elastic、Sentinel) - 部署了完整配置的 Sysmon - 已启用 Windows 安全事件日志转发 - 用于 IOC 关联的威胁情报 feeds ## 工作流程 1. **制定假设**:基于威胁情报或 ATT&CK 差距分析,定义可测试的假设。 2. **识别数据源**:确定验证或反驳假设所需的日志和遥测数据。 3. **执行查询**:针对 SIEM 和 EDR 平台运行检测查询,收集相关事件。 4. **分析结果**:检查查询结果中的异常,并跨多个数据源进行关联。 5. **验证发现**:通过上下文分析区分真阳性和假阳性。 6. **关联活动**:将发现结果链接到更广泛的攻击链和威胁行为者 TTP。 7. **记录与报告**:记录发现结果、更新检测规则并推荐响应措施。 ## 核心概念 | 概念 | 描述 | |------|------| | T1078.002 | 域账户(Domain Accounts) | | T1078.001 | 默认账户(Default Accounts) | | T1021 | 远程服务(Remote Services) | ## 工具与系统 | 工具 | 用途 | |------|------| | CrowdStrike Falcon | EDR 遥测和威胁检测 | | Microsoft Defender for Endpoint | 使用 KQL 进行高级狩猎 | | Splunk Enterprise | 使用 SPL 查询进行 SIEM 日志分析 | | Elastic Security | 检测规则和调查时间线 | | Sysmon | 详细的 Windows 事件监控 | | Velociraptor | 终端工件收集和狩猎 | | Sigma Rules | 跨平台检测规则格式 | ## 常见场景 1. **场景 1**:服务账户通过 RDP 登录域控制器 2. **场景 2**:SQL 服务访问范围外的文件共享 3. **场景 3**:备份服务在非工作时间进行横向移动 4. **场景 4**:被攻陷的具有域管理员权限的服务账户被用于执行 DCSync ## 输出格式 ``` Hunt ID: TH-DETECT-[DATE]-[SEQ] Technique: T1078.002 Host: [主机名] User: [账户上下文] Evidence: [日志条目、进程树、网络数据] Risk Level: [Critical/High/Medium/Low] Confidence: [High/Medium/Low] Recommended Action: [遏制、调查、监控] ```
Related Skills
performing-soap-web-service-security-testing
通过分析 WSDL 定义,测试 XML 注入(XML Injection)、XXE、WS-Security 绕过和 SOAPAction 欺骗,对 SOAP Web 服务执行安全测试。
performing-service-account-credential-rotation
跨 Active Directory、云平台和应用程序数据库自动化服务账户凭据轮换,消除陈旧密钥并降低泄露风险。
performing-service-account-audit
审计企业基础设施中的服务账户,识别孤立账户、过度特权账户和不合规账户。本技能涵盖在 Active Directory、云平台中发现服务账户,评估权限级别,识别缺失负责人,以及执行生命周期策略。
performing-privileged-account-discovery
发现并清点企业基础设施中的所有特权账户,包括域管理员、本地管理员、服务账户、数据库管理员、云 IAM 角色和应用管理员账户。
performing-privileged-account-access-review
对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。
performing-aws-account-enumeration-with-scout-suite
使用 ScoutSuite 对 AWS 账户进行全面的安全态势评估,枚举资源、识别配置错误并生成可操作的安全报告。
implementing-mtls-for-zero-trust-services
使用 Python cryptography 库进行证书生成,使用 ssl 模块进行 TLS 验证, 配置微服务之间的双向 TLS(mTLS)身份验证。验证证书链、检查过期情况, 并审计 mTLS 部署状态。适用于实现零信任服务间身份验证的场景。
implementing-api-abuse-detection-with-rate-limiting
使用令牌桶、滑动窗口和自适应速率限制算法实现API滥用检测,防止DDoS、暴力破解和凭据填充攻击。
hunting-for-unusual-service-installations
通过解析系统事件日志中的事件 ID 7045、分析服务二进制路径并识别持久化机制指标,检测可疑 Windows 服务安装(MITRE ATT&CK T1543.003)。
exploiting-constrained-delegation-abuse
利用活动目录中的 Kerberos 约束委派(Constrained Delegation)错误配置,通过 S4U2self 和 S4U2proxy 扩展模拟特权用户,实现横向移动和权限提升。
exploiting-active-directory-certificate-services-esc1
在授权红队评估中,利用活动目录证书服务(AD CS)的 ESC1 错误配置漏洞,以高权限用户身份申请证书并提升域权限。
detecting-wmi-persistence
通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建,检测 WMI 事件订阅持久化。