Malware Analysis

detecting-rootkit-activity ist eine Malware-Analysis-Skill zum Aufspüren von Rootkit-Indizien wie versteckten Prozessen, gehookten Systemaufrufen, veränderten Kernel-Strukturen, verborgenen Modulen und verdeckten Netzwerkspuren. Sie nutzt Cross-View-Vergleiche und Integritätsprüfungen, um verdächtige Hosts zu verifizieren, wenn Standard-Tools zu unterschiedlichen Ergebnissen kommen.

analyzing-bootkit-and-rootkit-samples ist ein Malware-Analyse-Skill für Untersuchungen von MBR, VBR, UEFI und Rootkits. Verwenden Sie ihn, um Bootsektoren, Firmware-Module und Anti-Rootkit-Indikatoren zu prüfen, wenn sich ein Kompromittierungsbefund unterhalb der Betriebssystemebene hartnäckig hält. Er eignet sich für Analysten, die einen praxisnahen Leitfaden, einen klaren Workflow und eine evidenzbasierte Triage für Malware Analysis benötigen.

Die Skill „detecting-mobile-malware-behavior“ analysiert verdächtige Android- und iOS-Apps auf missbräuchliche Berechtigungen, Laufzeitverhalten, Netzwerkindikatoren und malwareähnliche Muster. Nutzen Sie sie für Triage, Incident Response und detecting-mobile-malware-behavior in Security-Audit-Workflows mit evidenzgestützter mobiler Analyse.

analyzing-supply-chain-malware-artifacts ist eine Malware-Analyse-Skill für das Nachverfolgen von trojanisierten Updates, kompromittierten Abhängigkeiten und Manipulationen in Build-Pipelines. Nutzen Sie sie, um vertrauenswürdige und unzuverlässige Artefakte zu vergleichen, Indikatoren zu extrahieren, den Umfang einer Kompromittierung einzuschätzen und Ergebnisse mit weniger Rätselraten zu berichten.

analyzing-ransomware-payment-wallets ist eine Read-only-Blockchain-Forensik-Fähigkeit zum Nachverfolgen von Ransomware-Zahlungs-Wallets, zum Verfolgen von Geldflüssen und zum Clustern zusammengehöriger Adressen für Security Audits und Incident Response. Verwenden Sie sie, wenn Sie eine BTC-Adresse, einen Tx-Hash oder eine verdächtige Wallet haben und belastbare Attribution als Beleg benötigen.

Skill zu analyzing-ransomware-encryption-mechanisms für Malware-Analyse mit Fokus auf die Erkennung von Ransomware-Verschlüsselung, Schlüsselverwaltung und der Frage, ob eine Entschlüsselung möglich ist. Geeignet, um AES-, RSA-, ChaCha20- und hybride Verfahren sowie Implementierungsfehler zu untersuchen, die eine Wiederherstellung unterstützen können.

analyzing-ransomware-leak-site-intelligence hilft dabei, Ransomware-Datenleakseiten zu überwachen, Opfer- und Gruppen-Signale zu extrahieren und strukturierte Threat Intelligence für Incident Response, Risikoanalysen in Branchen und Gegner-Tracking zu erstellen.

Skill-Guide zum Extrahieren von IOCs aus Malware-Samples für die Malwareanalyse: Hashes, IPs, Domains, URLs, Host-Artefakte und Validierungshinweise aus Samples für Threat Intelligence und Detection gewinnen.

extracting-config-from-agent-tesla-rat für Malware-Analyse: extrahiert Agent Tesla .NET-Konfigurationen, SMTP/FTP/Telegram-Anmeldedaten, Keylogger-Einstellungen und C2-Endpunkte mit einem reproduzierbaren Workflow.

eradicating-malware-from-infected-systems ist eine Skill für die Cybersecurity-Vorfallsreaktion zur Entfernung von Malware, Backdoors und Persistenzmechanismen nach der Eindämmung. Sie bietet Workflow-Hinweise, Referenzdateien und Skripte für die Bereinigung von Windows- und Linux-Systemen, das Rotieren von Anmeldedaten, die Behebung der Ursache und die Validierung.

Die Skill "detecting-stuxnet-style-attacks" hilft Verteidigern dabei, Stuxnet-ähnliche OT- und ICS-Angriffsverläufe zu erkennen – darunter Manipulationen an PLC-Logik, vorgetäuschte Sensordaten, kompromittierte Engineering-Workstations und laterale Bewegung von IT zu OT. Verwenden Sie sie für Threat Hunting, Incident-Triage und die Überwachung der Prozessintegrität mit Belegen aus Protokollen, Hosts und Prozessen.

detecting-ransomware-encryption-behavior hilft Verteidigern, ransomwareähnliche Verschlüsselung mithilfe von Entropieanalyse, File-I/O-Überwachung und Verhaltensheuristiken zu erkennen. Der Skill eignet sich für Incident Response, SOC-Tuning und Red-Team-Validierung, wenn massenhafte Dateiveränderungen, plötzliche Umbenennungswellen und verdächtige Prozessaktivitäten schnell erkannt werden müssen.

