Hunts MITRE ATT&CK T1098 account manipulation in Windows security event logs using event IDs 4738, 4728, 4732, 4756. Detects shadow admin creation, SID history injection, privileged group changes, credential mods.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
MITRE ATT&CK T1098(账户操纵)涵盖攻击者维持或扩大对受攻击账户访问权限的行为,包括添加凭据、修改组成员资格、SID 历史注入和创建影子管理员账户。本技能通过分析 Windows 安全事件日志(事件 ID 4738、4728、4732、4756、4670、5136)、关联组成员变更与权限提升指标,以及识别异常账户修改模式来检测上述技术。
Hunts MITRE ATT&CK T1098 account manipulation in Windows Security Event Logs by parsing event IDs for shadow admin creation, SID history injection, group changes, and credential modifications. Useful for threat hunting and SOC analysis.
Hunts MITRE ATT&CK T1098 account manipulation via Windows Security Event Logs: parses Event IDs 4738/4728/4732, flags privileged group changes, shadow admins, SID history injection. Outputs JSON reports.
Investigates Active Directory compromises by analyzing authentication logs, replication metadata, group policy changes, and Kerberos ticket anomalies to identify persistence mechanisms and lateral movement paths.
Share bugs, ideas, or general feedback.
MITRE ATT&CK T1098(账户操纵)涵盖攻击者维持或扩大对受攻击账户访问权限的行为,包括添加凭据、修改组成员资格、SID 历史注入和创建影子管理员账户。本技能通过分析 Windows 安全事件日志(事件 ID 4738、4728、4732、4756、4670、5136)、关联组成员变更与权限提升指标,以及识别异常账户修改模式来检测上述技术。
python-evtx、lxml 库提取事件 ID 4738(用户账户已更改)、4728/4732/4756(成员已添加至安全组)和 5136(目录服务对象已修改)。
标记添加到域管理员、企业管理员、架构管理员、Administrators 和 Backup Operators 组的操作。
检测获得 AdminSDHolder 保护的账户、直接权限分配或 SID 历史注入。
将账户变更与身份验证事件交叉对比,识别初始入侵和持久化建立的时间节点。
包含检测到的账户操纵事件、特权组变更、影子管理员指标和时间线关联信息的 JSON 报告。