detecting-pass-the-hash-attacks

par mukul975

Skill de détection des attaques Pass-the-Hash pour la chasse aux mouvements latéraux basés sur NTLM, aux connexions de type 3 suspectes et à l’activité T1550.002 avec les journaux de sécurité Windows, Splunk et KQL.

Étoiles0

Favoris0

Commentaires0

Ajouté11 mai 2026

CatégorieThreat Hunting

Commande d’installation

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-pass-the-hash-attacks

Score éditorial

Ce skill obtient un score de 78/100, ce qui en fait un bon candidat pour les utilisateurs qui veulent un workflow de chasse Pass-the-Hash prêt à l’emploi. Le dépôt fournit une structure opérationnelle suffisante, des détections d’exemple et des scripts d’appui qu’un agent peut déclencher et exécuter avec moins d’hypothèses qu’avec un prompt générique, même si certains détails d’adoption restent encore limités.

78/100

Points forts

Signaux de workflow solides : consignes claires sur les cas d’usage, prérequis et workflow de chasse en plusieurs phases pour la détection proactive et la réponse à incident.
Bon potentiel d’automatisation agentique : la skill inclut une logique de détection et des exemples concrets en Splunk SPL, KQL et des scripts orientés Python/EVTX.
Références utiles : les standards, les notes sur l’API et un modèle de chasse facilitent la réutilisation et l’industrialisation de la skill.

Points de vigilance

La commande d’installation est absente de `SKILL.md`, donc les utilisateurs devront peut-être déduire les étapes de mise en place et les dépendances d’exécution à partir des scripts et des références.
Le workflow extrait semble davantage centré sur la détection que sur un processus de bout en bout ; il faudra donc probablement adapter les requêtes et les seuils de référence à votre propre télémétrie et à votre environnement.

Pass The Hash Ntlm Windows Security Sysmon Microsoft Defender Splunk

Vue d’ensemble

Vue d’ensemble du skill detecting-pass-the-hash-attacks

Ce que fait ce skill

Le skill detecting-pass-the-hash-attacks vous aide à traquer les mouvements latéraux basés sur NTLM en se concentrant sur les schémas d’authentification Windows qui signalent souvent une activité Pass-the-Hash. Il est conçu pour les défenseurs qui ont besoin d’un skill detecting-pass-the-hash-attacks pratique, et non d’un rappel théorique d’ATT&CK trop lourd.

Pour qui il est le plus adapté et dans quels cas l’utiliser

Utilisez-le si vous êtes threat hunter, analyste SOC ou intervenant en réponse à incident et que vous devez confirmer des connexions de type 3 suspectes, cartographier une activité probable T1550.002 ou transformer des journaux Security bruts en piste d’enquête défendable. Il est particulièrement utile pour detecting-pass-the-hash-attacks for Threat Hunting lorsque vous disposez déjà de la télémétrie Windows et que vous avez besoin d’une meilleure priorisation, d’une meilleure corrélation et d’une structure de chasse plus solide.

Ce qui le distingue

Ce dépôt n’est pas seulement un wrapper de prompt : il inclut des modèles de chasse, de la logique de détection, des standards et des scripts d’assistance exécutables. Le skill peut donc servir à la fois le travail d’analyse et l’ingénierie de détection, ce qui compte quand vous voulez un usage de detecting-pass-the-hash-attacks qui produit des résultats reproductibles plutôt qu’un simple texte narratif ponctuel.

Comment utiliser le skill detecting-pass-the-hash-attacks

Installez-le et examinez d’abord le dépôt

Pour detecting-pass-the-hash-attacks install, suivez le flux habituel d’ajout du skill du package, puis lisez SKILL.md en priorité. Ensuite, consultez references/workflows.md, references/api-reference.md, references/standards.md et assets/template.md afin de comprendre le modèle de chasse, les champs d’événement attendus par le skill et le format de sortie qu’il est conçu pour produire.

