detecting-pass-the-hash-attacks

por mukul975

skill de detecção de pass-the-hash para hunting de movimentação lateral baseada em NTLM, logons Tipo 3 suspeitos e atividade T1550.002 com logs de Segurança do Windows, Splunk e KQL.

Estrelas0

Favoritos0

Comentários0

Adicionado11 de mai. de 2026

CategoriaThreat Hunting

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-pass-the-hash-attacks

Pontuação editorial

Este skill recebeu 78/100, o que o torna uma boa opção de cadastro para quem quer um fluxo de trabalho pronto para hunting de Pass-the-Hash. O repositório traz estrutura operacional suficiente, exemplos de detecção e scripts de apoio para que um agente consiga acionar e executar com menos tentativa e erro do que em um prompt genérico, embora alguns detalhes de adoção ainda sejam limitados.

78/100

Pontos fortes

Sinais fortes de fluxo de trabalho: orientação clara de quando usar, pré-requisitos e um workflow de hunting em várias fases para detecção proativa e resposta a incidentes.
Bom potencial para agentes: inclui lógica de detecção e exemplos concretos em Splunk SPL, KQL e scripts voltados a Python/EVTX.
Referências de apoio úteis: padrões, notas de API e um template de hunt melhoram a reutilização e facilitam operacionalizar o skill.

Pontos de atenção

O comando de instalação não aparece no SKILL.md, então talvez seja preciso inferir a configuração e as dependências de execução pelos scripts e pelas referências.
O fluxo mostrado parece mais focado em detecção do que ponta a ponta, então o ideal é esperar adaptações de consultas e baselines ao seu próprio telemetria e ambiente.

Pass The Hash Ntlm Windows Security Sysmon Microsoft Defender Splunk

Visão geral

Visão geral da skill de detectar ataques Pass-the-Hash

O que esta skill faz

A skill detecting-pass-the-hash-attacks ajuda você a caçar movimentação lateral baseada em NTLM, com foco em padrões de autenticação do Windows que muitas vezes indicam atividade de Pass-the-Hash. Ela foi criada para defensores que precisam de uma skill prática de detecting-pass-the-hash-attacks, e não de um resumo teórico pesado do ATT&CK.

Para quem ela é mais indicada e em quais cenários usar

Use esta skill se você é threat hunter, analista de SOC ou respondente a incidentes tentando confirmar logons Tipo 3 suspeitos, mapear atividade provável de T1550.002 ou transformar logs brutos de Security em um indício defensável. Ela é especialmente útil para detecting-pass-the-hash-attacks for Threat Hunting quando você já tem telemetria do Windows e precisa de melhor triagem, correlação e estrutura de hunting.

O que a torna diferente

Este repositório não é só um wrapper de prompt: ele inclui templates de hunting, lógica de detecção, padrões e scripts auxiliares executáveis. Isso significa que a skill pode apoiar tanto o fluxo de trabalho do analista quanto a engenharia de detecção, o que importa quando você quer um uso de detecting-pass-the-hash-attacks que gere resultados repetíveis em vez de saídas narrativas pontuais.

Como usar a skill detecting-pass-the-hash-attacks

Instale e inspecione o repositório primeiro

Para detecting-pass-the-hash-attacks install, use o fluxo normal de adição de skill do pacote e, antes de qualquer outra coisa, leia SKILL.md. Depois disso, verifique references/workflows.md, references/api-reference.md, references/standards.md e assets/template.md para entender o modelo de hunting, os campos de evento que a skill espera e o formato de saída que ela foi projetada para produzir.

Forneça a entrada certa para a skill

A skill funciona melhor quando seu prompt inclui a origem dos dados, a plataforma e o objetivo da investigação. Uma solicitação fraca seria “encontre Pass-the-Hash”. Um prompt mais forte de detecting-pass-the-hash-attacks usage é: “Analise os dados do Windows Security Event 4624 e do Sysmon em busca de logons NTLM Tipo 3 partindo de uma origem para múltiplos destinos, identifique atividade provável de T1550.002 e retorne notas de hunting junto com uma query para Splunk ou KQL que eu possa executar.”

