von mukul975
analyzing-ransomware-network-indicators hilft bei der Analyse von Zeek conn.log und NetFlow, um C2-Beaconing, TOR-Exit-Nodes, Exfiltration und verdächtige DNS-Aktivität für Security Audits und Incident Response zu erkennen.
von mukul975
Leitfaden zu extracting-memory-artifacts-with-rekall für die Analyse von Windows-Speicherabbildern mit Rekall. Er zeigt Installations- und Nutzungsmuster, um versteckte Prozesse, injizierten Code, verdächtige VADs, geladene DLLs und Netzwerkaktivitäten für die Digitale Forensik zu finden.
von mukul975
detecting-process-hollowing-technique hilft dabei, Process Hollowing (T1055.012) in Windows-Telemetrie aufzuspüren, indem es Suspend-Starts, Speicher-Manipulation, Anomalien in Parent-Child-Beziehungen und API-Hinweise miteinander korreliert. Entwickelt für Threat Hunter, Detection Engineers und Incident Responder, die einen praxisnahen detecting-process-hollowing-technique für den Threat-Hunting-Workflow brauchen.
von mukul975
detecting-fileless-attacks-on-endpoints hilft beim Aufbau von Erkennungen für speicherbasierte Angriffe auf Windows-Endpunkten, darunter PowerShell-Missbrauch, WMI-Persistenz, reflektives Laden und Prozessinjektion. Nutzen Sie es für Security Audit, Threat Hunting und Detection Engineering mit Sysmon-, AMSI- und PowerShell-Logging.
von mukul975
Das Skill „analyzing-windows-amcache-artifacts“ wertet Windows-Amcache.hve-Daten aus, um Hinweise auf Programmausführung, installierte Software, Geräteaktivität und das Laden von Treibern für DFIR- und Security-Audit-Workflows zu gewinnen. Es nutzt AmcacheParser sowie regipy-basierte Hinweise, um die Extraktion von Artefakten, die SHA-1-Korrelation und die Auswertung von Zeitachsen zu unterstützen.
von mukul975
Das Skill „analyzing-powershell-script-block-logging“ dient dazu, Windows PowerShell Script Block Logging Ereignis-ID 4104 aus EVTX-Dateien zu parsen, aufgespaltene Script Blocks wieder zusammenzuführen und obfuskierte Befehle, kodierte Payloads, Missbrauch von Invoke-Expression, Download-Cradles sowie Versuche zur AMSI-Umgehung für Security-Audit-Aufgaben zu markieren.
von mukul975
analyzing-network-traffic-of-malware hilft dabei, PCAPs und Telemetrie aus Sandbox-Läufen oder der Incident Response auszuwerten, um C2, Exfiltration, Payload-Downloads, DNS-Tunneling und Ansatzpunkte für Detektionen zu finden. Es ist ein praktischer Leitfaden zu analyzing-network-traffic-of-malware für Security Audits und Malware-Triage.
von mukul975
analyzing-malicious-url-with-urlscan hilft Analysten dabei, verdächtige Links mit URLScan.io zu triagieren, Redirects, Screenshots, DOM-Inhalte und Netzwerkaufrufe zu prüfen und die Ergebnisse in IOCs sowie eine klare Sicherheitsentscheidung zu übersetzen. Nutzen Sie diesen Leitfaden für Phishing-Response, URL-Analyse und Security-Audit-Workflows.
von mukul975
analyzing-heap-spray-exploitation hilft dabei, Heap-Spray-Exploitation in Memory Dumps mit Volatility3 zu analysieren. Es erkennt NOP-Sled-Muster, verdächtige große Allokationen, Shellcode-Landezonen und VAD-Hinweise von Prozessen für Security Audits, Malware-Triage und Exploit-Validierung.
von mukul975
analyzing-cobalt-strike-beacon-configuration hilft dabei, die Cobalt-Strike-Beacon-Konfiguration aus PE-Dateien, Shellcode und Memory Dumps zu extrahieren und zu analysieren, um C2-Infrastruktur, Sleep/Jitter, User-Agent, Watermark und Details des malleable Profiles für Security Audits, Threat Hunting und Incident Response zu identifizieren.
