Detects Kerberos golden ticket forgery by analyzing Windows Event ID 4769 in Splunk and Elastic SIEM for RC4 (0x17) downgrades, anomalous ticket lifecycles, and krbtgt account anomalies.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
黄金票据攻击(MITRE ATT&CK T1558.001)通过使用 krbtgt 账户 NTLM 哈希伪造 Kerberos 票据授予票据(TGT),从而获得对 Active Directory 域中任何服务的无限制访问权。本技能通过以下方式检测黄金票据使用:在强制执行 AES 的环境中分析事件 ID 4769 中的 RC4 加密类型(0x17),识别超过域策略的异常生命周期票据,关联 TGS 请求与缺少对应 TGT 请求(事件 ID 4768),以及检测 krbtgt 密码年龄异常。
Detects Kerberos Golden Ticket forgery via Windows Event ID 4769 analysis in Splunk/Elastic SIEM for RC4 encryption downgrades, abnormal lifetimes, and krbtgt anomalies. For threat hunting and SOC detection rules.
Detects Kerberos Golden Ticket forgery in Windows Event ID 4769 via Splunk/Elastic SIEM, identifying RC4 downgrades, abnormal lifetimes, orphaned TGS, and krbtgt anomalies.
Detects Golden Ticket attacks in Active Directory by analyzing Kerberos TGT anomalies including encryption type mismatches, impossible lifetimes, non-existent accounts, and forged PAC signatures in DC event logs.
Share bugs, ideas, or general feedback.
黄金票据攻击(MITRE ATT&CK T1558.001)通过使用 krbtgt 账户 NTLM 哈希伪造 Kerberos 票据授予票据(TGT),从而获得对 Active Directory 域中任何服务的无限制访问权。本技能通过以下方式检测黄金票据使用:在强制执行 AES 的环境中分析事件 ID 4769 中的 RC4 加密类型(0x17),识别超过域策略的异常生命周期票据,关联 TGS 请求与缺少对应 TGT 请求(事件 ID 4768),以及检测 krbtgt 密码年龄异常。
JSON 报告,包含黄金票据指标,包括 RC4 降级、孤立 TGS 请求、异常票据生命周期,以及带 MITRE ATT&CK 技术映射的风险评分告警。