detecting-process-injection-techniques hilft bei der Analyse verdächtiger In-Memory-Aktivitäten, der Validierung von EDR-Warnungen und der Erkennung von Process Hollowing, APC-Injection, Thread Hijacking, Reflective Loading und klassischer DLL-Injektion für Security Audits und Malware-Triage.

analyzing-packed-malware-with-upx-unpacker ist ein Malware-Analyse-Skill zum Erkennen von mit UPX gepackten Samples, zum Umgang mit modifizierten UPX-Headern und zur Wiederherstellung der ursprünglichen Executable für die statische Analyse in Ghidra oder IDA. Nutzen Sie ihn, wenn `upx -d` fehlschlägt oder wenn Sie eine schnellere Prüfung von UPX-Packern und einen praktikablen Entpack-Workflow benötigen.

analyzing-memory-dumps-with-volatility ist eine Volatility-3-Skill für Memory Forensics, Malware-Triage, versteckte Prozesse, Injektionen, Netzwerkaktivität und Credentials in RAM-Dumps unter Windows, Linux oder macOS. Nutze sie, wenn du einen reproduzierbaren analyzing-memory-dumps-with-volatility Guide für Incident Response und Malware-Analyse brauchst.

analyzing-malicious-pdf-with-peepdf ist eine Skill für statische Malware-Analyse verdächtiger PDFs. Verwende peepdf, pdfid und pdf-parser, um Phishing-Anhänge zu sichten, Objekte zu prüfen, eingebettetes JavaScript oder Shellcode zu extrahieren und verdächtige Streams sicher ohne Ausführung zu untersuchen.

analyzing-macro-malware-in-office-documents hilft Malware-Analysten dabei, bösartiges VBA in Word-, Excel- und PowerPoint-Dateien zu untersuchen, Obfuskierung zu entschlüsseln und IOCs, Ausführungspfade sowie die Logik zur Payload-Vorbereitung für Phishing-Triage, Incident Response und die Analyse von Dokument-Malware zu extrahieren.

analyzing-linux-kernel-rootkits unterstützt DFIR- und Threat-Hunting-Workflows dabei, Linux-Kernel-Rootkits mit Volatility3 Cross-View-Prüfungen, rkhunter-Scans und /proc-vs-/sys-Analysen aufzudecken – etwa versteckte Module, gehookte Syscalls und manipulierte Kernel-Strukturen. Es ist ein praxisnaher Leitfaden zu analyzing-linux-kernel-rootkits für die forensische Triage.

analyzing-golang-malware-with-ghidra hilft Analysten dabei, mit Ghidra in Go kompilierte Malware zu reverse engineeren – mit Workflows für Funktionswiederherstellung, String-Extraktion, Build-Metadaten und Abhängigkeitsanalyse. Der Skill analyzing-golang-malware-with-ghidra ist besonders nützlich für Malware-Triage, Incident Response und Security-Audit-Aufgaben, die praxisnahe, Go-spezifische Analyseschritte erfordern.

analyzing-linux-elf-malware hilft bei der Analyse verdächtiger Linux-ELF-Binaries für Malware-Untersuchungen – mit Hinweisen zu Architekturprüfungen, Strings, Imports, statischem Triage, sowie frühen Indikatoren für Botnets, Miner, Rootkits, Ransomware und Container-Bedrohungen.

detecting-mimikatz-execution-patterns hilft Analysten dabei, Mimikatz-Ausführung anhand von Kommandozeilenmustern, LSASS-Zugriffssignalen, Binärindikatoren und Speicherartefakten zu erkennen. Nutzen Sie diese detecting-mimikatz-execution-patterns Skill-Installation für Security-Audits, Hunting und Incident Response mit Vorlagen, Referenzen und Workflow-Hinweisen.

Die Skill „detecting-fileless-malware-techniques“ unterstützt Malware-Analysis-Workflows bei der Untersuchung von fileless Malware, die im Speicher über PowerShell, WMI, .NET Reflection, registrybasierte Payloads und LOLBins ausgeführt wird. Sie hilft dabei, von verdächtigen Alerts zu einer evidenzbasierten Triage, zu Detection-Ideen und zu den nächsten Hunting-Schritten zu kommen.

detecting-dll-sideloading-attacks unterstützt Security Audit-, Threat-Hunting- und Incident-Response-Teams dabei, DLL-Sideloading mit Sysmon, EDR, MDE und Splunk zu erkennen. Dieser Guide zu detecting-dll-sideloading-attacks enthält Workflow-Notizen, Hunt-Templates, Standards-Mapping und Skripte, um verdächtige DLL-Ladevorgänge in wiederholbare Detektionen zu überführen.

deobfuscating-javascript-malware hilft Analysten dabei, stark obfuskiertes bösartiges JavaScript in lesbaren Code für die Malware-Analyse zu überführen – etwa bei Phishing-Seiten, Web-Skimmern, Droppern und per Browser ausgelieferten Payloads. Verwenden Sie diesen deobfuscating-javascript-malware Skill für strukturierte Deobfuskation, nachvollziehbares Entschlüsseln und kontrollierte Prüfung, wenn es nicht nur um simples Minifizieren geht.