Fluxo de trabalho sugerido

Comece com uma hipótese e depois especifique o escopo: janela de tempo, população de usuários, domínio e fontes de log. Se você tiver um alerta, inclua o indicador que o disparou e peça para a skill correlacioná-lo com comportamento de logon NTLM, uso de contas privilegiadas ou sinais de comprometimento relacionados ao LSASS. Se estiver criando uma detecção, peça a query, os filtros de falso positivo e os campos necessários para validação.

Arquivos e caminhos que vale a pena ler

Leia assets/template.md para ver a planilha de hunting que a skill espera que você preencha. Use references/api-reference.md para os campos exatos que importam no Event ID 4624 e references/workflows.md para os padrões de Splunk e KQL que orientam o hunting. Se quiser operacionalizar a saída, inspecione scripts/agent.py e scripts/process.py para entender como o repositório normaliza eventos e filtra ruído óbvio.

FAQ da skill detecting-pass-the-hash-attacks

Isso serve só para resposta a incidentes no Windows?

Não. O melhor encaixe é em telemetria de autenticação do Windows, mas a skill também é útil em hunting proativo, validação de purple team e ajuste de detecção. Se o seu ambiente não encaminha logs de Security ou eventos relacionados a NTLM, detecting-pass-the-hash-attacks será menos eficaz.

Em que isso difere de um prompt genérico?

Um prompt genérico pode descrever Pass-the-Hash, mas esta skill é estruturada em torno de entradas concretas de hunting: Event ID 4624, Logon Type 3, NTLM, fan-out de origem para destino e contexto de correlação. Isso torna o install de detecting-pass-the-hash-attacks mais valioso quando você quer saída mais rápida, consistente e com menos incerteza sobre quais evidências importam.

Preciso ser iniciante ou especialista?

Iniciantes conseguem usar a skill se souberem nomear a origem dos dados e o objetivo da investigação. Usuários mais experientes tendem a obter resultados melhores porque conseguem especificar a sintaxe da plataforma, as premissas de baseline e as regras de exclusão. A skill é mais valiosa quando você já sabe o suficiente para pedir um hunting preciso em vez de uma explicação ampla.

Quando não devo usá-la?

Não use esta skill como substituta para telemetria ausente e não espere confirmar comprometimento com um único logon NTLM isolado. Se você tiver apenas logs parciais, sem IP de origem ou sem contexto de destino, a skill pode gerar leads ruidosos. Nesses casos, comece melhorando a coleta antes de confiar na saída de detecting-pass-the-hash-attacks.

Como melhorar a skill detecting-pass-the-hash-attacks

Forneça evidências mais fortes

O maior salto de qualidade vem de incluir campos exatos: EventID, LogonType, AuthenticationPackageName, TargetUserName, IpAddress, Computer e o intervalo de tempo. Se você tiver um baseline confiável, diga isso. Se suspeitar de um caminho de movimentação lateral, inclua host de origem, conjunto de hosts de destino e se contas privilegiadas estavam envolvidas.

Peça uma saída que combine com a tarefa

Se você precisa de hunting, peça hipóteses, queries e etapas de validação. Se precisa de conteúdo de detecção, peça uma regra concisa e notas de tuning. Se precisa de uma investigação, peça priorização de leads e lógica de correlação. Isso importa porque os resultados do detecting-pass-the-hash-attacks guide melhoram quando o prompt nomeia o entregável pretendido em vez de pedir “análise” de forma genérica.

Fique atento aos modos de falha comuns

O principal risco é tratar uso benigno de NTLM como malicioso. Outro erro frequente é ignorar contas de sistema, loopback local ou hosts de gerenciamento conhecidos. Melhore a skill dizendo explicitamente o que excluir, qual janela de baseline usar e quantos sistemas de destino devem acionar suspeita.

Itere depois da primeira execução

Use a primeira resposta para estreitar o hunting e rode novamente com achados reais: uma conta suspeita, um par de hosts, um recorte de tempo ou um conjunto de resultados de query. Peça filtros refinados, detecções alternativas ou uma segunda passada de correlação com indicadores de credential dumping. Normalmente, esse é o caminho mais rápido para transformar o uso de detecting-pass-the-hash-attacks em um fluxo de investigação realmente utilizável.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

detecting-s3-data-exfiltration-attempts

por mukul975

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ajuda a investigar o histórico de conexão de dispositivos USB no Windows usando hives de registro, logs de eventos e setupapi.dev.log para Forense Digital, análise de ameaça interna e resposta a incidentes. O skill apoia a reconstrução de linhas do tempo, a correlação de dispositivos e a análise de evidências de mídias removíveis.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ajuda a caçar tentativas de escalada de privilégios no Windows e no Linux, incluindo manipulação de token, bypass de UAC, paths de serviço sem aspas, exploits de kernel e abuso de sudo/doas. Foi criado para equipes de threat hunting que precisam de um fluxo de trabalho prático, consultas de referência e scripts auxiliares.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

