Wmi

Die Skill "detecting-wmi-persistence" hilft Threat Huntern und DFIR-Analysten dabei, WMI-Ereignisabonnement-Persistenz in Windows-Telemetrie mit den Sysmon-Ereignis-IDs 19, 20 und 21 zu erkennen. Nutzen Sie sie, um bösartige Aktivitäten von EventFilter, EventConsumer und FilterToConsumerBinding zu identifizieren, Funde zu validieren und Angreifer-Persistenz von legitimer Admin-Automatisierung zu unterscheiden.

Die Skill "detecting-stuxnet-style-attacks" hilft Verteidigern dabei, Stuxnet-ähnliche OT- und ICS-Angriffsverläufe zu erkennen – darunter Manipulationen an PLC-Logik, vorgetäuschte Sensordaten, kompromittierte Engineering-Workstations und laterale Bewegung von IT zu OT. Verwenden Sie sie für Threat Hunting, Incident-Triage und die Überwachung der Prozessintegrität mit Belegen aus Protokollen, Hosts und Prozessen.

Die Skill „detecting-fileless-malware-techniques“ unterstützt Malware-Analysis-Workflows bei der Untersuchung von fileless Malware, die im Speicher über PowerShell, WMI, .NET Reflection, registrybasierte Payloads und LOLBins ausgeführt wird. Sie hilft dabei, von verdächtigen Alerts zu einer evidenzbasierten Triage, zu Detection-Ideen und zu den nächsten Hunting-Schritten zu kommen.