Malware Analysis

detecting-rootkit-activity es una skill de análisis de malware para detectar indicadores de rootkit, como procesos ocultos, llamadas al sistema enganchadas, estructuras del kernel alteradas, módulos ocultos y artefactos de red encubiertos. Usa comparaciones entre vistas e যাচ?¡integrity checks para ayudar a validar hosts sospechosos cuando las herramientas estándar no coinciden.

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

La skill de detección de comportamiento de malware móvil analiza apps sospechosas de Android e iOS para detectar abuso de permisos, actividad en tiempo de ejecución, indicadores de red y patrones propios de malware. Úsala para triaje, respuesta a incidentes y detección de comportamiento de malware móvil en flujos de trabajo de auditoría de seguridad, con análisis móviles respaldados por evidencia.

analyzing-supply-chain-malware-artifacts es una skill de análisis de malware para rastrear actualizaciones troyanizadas, dependencias envenenadas y manipulación de canales de compilación. Úsala para comparar artefactos confiables y no confiables, extraer indicadores, evaluar el alcance de la intrusión y redactar hallazgos con menos conjeturas.

analyzing-ransomware-payment-wallets es una skill de análisis forense blockchain en modo solo lectura para rastrear wallets de pago de ransomware, seguir el movimiento de fondos y agrupar direcciones relacionadas para auditorías de seguridad y respuesta a incidentes. Úsala cuando tengas una dirección BTC, un hash de transacción o una wallet sospechosa y necesites apoyo de atribución con base en evidencia.

Skill de analyzing-ransomware-encryption-mechanisms para análisis de malware, centrado en identificar el cifrado de ransomware, el manejo de claves y la viabilidad de descifrado. Úsalo para revisar AES, RSA, ChaCha20, esquemas híbridos y fallos de implementación que puedan ayudar a la recuperación.

analyzing-ransomware-leak-site-intelligence ayuda a monitorear sitios de filtración de datos de ransomware, extraer señales de víctimas y grupos, y generar inteligencia de amenazas estructurada para respuesta a incidentes, revisión de riesgo sectorial y seguimiento de adversarios.

Guía de la skill extracting-iocs-from-malware-samples para análisis de malware: extrae hashes, IP, dominios, URLs, artefactos del host y señales de validación de muestras para threat intel y detección.

Skill de extracting-config-from-agent-tesla-rat para análisis de malware: extrae la configuración .NET de Agent Tesla, credenciales SMTP/FTP/Telegram, ajustes del keylogger y endpoints de C2 con una guía de trabajo repetible.

eradicating-malware-from-infected-systems es una skill de respuesta a incidentes de ciberseguridad para eliminar malware, backdoors y mecanismos de persistencia después de contener el incidente. Incluye orientación de flujo de trabajo, archivos de referencia y scripts para la limpieza en Windows y Linux, la rotación de credenciales, la remediación de la causa raíz y la validación.

La habilidad detecting-stuxnet-style-attacks ayuda a los defensores a detectar patrones de intrusión OT e ICS al estilo Stuxnet, incluyendo manipulación de la lógica de PLC, datos de sensores suplantados, compromiso de estaciones de trabajo de ingeniería y movimiento lateral de IT a OT. Úsala para threat hunting, triaje de incidentes y monitoreo de la integridad de procesos con evidencia de protocolos, hosts y procesos.

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

analyzing-packed-malware-with-upx-unpacker es una skill de análisis de malware para identificar muestras empaquetadas con UPX, manejar cabeceras UPX modificadas y recuperar el ejecutable original para revisión estática en Ghidra o IDA. Úsala cuando `upx -d` falle o cuando necesites una comprobación más rápida de empaquetado UPX y un flujo de desempaquetado.

analyzing-memory-dumps-with-volatility es una skill de Volatility 3 para forense de memoria, triaje de malware, procesos ocultos, inyección, actividad de red y credenciales en volcados de RAM en Windows, Linux o macOS. Úsala cuando necesites una guía repetible de analyzing-memory-dumps-with-volatility para respuesta a incidentes y análisis de malware.

analyzing-malicious-pdf-with-peepdf es una skill de análisis estático de malware para PDFs sospechosos. Usa peepdf, pdfid y pdf-parser para clasificar adjuntos de phishing, inspeccionar objetos, extraer JavaScript o shellcode incrustado y revisar de forma segura flujos sospechosos sin ejecución.

analyzing-macro-malware-in-office-documents ayuda a analistas de malware a inspeccionar VBA malicioso en archivos de Word, Excel y PowerPoint, descifrar ofuscación y extraer IOCs, rutas de ejecución y lógica de preparación de payloads para el triage de phishing, la respuesta a incidentes y el análisis de malware en documentos.

analyzing-linux-kernel-rootkits ayuda a los flujos de trabajo de DFIR y threat hunting a detectar rootkits del kernel de Linux con comprobaciones de vista cruzada de Volatility3, escaneos de rkhunter y análisis de /proc frente a /sys para identificar módulos ocultos, syscalls enganchadas y estructuras del kernel manipuladas. Es una guía práctica de analyzing-linux-kernel-rootkits para el triaje forense.

analyzing-golang-malware-with-ghidra ayuda a analistas a hacer ingeniería inversa de malware compilado con Go en Ghidra, con flujos de trabajo para recuperar funciones, extraer cadenas, revisar metadatos de compilación y mapear dependencias. La skill analyzing-golang-malware-with-ghidra resulta útil para triaje de malware, respuesta a incidentes y tareas de auditoría de seguridad que requieren pasos de análisis prácticos y específicos de Go.

analyzing-linux-elf-malware ayuda a analizar binarios ELF sospechosos de Linux para tareas de análisis de malware, con orientación para comprobar la arquitectura, revisar cadenas, imports, triaje estático y detectar pronto indicios de botnets, miners, rootkits, ransomware y amenazas en contenedores.

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

La skill detecting-fileless-malware-techniques admite flujos de trabajo de Malware Analysis para investigar malware sin archivos que se ejecuta en memoria mediante PowerShell, WMI, reflexión de .NET, cargas útiles residentes en el registro y LOLBins. Úsala para pasar de alertas sospechosas a triaje respaldado por evidencias, ideas de detección y siguientes pasos de hunting.

detecting-dll-sideloading-attacks ayuda a equipos de auditoría de seguridad, threat hunting y respuesta a incidentes a detectar la carga lateral de DLL con Sysmon, EDR, MDE y Splunk. Esta guía de detecting-dll-sideloading-attacks incluye notas de flujo de trabajo, plantillas de hunting, mapeo a estándares y scripts para convertir cargas sospechosas de DLL en detecciones repetibles.

deobfuscating-javascript-malware ayuda a los analistas a convertir JavaScript malicioso fuertemente ofuscado en código legible para análisis de malware, páginas de phishing, skimmers web, droppers y cargas útiles entregadas por el navegador. Usa esta skill de deobfuscating-javascript-malware para desofuscación estructurada, seguimiento de decodificación y revisión controlada cuando el problema no es una simple minimización.