Skill

hunting-for-dcsync-attacks

Detects DCSync attacks by analyzing Windows event ID 4662 for unauthorized DS-Replication-Get-Changes requests from non-domain controller accounts. For Active Directory threat hunting.

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

- 狩猎 DCSync 凭据窃取行为（MITRE ATT&CK T1003.006）时

Supporting Assets

LICENSEreferences/api-reference.mdscripts/agent.py

SKILL.md

Similar Skills

hunting-for-dcsync-attacks

Detects DCSync attacks by analyzing Windows Event ID 4662 for unauthorized DS-Replication-Get-Changes requests from non-domain-controller accounts. For threat hunting in Active Directory.

asi

hunting-for-dcsync-attacks

5.9k

Detects DCSync attacks by analyzing Windows Event ID 4662 for unauthorized DS-Replication-Get-Changes requests from non-DC accounts. Guides AD threat hunting and incident response.

3 files

cybersecurity-skills

detecting-dcsync-attack-in-active-directory

Detects DCSync attacks in Active Directory by monitoring non-domain controller accounts requesting directory replication via DsGetNCChanges and Event ID 4662. Useful for threat hunting credential theft with Mimikatz or Impacket.

7 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

狩猎 DCSync 攻击

适用场景

狩猎 DCSync 凭据窃取行为（MITRE ATT&CK T1003.006）时
在环境中检测到 Mimikatz 或类似工具后
涉及 Active Directory 失陷的事件响应期间
监控未授权的域复制请求时
紫队演练测试 AD 攻击检测时

前置条件

启用 Windows 安全事件日志转发（事件 ID 4662）
通过组策略启用"审核目录服务访问"
在域对象上配置域计算机 SACL 以检测机器账户
已接入 Windows 事件数据的 SIEM（Splunk、Elastic、Sentinel）
了解合法的域控制器账户和复制伙伴

工作流程

启用审计：确保在域控制器上启用"审核目录服务访问"。
收集事件：收集 AccessMask 为 0x100（控制访问）的 Windows 事件 ID 4662。
过滤复制 GUID：搜索 DS-Replication-Get-Changes 和 DS-Replication-Get-Changes-All。
识别非 DC 来源：标记 SubjectUserName 非域控制器机器账户的事件。
关联网络数据：将源 IP 与已知 DC 地址进行交叉比对。
验证发现：排除合法的复制工具（Azure AD Connect、SCCM）。
响应：禁用失陷账户、重置 krbtgt、调查横向移动。

核心概念

概念	描述
DCSync	滥用 AD 复制协议提取密码哈希的技术
事件 ID 4662	目录服务访问审计事件
DS-Replication-Get-Changes	GUID 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2
DS-Replication-Get-Changes-All	GUID 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2
AccessMask 0x100	控制访问权限，表示扩展权限验证
T1003.006	OS 凭据转储：DCSync

工具与系统

工具	用途
Windows 事件查看器	直接分析事件日志
Splunk	事件 4662 的 SIEM 关联分析
Elastic Security	DCSync 模式检测规则
Mimikatz lsadump::dcsync	执行 DCSync 的攻击工具
Impacket secretsdump.py	基于 Python 的 DCSync 实现
BloodHound	识别具有复制权限的账户

输出格式

狩猎 ID：TH-DCSYNC-[日期]-[序号]
技术：T1003.006
域控制器：[DC 主机名]
主体账户：[执行复制的账户]
源 IP：[非 DC IP 地址]
访问的 GUID：[复制 GUID]
风险等级：[严重/高/中/低]
建议操作：[禁用账户、重置 krbtgt、展开调查]