Powershell

extracting-windows-event-logs-artifacts hilft Ihnen beim Extrahieren, Parsen und Analysieren von Windows Event Logs (EVTX) für Digital Forensics, Incident Response und Threat Hunting. Der Skill unterstützt die strukturierte Auswertung von Anmeldungen, Prozessstarts, Dienstinstallationen, geplanten Tasks, Rechtesänderungen und dem Löschen von Logs mit Chainsaw, Hayabusa und EvtxECmd.

Die Skill „exploiting-constrained-delegation-abuse“ führt durch autorisierte Active-Directory-Tests zum Missbrauch von Kerberos-gebundener Delegation. Sie deckt Enumeration, S4U2self- und S4U2proxy-Ticket-Anfragen sowie praktische Wege zu lateral movement oder Privilege Escalation ab. Verwende sie, wenn du einen wiederholbaren Leitfaden für Penetrationstests brauchst und keinen allgemeinen Kerberos-Überblick.

eradicating-malware-from-infected-systems ist eine Skill für die Cybersecurity-Vorfallsreaktion zur Entfernung von Malware, Backdoors und Persistenzmechanismen nach der Eindämmung. Sie bietet Workflow-Hinweise, Referenzdateien und Skripte für die Bereinigung von Windows- und Linux-Systemen, das Rotieren von Anmeldedaten, die Behebung der Ursache und die Validierung.

detecting-mimikatz-execution-patterns hilft Analysten dabei, Mimikatz-Ausführung anhand von Kommandozeilenmustern, LSASS-Zugriffssignalen, Binärindikatoren und Speicherartefakten zu erkennen. Nutzen Sie diese detecting-mimikatz-execution-patterns Skill-Installation für Security-Audits, Hunting und Incident Response mit Vorlagen, Referenzen und Workflow-Hinweisen.

Skill zur Erkennung von Living-off-the-Land-Angriffen für Security Audits, Threat Hunting und Incident Response. Erkennen Sie den Missbrauch legitimer Windows-Binaries wie certutil, mshta, rundll32 und regsvr32 anhand von Prozessstarts, Kommandozeilen- und Parent-Child-Telemetrie. Der Leitfaden konzentriert sich auf umsetzbare LOLBin-Erkennungsmuster und nicht auf allgemeine Windows-Härtung.

Die Skill „detecting-fileless-malware-techniques“ unterstützt Malware-Analysis-Workflows bei der Untersuchung von fileless Malware, die im Speicher über PowerShell, WMI, .NET Reflection, registrybasierte Payloads und LOLBins ausgeführt wird. Sie hilft dabei, von verdächtigen Alerts zu einer evidenzbasierten Triage, zu Detection-Ideen und zu den nächsten Hunting-Schritten zu kommen.

detecting-fileless-attacks-on-endpoints hilft beim Aufbau von Erkennungen für speicherbasierte Angriffe auf Windows-Endpunkten, darunter PowerShell-Missbrauch, WMI-Persistenz, reflektives Laden und Prozessinjektion. Nutzen Sie es für Security Audit, Threat Hunting und Detection Engineering mit Sysmon-, AMSI- und PowerShell-Logging.

configuring-windows-defender-advanced-settings Skill für die Härtung von Microsoft Defender for Endpoint. Behandelt ASR-Regeln, kontrollierten Ordnerzugriff, Netzwerkschutz, Exploit Protection, Deployment-Planung und eine Audit-first-Rollout-Strategie für Security Engineers, IT-Admins und Security-Audit-Workflows.

analyzing-windows-registry-for-artifacts hilft Analysten, Beweise aus Windows-Registry-Hives zu extrahieren, um Benutzeraktivitäten, installierte Software, Autostarts, USB-Verläufe und Kompromittierungsindikatoren für Incident Response oder Security-Audit-Workflows zu identifizieren.

Das Skill „analyzing-windows-amcache-artifacts“ wertet Windows-Amcache.hve-Daten aus, um Hinweise auf Programmausführung, installierte Software, Geräteaktivität und das Laden von Treibern für DFIR- und Security-Audit-Workflows zu gewinnen. Es nutzt AmcacheParser sowie regipy-basierte Hinweise, um die Extraktion von Artefakten, die SHA-1-Korrelation und die Auswertung von Zeitachsen zu unterstützen.

Die Fähigkeit analyzing-powershell-empire-artifacts unterstützt Security-Audit-Teams dabei, PowerShell-Empire-Artefakte in Windows-Protokollen zu erkennen – mit Script Block Logging, Base64-Launcher-Mustern, Stager-IOCs, Modulsignaturen und Erkennungsreferenzen für Triage und Regelentwicklung.

Das Skill „analyzing-powershell-script-block-logging“ dient dazu, Windows PowerShell Script Block Logging Ereignis-ID 4104 aus EVTX-Dateien zu parsen, aufgespaltene Script Blocks wieder zusammenzuführen und obfuskierte Befehle, kodierte Payloads, Missbrauch von Invoke-Expression, Download-Cradles sowie Versuche zur AMSI-Umgehung für Security-Audit-Aufgaben zu markieren.