Detects NTLM relay attacks by analyzing Windows event 4624 for NTLMSSP auth, IP-hostname mismatches, Responder traffic signatures, SMB signing status, and cross-domain suspicious patterns. Useful for threat hunting in AD environments.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
NTLM 中继攻击通过拦截并转发 NTLM 认证消息,获取对网络资源的未授权访问。攻击者使用 Responder 进行 LLMNR/NBT-NS 投毒,使用 ntlmrelayx 进行凭据中继。本技能通过以下方式检测中继活动:查询 Windows 安全事件 4624(成功登录),筛选使用 NTLMSSP 认证的类型 3 网络登录;识别 WorkstationName 与来源 IpAddress 的不匹配;检测单一账户的快速多主机认证;审计域内主机的 SMB 签名配置。
Detects NTLM relay attacks by analyzing Windows Event 4624 logon type 3 with NTLMSSP, IP-hostname mismatches, Responder signatures, SMB signing, and suspicious patterns across domains.
Detects NTLM relay attacks via Windows Security Event 4624 LogonType 3 correlation, IP-to-hostname mismatches, Responder/LLMNR poisoning, SMB/LDAP signing audits, and NTLMv2-to-v1 downgrades in Active Directory.
Detects Pass-the-Hash attacks (T1550.002) by analyzing NTLM authentication patterns, unexpected NTLM type 3 logins where Kerberos expected, and credential dump associations in EDR/SIEM logs.
Share bugs, ideas, or general feedback.
NTLM 中继攻击通过拦截并转发 NTLM 认证消息,获取对网络资源的未授权访问。攻击者使用 Responder 进行 LLMNR/NBT-NS 投毒,使用 ntlmrelayx 进行凭据中继。本技能通过以下方式检测中继活动:查询 Windows 安全事件 4624(成功登录),筛选使用 NTLMSSP 认证的类型 3 网络登录;识别 WorkstationName 与来源 IpAddress 的不匹配;检测单一账户的快速多主机认证;审计域内主机的 SMB 签名配置。
JSON 报告,包含疑似中继事件、IP 与主机名关联异常、SMB 签名审计结果,以及到 MITRE ATT&CK T1557.001 的映射。