detecting-golden-ticket-forgery

por mukul975

detecting-golden-ticket-forgery detecta la falsificación de Kerberos Golden Ticket mediante el análisis del Event ID 4769 de Windows, el uso de degradación a RC4 (0x17), duraciones anómalas de los tickets y anomalías de krbtgt en Splunk y Elastic. Está pensado para auditorías de seguridad, investigación de incidentes y threat hunting, con orientación práctica para la detección.

Estrellas0

Favoritos0

Comentarios0

Agregado9 may 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-golden-ticket-forgery

Puntuación editorial

Esta skill obtiene 78/100, lo que la convierte en una opción sólida para usuarios del directorio que necesitan un flujo de detección de Golden Ticket bien enfocado. El repositorio ofrece lógica de detección concreta, ejemplos de consultas y un script de análisis ejecutable, lo que reduce la improvisación frente a un prompt genérico; aun así, sigue faltando una delimitación operativa más clara y una guía de configuración más completa.

78/100

Puntos fuertes

Disparador y caso de uso concretos: detecta la falsificación de Kerberos Golden Ticket mediante Event IDs 4768/4769, degradaciones a RC4, anomalías en la vida útil de los tickets y anomalías de krbtgt.
Ventaja operativa: incluye ejemplos de Splunk SPL y un script de Python para analizar logs exportados de Windows Security XML.
Buena profundidad de referencia: la documentación de la API vincula indicadores con campos de eventos y patrones de detección, ayudando a los agentes a actuar rápido sobre la skill.

Puntos a tener en cuenta

Los prerrequisitos están truncados en el extracto, así que quienes lo instalen pueden no tener una visión completa de las fuentes de logs requeridas o de las suposiciones del entorno.
No incluye comando de instalación ni empaquetado de inicio rápido, por lo que la adopción puede requerir interpretación manual del script y de los archivos de referencia.

Security Cybersecurity Kerberos Active Directory Golden Ticket Mimikatz Splunk Windows Security

Resumen

Descripción general de la skill detecting-golden-ticket-forgery

Qué hace esta skill

La skill detecting-golden-ticket-forgery ayuda a los analistas a detectar abuso de Kerberos Golden Ticket centrándose en las señales que realmente importan en entornos reales: actividad sospechosa del Event ID 4769, uso de degradación a RC4 en dominios orientados a AES, tiempos de vida de tickets inusualmente largos y anomalías relacionadas con krbtgt. Es ideal para trabajos de auditoría de seguridad, investigación de incidentes e ingeniería de detección cuando necesitas un punto de partida práctico y no un resumen genérico de ATT&CK.

Quién debería usarla

Usa esta skill detecting-golden-ticket-forgery si trabajas con telemetría de dominios Windows en Splunk o Elastic y necesitas convertir datos de autenticación ruidosos en un flujo de detección defendible. Encaja bien para analistas de SOC, threat hunters e ingenieros de detección que ya tienen acceso a logs de seguridad y quieren una lógica de triaje más clara.

Por qué merece la pena instalarla

Su valor principal no es solo “encontrar Golden Tickets”, sino ayudarte a decidir qué revisar primero: el tipo de cifrado en 4769, la ausencia del contexto esperado de 4768 y los valores atípicos de la directiva de dominio. Eso hace que la instalación de detecting-golden-ticket-forgery sea útil cuando necesitas una lógica de hunting repetible, no solo un prompt puntual.

Cómo usar la skill detecting-golden-ticket-forgery

Instálala y colócala en contexto

Instala la skill detecting-golden-ticket-forgery con:
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-golden-ticket-forgery

Después, lee primero skills/detecting-golden-ticket-forgery/SKILL.md, seguido de references/api-reference.md y scripts/agent.py. Esos archivos muestran la lógica de detección, los campos de evento que la skill espera y la ruta del script si quieres automatizar el análisis o adaptar el flujo de trabajo.

Dale la entrada correcta

Para un buen uso de detecting-golden-ticket-forgery, indícale tres cosas desde el principio: tu origen de logs, tu SIEM y cómo se ve lo “normal” en tu dominio. Una solicitud débil sería “busca Golden Tickets”. Una mejor sería: “Construye una búsqueda en Splunk para Event ID 4769 con RC4 0x17, excluye las cuentas de servicio conocidas y explica cómo confirmar si existe 4768 para el mismo usuario”.