Donnez au skill la bonne entrée

Le skill fonctionne mieux lorsque votre prompt précise la source de données, la plateforme et l’objectif d’investigation. Une demande faible serait « find Pass-the-Hash ». Un prompt detecting-pass-the-hash-attacks usage plus solide serait : « Analyze Windows Security Event 4624 and Sysmon data for NTLM Type 3 logons from one source to multiple targets, identify likely T1550.002 activity, and return hunt notes plus a Splunk or KQL query I can run. »

Workflow recommandé

Commencez par une hypothèse, puis précisez le périmètre : fenêtre temporelle, population d’utilisateurs, domaine et sources de logs. Si vous avez une alerte, ajoutez l’indicateur déclencheur et demandez au skill de le corréler avec le comportement de connexion NTLM, l’usage de comptes privilégiés ou des signaux de compromission liés à LSASS. Si vous construisez une détection, demandez la requête, les filtres de faux positifs et les champs nécessaires à la validation.

Fichiers et chemins à lire en priorité

Lisez assets/template.md pour voir la fiche de chasse que le skill attend de votre part. Utilisez references/api-reference.md pour les champs exacts qui comptent dans Event ID 4624, et references/workflows.md pour les modèles Splunk et KQL qui structurent la chasse. Si vous voulez industrialiser le résultat, inspectez scripts/agent.py et scripts/process.py pour comprendre comment le dépôt normalise les événements et filtre le bruit évident.

FAQ du skill detecting-pass-the-hash-attacks

Est-ce réservé à la réponse à incident Windows ?

Non. Le meilleur cas d’usage reste la télémétrie d’authentification Windows, mais le skill est aussi utile pour les chasses proactives, la validation purple team et le réglage des détections. Si votre environnement ne remonte pas les journaux Security ou les événements liés à NTLM, detecting-pass-the-hash-attacks sera moins efficace.

En quoi est-ce différent d’un prompt générique ?

Un prompt générique peut décrire le Pass-the-Hash, mais ce skill est structuré autour d’entrées de chasse concrètes : Event ID 4624, Logon Type 3, NTLM, fan-out source-vers-cible et contexte de corrélation. C’est ce qui rend l’installation de detecting-pass-the-hash-attacks pertinente lorsque vous voulez des sorties plus rapides, plus cohérentes et moins d’hésitation sur les preuves qui comptent.

Faut-il être débutant ou expert ?

Les débutants peuvent l’utiliser s’ils savent nommer la source de données et l’objectif de l’enquête. Les utilisateurs plus expérimentés obtiendront de meilleurs résultats, car ils peuvent préciser la syntaxe de la plateforme, les hypothèses de référence et les règles d’exclusion. Le skill est le plus utile quand vous savez déjà suffisamment pour demander une chasse précise plutôt qu’une explication générale.

Quand ne faut-il pas l’utiliser ?

Ne l’utilisez pas comme substitut à une télémétrie manquante, et n’attendez pas qu’il confirme une compromission à partir d’un seul logon NTLM. Si vous n’avez que des logs partiels, pas d’adresse source ou pas de contexte de destination, le skill peut générer des pistes bruyantes. Dans ce cas, commencez par améliorer la collecte avant de vous appuyer sur la sortie de detecting-pass-the-hash-attacks.

Comment améliorer le skill detecting-pass-the-hash-attacks

Apportez des preuves plus solides

Le plus gros gain de qualité vient de l’ajout de champs exacts : EventID, LogonType, AuthenticationPackageName, TargetUserName, IpAddress, Computer et la plage horaire. Si vous disposez d’une base de référence saine, dites-le. Si vous soupçonnez un chemin de mouvement latéral, indiquez l’hôte source, l’ensemble des hôtes cibles et la présence éventuelle de comptes privilégiés.

Demandez une sortie alignée sur la tâche

Si vous avez besoin d’une chasse, demandez des hypothèses, des requêtes et des étapes de validation. Si vous avez besoin d’un contenu de détection, demandez une règle concise et des notes de tuning. Si vous avez besoin d’une investigation, demandez une priorisation des pistes et une logique de corrélation. C’est important, car les résultats du detecting-pass-the-hash-attacks guide s’améliorent quand le prompt nomme le livrable attendu au lieu de demander simplement une « analyse » au sens large.

