detecting-pass-the-hash-attacks
作者 mukul975用於偵測 pass-the-hash attacks 的技能,協助追查基於 NTLM 的橫向移動、可疑的 Type 3 登入,以及透過 Windows Security logs、Splunk 和 KQL 進行的 T1550.002 活動。
這個技能評分 78/100,屬於適合想要現成 Pass-the-Hash 狩獵流程的清單候選。此 repository 提供了足夠的作業架構、範例偵測與支援腳本,讓 agent 在執行時比一般提示更少猜測,但導入細節仍稍嫌不足。
- 流程訊號明確:清楚說明適用時機、先決條件,以及用於主動偵測與事件回應的多階段狩獵流程。
- 對 agent 很有幫助:包含偵測邏輯與具體範例,涵蓋 Splunk SPL、KQL 與以 Python/EVTX 為主的腳本。
- 支援參考實用:標準、API 備註與 hunt template 有助於重複使用,也更容易落地運作這個技能。
- SKILL.md 中缺少安裝指令,因此使用者可能需要從腳本與參考資料自行推敲設定步驟與執行時相依性。
- 摘錄出的流程較偏向偵測導向而非端到端,使用者應預期需要依自身的遙測資料與環境調整查詢與基準。
detecting-pass-the-hash-attacks 技能總覽
這個技能能做什麼
detecting-pass-the-hash-attacks 技能可協助你針對 NTLM 為基礎的橫向移動進行追查,重點放在那些常見於 Pass-the-Hash 活動的 Windows 驗證模式。它是為需要實用型 detecting-pass-the-hash-attacks 技能的防禦者打造,而不是那種只重述 ATT&CK 理論的內容。
最適合的使用者與情境
如果你是威脅獵捕人員、SOC 分析師,或事件回應人員,想確認可疑的 Type 3 登入、對應可能的 T1550.002 活動,或把原始 Security 記錄轉成可站得住腳的調查線索,就很適合使用它。當你已經有 Windows 遙測資料,並且需要更好的初步篩選、關聯分析與獵捕結構時,detecting-pass-the-hash-attacks for Threat Hunting 特別有用。
它和其他工具有什麼不同
這個 repo 不只是包一層 prompt:它還包含獵捕範本、偵測邏輯、標準規範,以及可執行的輔助腳本。也就是說,這個技能同時能支援分析師工作流程與偵測工程;當你希望 detecting-pass-the-hash-attacks 的使用結果是可重複、可落地的成果,而不是一次性的敘述輸出時,這點就很重要。
如何使用 detecting-pass-the-hash-attacks 技能
先安裝,再檢查 repo
進行 detecting-pass-the-hash-attacks install 時,先照套件一般的技能新增流程安裝,然後第一步就讀 SKILL.md。接著再檢視 references/workflows.md、references/api-reference.md、references/standards.md 與 assets/template.md,先搞懂獵捕模型、技能預期的事件欄位,以及它設計要產出的輸出格式。
給技能正確的輸入
這個技能在你的 prompt 同時包含資料來源、平台與調查目標時,效果最好。較弱的問法是「找出 Pass-the-Hash」。更好的 detecting-pass-the-hash-attacks usage prompt 會像這樣:「分析 Windows Security Event 4624 與 Sysmon 資料,找出從單一來源連到多個目標的 NTLM Type 3 登入,辨識可能的 T1550.002 活動,並回傳獵捕筆記與我可以直接執行的 Splunk 或 KQL 查詢。」
建議工作流程
先建立假設,再明確限定範圍:時間區間、使用者族群、網域,以及日誌來源。如果你手上已有告警,就把觸發指標也一併提供,並要求技能把它與 NTLM 登入行為、特權帳號使用情況,或與 LSASS 相關的入侵跡象做關聯。如果你是在建立偵測,則直接要求查詢、誤判過濾條件,以及驗證所需欄位。
值得先讀的檔案與路徑
先讀 assets/template.md,了解這個技能預期你填寫的獵捕工作表。再用 references/api-reference.md 看 Event ID 4624 裡真正重要的欄位,並用 references/workflows.md 了解塑造獵捕流程的 Splunk 與 KQL 模式。如果你想把輸出落地成實際操作,還可以檢查 scripts/agent.py 和 scripts/process.py,理解 repo 如何標準化事件並過濾明顯雜訊。
detecting-pass-the-hash-attacks 技能常見問答
這只能用在 Windows 事件回應嗎?
不是。它最適合的是 Windows 驗證遙測,但在主動獵捕、紫隊驗證與偵測調校時也同樣有用。如果你的環境沒有轉送 Security logs 或 NTLM 相關事件,detecting-pass-the-hash-attacks 的效果就會明顯下降。
這和一般 prompt 有什麼不同?
一般 prompt 也能描述 Pass-the-Hash,但這個技能是圍繞具體的獵捕輸入設計的:Event ID 4624、Logon Type 3、NTLM、來源到目標的擴散,以及關聯脈絡。當你想要更快、更一致的輸出,並減少對「哪些證據重要」的猜測時,detecting-pass-the-hash-attacks 的安裝就很值得。
我需要是新手還是專家?
只要你能說明資料來源與調查目標,新手也可以用。更有經驗的使用者通常會得到更好的結果,因為他們能指定平台語法、基準假設與排除規則。這個技能最有價值的情境,是你已經具備足夠背景,能提出精準的獵捕需求,而不是只要一段寬泛說明。
什麼情況下不該用?
不要把它當成缺少遙測時的替代品,也不要期待只靠單一 NTLM 登入就能確認遭入侵。如果你手上只有部分日誌、沒有來源 IP,或缺少目的端脈絡,這個技能可能只會產生很多噪音線索。在這種情況下,應先改善蒐集,再依賴 detecting-pass-the-hash-attacks 的輸出。
如何改善 detecting-pass-the-hash-attacks 技能
提供更強的證據
品質提升最明顯的方式,就是帶入精確欄位:EventID、LogonType、AuthenticationPackageName、TargetUserName、IpAddress、Computer,以及時間範圍。如果你有已知的良性基準,也要直接說明。如果你懷疑存在橫向移動路徑,請附上來源主機、目標主機集合,以及是否涉及特權帳號。
讓輸出對應你的任務
如果你要的是獵捕,請要求假設、查詢與驗證步驟。如果你要的是偵測內容,請要求簡潔的規則與調校註記。如果你要的是調查,請要求線索優先排序與關聯邏輯。這一點很重要,因為 detecting-pass-the-hash-attacks guide 的結果在 prompt 明確寫出預期交付物時,通常會比只說「分析一下」來得更好。
留意常見失誤模式
最大的風險,是把正常的 NTLM 使用誤判成惡意行為。另一個常見漏點,是忽略系統帳號、本機回送,或已知的管理主機。你可以透過明確指定要排除的項目、基準視窗,以及多少台目標系統才算可疑,來提升這個技能的表現。
第一次跑完後再迭代
先用第一輪答案縮小獵捕範圍,再帶著實際結果重跑:可疑帳號、主機配對、時間切片,或查詢結果集。你可以要求更精細的過濾條件、替代偵測方式,或再做一次與憑證傾倒指標的關聯分析。這通常是把 detecting-pass-the-hash-attacks 使用流程轉成真正可用調查工作流的最快方法。