Empieza con un flujo de detección

El patrón más útil de la guía detecting-golden-ticket-forgery es:

confirmar si tu entorno debería usar AES,
inspeccionar 4769 para TicketEncryptionType=0x17,
correlacionar con 4768 y 4624 cuando estén disponibles,
comparar la duración del ticket y el comportamiento de la cuenta con la directiva,
separar el abuso probable del Kerberos heredado o del ruido de cuentas de servicio.

Este flujo mantiene la skill anclada en evidencia y no en sospechas amplias.

Lee primero estos archivos

Si quieres una puesta en marcha rápida, revisa SKILL.md para entender la intención de detección, references/api-reference.md para ver los Event IDs clave y ejemplos de consultas de Splunk, y scripts/agent.py para comprender cómo el repositorio modela el análisis de eventos. Ese orden te ayuda a entender la skill antes de intentar reutilizarla en tu propio entorno.

Preguntas frecuentes sobre la skill detecting-golden-ticket-forgery

¿Es solo para Splunk?

No. El repositorio incluye ejemplos para Splunk, pero la skill detecting-golden-ticket-forgery trata realmente sobre la lógica de detección detrás de la consulta. Puedes adaptar los mismos indicadores a Elastic, a un parser propio en Python o a una canalización de SIEM, siempre que dispongas de datos de eventos de Windows Security.

¿Cuál es la principal señal de detección?

La señal recurrente más fuerte es un comportamiento sospechoso en 4769, especialmente RC4 0x17 en entornos que deberían usar AES. La skill también se fija en la ausencia o el desajuste del contexto de 4768, en duraciones anómalas y en anomalías de krbtgt, porque cualquier señal aislada puede generar ruido.

¿Es apta para principiantes?

Es apta para analistas que ya manejan términos básicos de autenticación en Windows, pero no para quien busca una introducción simple a Kerberos en lenguaje llano. La guía detecting-golden-ticket-forgery resulta más útil si puedes interpretar Event IDs, tipos de ticket e hipótesis sobre la directiva de dominio.

¿Cuándo no debería usarla?

No dependas solo de ella cuando solo tengas logs parciales, entornos muy heredados o casos en los que RC4 siga siendo normal por motivos legítimos. En esas situaciones, la skill aún puede ayudarte a estructurar la revisión, pero no debe tomarse como veredicto final sin baselines locales.

Cómo mejorar la skill detecting-golden-ticket-forgery

Aporta baselines específicos de tu entorno

La mejora más importante llega cuando le dices a la skill qué significa “esperado” en tu dominio: política AES, duración normal de los tickets, cuentas de servicio privilegiadas y sistemas heredados conocidos. Sin esos detalles, el uso de detecting-golden-ticket-forgery puede marcar como sospechosa actividad legítima.

Pide un solo tipo de salida por vez

Los mejores resultados salen de solicitudes acotadas: una consulta de hunting, una lista de verificación de triaje, una lista de filtros para falsos positivos o una nota para analistas. Si pides las cuatro cosas a la vez, el resultado suele ser menos accionable que una solicitud centrada de detecting-golden-ticket-forgery para Security Audit.

Vigila los modos de fallo habituales

Los errores más comunes son tratar cualquier ticket RC4 como malicioso, ignorar las excepciones de cuentas de servicio y omitir la correlación con 4768. Cuando iteres, pide a la skill que explique por qué importa cada indicador y qué casos benignos podrían imitarlo.

Mejora la segunda pasada

Después de la primera salida, devuelve las carencias: los nombres de campos de tu SIEM, las fuentes de logs que faltan o una alerta de muestra en la que ya confíes. Después, pide a la skill detecting-golden-ticket-forgery que afine la consulta, reduzca el ruido o reescriba los pasos de investigación para tu entorno exacto.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

security-threat-model

por openai

Skill security-threat-model, basada en el repositorio, para modelado de amenazas en AppSec. Convierte límites de confianza, activos, objetivos del atacante, rutas de abuso y mitigaciones en un modelo de amenazas conciso en Markdown. Úsala cuando necesites security-threat-model para Threat Modeling sobre un repo o ruta específicos, no para una revisión genérica de arquitectura ni para una comprobación de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

azure-ai-contentsafety-ts

por microsoft

azure-ai-contentsafety-ts ayuda a analizar texto e imágenes en busca de contenido dañino con Azure AI Content Safety en TypeScript. Usa esta skill para flujos de moderación, listas de bloqueo y comprobaciones de auditoría de seguridad sobre odio, violencia, contenido sexual y autolesiones. También incluye la configuración del endpoint de Azure y la autenticación.