Méfiez-vous des écueils courants

Le principal risque est de classer à tort un usage NTLM bénin comme malveillant. Un autre oubli fréquent consiste à ignorer les comptes système, le loopback local ou les hôtes d’administration connus. Améliorez le skill en lui indiquant explicitement ce qu’il faut exclure, la fenêtre de base à utiliser et à partir de combien de systèmes cibles il faut lever un soupçon.

Itérez après le premier passage

Utilisez la première réponse pour resserrer la chasse, puis relancez avec de vrais éléments : un compte suspect, une paire d’hôtes, une tranche horaire ou un ensemble de résultats de requête. Demandez des filtres affinés, des détections alternatives ou une corrélation de second passage avec des indicateurs de vol d’identifiants. C’est généralement la façon la plus rapide de transformer l’usage de detecting-pass-the-hash-attacks en workflow d’investigation exploitable.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

detecting-s3-data-exfiltration-attempts

par mukul975

detecting-s3-data-exfiltration-attempts aide à enquêter sur une possible exfiltration de données AWS S3 en corrélant les événements CloudTrail S3 data events, les findings GuardDuty, les alertes Amazon Macie et les schémas d’accès à S3. Utilisez ce skill detecting-s3-data-exfiltration-attempts pour les audits de sécurité, la réponse à incident et l’analyse de téléchargements massifs suspects.

Security Audit

Favoris 0GitHub 6.2k

analyzing-usb-device-connection-history

par mukul975

analyzing-usb-device-connection-history aide à enquêter sur l’historique de connexion des périphériques USB sous Windows à l’aide des ruches de registre, des journaux d’événements et de `setupapi.dev.log` pour la criminalistique numérique, les enquêtes sur les menaces internes et la réponse à incident. Il prend en charge la reconstitution de chronologies, la corrélation des périphériques et l’analyse des preuves liées aux supports amovibles.

Digital Forensics

Favoris 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

par mukul975

analyzing-bootkit-and-rootkit-samples est une skill d’analyse de malware pour les investigations MBR, VBR, UEFI et rootkit. Utilisez-la pour examiner les secteurs de démarrage, les modules de firmware et les indicateurs anti-rootkit lorsque la compromission persiste sous la couche du système d’exploitation. Elle convient aux analystes qui ont besoin d’un guide pratique, d’un workflow clair et d’un triage fondé sur des preuves pour l’analyse de malware.

Malware Analysis

Favoris 0GitHub 6.2k

detecting-ransomware-encryption-behavior

par mukul975

detecting-ransomware-encryption-behavior aide les défenseurs à repérer un chiffrement de type ransomware grâce à l’analyse de l’entropie, à la surveillance des E/S fichiers et à des heuristiques comportementales. Ce skill convient à la réponse à incident, au réglage d’un SOC et à la validation red team lorsque vous devez détecter rapidement des changements massifs de fichiers, des rafales de renommage et une activité suspecte de processus.

Incident Response

Favoris 0GitHub 0

detecting-privilege-escalation-attempts

par mukul975

detecting-privilege-escalation-attempts aide à traquer les élévations de privilèges sur Windows et Linux, notamment la manipulation de jetons, les contournements de l’UAC, les chemins de service non entre guillemets, les exploits du noyau et les abus de sudo/doas. Pensé pour les équipes de threat hunting qui ont besoin d’un flux de travail concret, de requêtes de référence et de scripts utilitaires.

Threat Hunting

Favoris 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

par mukul975

La skill de détection des techniques d’évasion dans les logs endpoint aide à repérer l’évasion des défenses dans les journaux d’endpoint Windows, notamment la suppression de logs, le timestomping, l’injection de processus et la désactivation d’outils de sécurité. Utilisez-la pour la threat hunting, la détection, l’ingénierie de détection et le triage d’incidents avec Sysmon, Windows Security ou des télémétries EDR.

Threat Hunting

Favoris 0GitHub 0

analyzing-network-traffic-for-incidents

par mukul975

analyzing-network-traffic-for-incidents aide les intervenants en réponse aux incidents à analyser des PCAP, des journaux de flux et des captures de paquets pour confirmer des tentatives de C2, de mouvement latéral, d’exfiltration et d’exploitation. Conçu pour l’analyse du trafic réseau dans le cadre de la réponse aux incidents avec Wireshark, Zeek et des investigations de type NetFlow.