A skill detecting-evasion-techniques-in-endpoint-logs ajuda a caçar táticas de evasão de defesa em logs de endpoints Windows, incluindo limpeza de logs, timestomping, injeção de processo e desativação de ferramentas de segurança. Use-a para threat hunting, engenharia de detecção e triagem de incidentes com telemetria do Sysmon, do Windows Security ou de EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ajuda equipes de resposta a incidentes a analisar PCAPs, flow logs e capturas de pacotes para confirmar C2, movimento lateral, exfiltração e tentativas de exploração. Feita para análise de tráfego de rede em Incident Response com Wireshark, Zeek e investigação no estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

detecting-process-hollowing-technique

por mukul975

detecting-process-hollowing-technique ajuda a caçar process hollowing (T1055.012) em telemetria do Windows correlacionando execuções suspensas, adulteração de memória, anomalias entre processo pai e filho e evidências de API. Feita para threat hunters, detection engineers e responders que precisam de um detecting-process-hollowing-technique prático para o fluxo de trabalho de Threat Hunting.

Threat Hunting

Favoritos 0GitHub 0

detecting-rdp-brute-force-attacks

por mukul975

O detecting-rdp-brute-force-attacks ajuda a analisar Windows Security Event Logs em busca de padrões de brute force em RDP, incluindo falhas repetidas do Event 4625, sucesso do 4624 após falhas, logons relacionados a NLA e concentração por IP de origem. Use-o para Security Audit, threat hunting e investigações repetíveis com EVTX.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ajuda fluxos de trabalho de DFIR e threat hunting a detectar rootkits no kernel Linux com checagens cross-view do Volatility3, varreduras com rkhunter e análise de /proc versus /sys para identificar módulos ocultos, syscalls com hook e estruturas do kernel adulteradas. É um guia prático de analyzing-linux-kernel-rootkits para triagem forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

Security Audit

Favoritos 0GitHub 0

exploiting-kerberoasting-with-impacket

por mukul975

O exploitng-kerberoasting-with-impacket ajuda testadores autorizados a planejar Kerberoasting com o `GetUserSPNs.py` do Impacket, desde a enumeração de SPNs até a extração de tickets TGS, crack offline e relatórios com foco em detecção. Use este guia de exploiting-kerberoasting-with-impacket para fluxos de teste de intrusão com contexto claro de instalação e uso.

Penetration Testing

Favoritos 0GitHub 6.2k

detecting-shadow-it-cloud-usage

por mukul975

A skill detecting-shadow-it-cloud-usage ajuda a identificar uso não autorizado de SaaS e serviços de cloud a partir de logs de proxy, consultas DNS e netflow. Ela classifica domínios, compara com listas aprovadas e dá suporte a fluxos de auditoria de segurança com evidências estruturadas, conforme o guia da skill detecting-shadow-it-cloud-usage.

Security Audit

Favoritos 0GitHub 6.2k

detecting-service-account-abuse

por mukul975

detecting-service-account-abuse é uma skill de threat hunting para encontrar uso indevido de contas de serviço em telemetria do Windows, AD, SIEM e EDR. O foco está em logons interativos suspeitos, escalada de privilégios, movimento lateral e anomalias de acesso, com um template de caça, event IDs e referências de workflow para investigações repetíveis.

Threat Hunting

Favoritos 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

por mukul975

analyzing-browser-forensics-with-hindsight ajuda equipes de Forense Digital a analisar artefatos de navegadores Chromium com o Hindsight, incluindo histórico, downloads, cookies, autofill, favoritos, metadados de credenciais salvas, cache e extensões. Use-o para reconstruir atividades na web, revisar linhas do tempo e investigar perfis do Chrome, Edge, Brave e Opera.

Digital Forensics

Favoritos 0GitHub 6.2k