Security Audit

Favoritos 0GitHub 2.3k

sharp-edges

por trailofbits

La skill sharp-edges te ayuda a encontrar APIs, configuraciones e interfaces en las que el camino fácil acaba en un uso inseguro. Úsala para revisar flujos de autenticación, envoltorios criptográficos, valores predeterminados peligrosos, la semántica de null o cero y decisiones de diseño propensas a un uso incorrecto. Encaja especialmente bien para trabajos de sharp-edges en auditorías de seguridad cuando necesitas riesgos concretos de uso erróneo, no suposiciones genéricas sobre seguridad.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

por mukul975

La skill de almacenamiento inseguro en móvil ayuda a evaluar y extraer evidencias de almacenamiento local inseguro en apps Android e iOS. Cubre SharedPreferences, bases de datos SQLite, archivos plist, archivos legibles por todos, exposición en copias de seguridad y un manejo débil de keychain/keystore, útil para pentesting móvil y flujos de trabajo de auditoría de seguridad.

Security Audit

Favoritos 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

building-incident-response-playbook ayuda a los equipos de seguridad a crear playbooks reutilizables de respuesta a incidentes con fases paso a paso, árboles de decisión, criterios de escalado, asignación de responsabilidades RACI y una estructura lista para SOAR. Está pensado para documentar procedimientos de respuesta a incidentes, flujos de trabajo de triaje de incidentes y planes operativos de respuesta aptos para auditoría.

Incident Triage

Favoritos 0GitHub 6.1k

building-patch-tuesday-response-process

por mukul975

building-patch-tuesday-response-process ayuda a los equipos a crear un proceso repetible para Microsoft Patch Tuesday: clasificar avisos, priorizar riesgos, probar parches, aprobar su despliegue y hacer seguimiento del cumplimiento. Resulta útil para operaciones de seguridad, gestión de vulnerabilidades y building-patch-tuesday-response-process en Project Management.

Project Management

Favoritos 0GitHub 6.1k

ossfuzz

por trailofbits

Aprende la skill de ossfuzz para configurar fuzzing continuo, registrar proyectos, planificar harnesses y revisar el flujo de compilación. Esta guía ayuda a ingenieros de seguridad y mantenedores a evaluar la preparación, detectar bloqueos de compilación y preparar una ruta práctica desde el árbol de código fuente hasta OSS-Fuzz o una infraestructura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

La skill de codeql te ayuda a ejecutar CodeQL con menos puntos ciegos durante una auditoría de seguridad. Se centra en la calidad de la base de datos, la selección de suites, las extensiones de datos y la revisión de SARIF, para que puedas usar codeql con más fiabilidad en los idiomas compatibles. Úsala para seguir pasos repetibles de la guía de codeql al analizar repositorios reales.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

semgrep-rule-creator crea reglas de Semgrep de calidad de producción para vulnerabilidades de seguridad, patrones de errores, detecciones de flujo de taint y estándares de codificación. Usa la skill semgrep-rule-creator para tareas de auditoría de seguridad cuando necesites reglas precisas, casos de prueba y validación, en lugar de un borrador genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

La skill insecure-defaults ayuda a detectar patrones de configuración fail-open que hacen que el software siga funcionando con ajustes inseguros en vez de detenerse. Úsala en una auditoría de seguridad de código en producción, configuraciones de despliegue y lógica de manejo de secretos para identificar autenticación débil, secretos incrustados y valores predeterminados demasiado permisivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis es una skill de auditoría de seguridad para detectar riesgos de canal lateral por temporización en código criptográfico antes de que se conviertan en fallos explotables. Úsala para revisar matemáticas dependientes de secretos, ramas, comparaciones y el código compilado al auditar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python o Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k