Incident Response

Favoris 0GitHub 0

detecting-process-injection-techniques

par mukul975

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

Security Audit

Favoris 0GitHub 0

detecting-process-hollowing-technique

par mukul975

detecting-process-hollowing-technique aide à traquer le process hollowing (T1055.012) dans la télémétrie Windows en corrélant les lancements suspendus, les altérations mémoire, les anomalies parent-enfant et les preuves d’API. Conçu pour les threat hunters, les detection engineers et les intervenants qui ont besoin d’un workflow pratique de detecting-process-hollowing-technique pour le Threat Hunting.

Threat Hunting

Favoris 0GitHub 0

detecting-rdp-brute-force-attacks

par mukul975

detecting-rdp-brute-force-attacks aide à analyser les journaux d’événements de sécurité Windows pour repérer des schémas de force brute RDP, notamment des échecs 4625 répétés, des succès 4624 après plusieurs échecs, des connexions liées à NLA et des concentrations par IP source. À utiliser pour les audits de sécurité, la chasse aux menaces et les investigations reproductibles basées sur des fichiers EVTX.

Security Audit

Favoris 0GitHub 6.2k

analyzing-linux-kernel-rootkits

par mukul975

analyzing-linux-kernel-rootkits aide les workflows DFIR et de threat hunting à détecter les rootkits du noyau Linux grâce à des vérifications croisée avec Volatility3, des analyses rkhunter et une comparaison /proc vs /sys pour repérer les modules cachés, les syscalls détournés et les structures du noyau altérées. C’est un guide pratique analyzing-linux-kernel-rootkits pour le triage forensique.

Digital Forensics

Favoris 0GitHub 0

detecting-mimikatz-execution-patterns

par mukul975

detecting-mimikatz-execution-patterns aide les analystes à détecter l’exécution de Mimikatz à l’aide de patterns de ligne de commande, de signaux d’accès à LSASS, d’indicateurs binaires et d’artefacts mémoire. Utilisez cette installation du skill detecting-mimikatz-execution-patterns pour les audits de sécurité, la chasse et la réponse à incident, avec des modèles, des références et des indications de workflow.

Security Audit

Favoris 0GitHub 0

exploiting-kerberoasting-with-impacket

par mukul975

exploiting-kerberoasting-with-impacket aide les testeurs autorisés à préparer un Kerberoasting avec `GetUserSPNs.py` d’Impacket, de l’énumération des SPN à l’extraction des tickets TGS, au cassage hors ligne et au reporting tenant compte de la détection. Utilisez ce guide exploiting-kerberoasting-with-impacket pour des workflows de test d’intrusion, avec un contexte clair d’installation et d’utilisation.

Penetration Testing

Favoris 0GitHub 6.2k

detecting-shadow-it-cloud-usage

par mukul975

detecting-shadow-it-cloud-usage aide à identifier les usages SaaS et cloud non autorisés à partir de logs proxy, de requêtes DNS et de données netflow. Il classe les domaines, les compare aux listes approuvées et prend en charge les workflows d'audit de sécurité avec des preuves structurées issues du guide du skill detecting-shadow-it-cloud-usage.

Security Audit

Favoris 0GitHub 6.2k

detecting-service-account-abuse

par mukul975

detecting-service-account-abuse est une skill de threat hunting conçue pour repérer les abus de comptes de service à travers les télémétries Windows, AD, SIEM et EDR. Elle se concentre sur les connexions interactives suspectes, l’élévation de privilèges, les mouvements latéraux et les anomalies d’accès, avec un modèle de chasse, des ID d’événements et des références de workflow pour mener des investigations répétables.

Threat Hunting

Favoris 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

par mukul975

analyzing-browser-forensics-with-hindsight aide les équipes de criminalistique numérique à analyser les artefacts des navigateurs Chromium avec Hindsight, notamment l’historique, les téléchargements, les cookies, la saisie automatique, les favoris, les métadonnées des identifiants enregistrés, le cache et les extensions. Servez-vous-en pour reconstituer l’activité web, examiner des chronologies et enquêter sur les profils Chrome, Edge, Brave et Opera.

Digital Forensics

Favoris 0GitHub 6.2k