Detects Kerberos Pass-the-Ticket attacks in Splunk/Elastic SIEM by analyzing Windows event IDs 4768/4769/4771 for anomalies like cross-host ticket reuse, RC4 downgrades, and unusual request volumes.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
票据传递(PtT)是一种凭据盗窃技术(MITRE ATT&CK T1550.003),攻击者从一个系统中窃取 Kerberos 票据(TGT 或 TGS),然后在另一个系统上重放,无需知道用户密码即可进行认证。本技能通过关联 Windows 安全事件 ID 4768(TGT 请求)、4769(TGS 请求)和 4771(预认证失败)来检测 PtT 攻击,寻找异常情况,如跨不同主机的票据重用、RC4 加密降级和异常的服务票据请求量。
Detects Kerberos Pass-the-Ticket attacks by analyzing Windows Event IDs 4768, 4769, 4771 in Splunk/Elastic SIEM for ticket reuse, RC4 downgrades, and volume anomalies. For threat hunting and SOC monitoring.
Detects Kerberos Pass-the-Ticket (PtT) attacks in Splunk or Elastic SIEM by analyzing Windows Event IDs 4768, 4769, 4771 for anomalous ticket reuse, RC4 downgrades, and request volumes.
Detects Kerberos golden ticket forgery by analyzing Windows Event ID 4769 in Splunk and Elastic SIEM for RC4 (0x17) downgrades, anomalous ticket lifecycles, and krbtgt account anomalies.
Share bugs, ideas, or general feedback.
票据传递(PtT)是一种凭据盗窃技术(MITRE ATT&CK T1550.003),攻击者从一个系统中窃取 Kerberos 票据(TGT 或 TGS),然后在另一个系统上重放,无需知道用户密码即可进行认证。本技能通过关联 Windows 安全事件 ID 4768(TGT 请求)、4769(TGS 请求)和 4771(预认证失败)来检测 PtT 攻击,寻找异常情况,如跨不同主机的票据重用、RC4 加密降级和异常的服务票据请求量。
requests 库JSON 报告,包含检测到的 PtT 指标,包括异常票据请求、RC4 降级、跨主机票据重用事件,以及带 MITRE ATT&CK 技术映射的风险评分用户。