Malware Analysis

analyzing-cobaltstrike-malleable-c2-profiles ayuda a analizar perfiles Cobalt Strike Malleable C2 y convertirlos en indicadores de C2, rasgos de evasión e ideas de detección para flujos de trabajo de análisis de malware, threat hunting y auditoría de seguridad. Usa dissect.cobaltstrike y pyMalleableC2 para analizar perfiles y configuraciones de beacon.

analyzing-android-malware-with-apktool es una skill de análisis estático para malware en APK de Android. Usa apktool, jadx y androguard para desempaquetar apps, inspeccionar manifiestos y permisos, recuperar código similar al fuente y extraer APIs sospechosas e IOCs para Malware Analysis.

detecting-rootkit-activity es una skill de análisis de malware para detectar indicadores de rootkit, como procesos ocultos, llamadas al sistema enganchadas, estructuras del kernel alteradas, módulos ocultos y artefactos de red encubiertos. Usa comparaciones entre vistas e যাচ?¡integrity checks para ayudar a validar hosts sospechosos cuando las herramientas estándar no coinciden.

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

La skill de detección de comportamiento de malware móvil analiza apps sospechosas de Android e iOS para detectar abuso de permisos, actividad en tiempo de ejecución, indicadores de red y patrones propios de malware. Úsala para triaje, respuesta a incidentes y detección de comportamiento de malware móvil en flujos de trabajo de auditoría de seguridad, con análisis móviles respaldados por evidencia.

analyzing-supply-chain-malware-artifacts es una skill de análisis de malware para rastrear actualizaciones troyanizadas, dependencias envenenadas y manipulación de canales de compilación. Úsala para comparar artefactos confiables y no confiables, extraer indicadores, evaluar el alcance de la intrusión y redactar hallazgos con menos conjeturas.

analyzing-ransomware-payment-wallets es una skill de análisis forense blockchain en modo solo lectura para rastrear wallets de pago de ransomware, seguir el movimiento de fondos y agrupar direcciones relacionadas para auditorías de seguridad y respuesta a incidentes. Úsala cuando tengas una dirección BTC, un hash de transacción o una wallet sospechosa y necesites apoyo de atribución con base en evidencia.

Skill de analyzing-ransomware-encryption-mechanisms para análisis de malware, centrado en identificar el cifrado de ransomware, el manejo de claves y la viabilidad de descifrado. Úsalo para revisar AES, RSA, ChaCha20, esquemas híbridos y fallos de implementación que puedan ayudar a la recuperación.

analyzing-ransomware-leak-site-intelligence ayuda a monitorear sitios de filtración de datos de ransomware, extraer señales de víctimas y grupos, y generar inteligencia de amenazas estructurada para respuesta a incidentes, revisión de riesgo sectorial y seguimiento de adversarios.

analyzing-malware-sandbox-evasion-techniques ayuda a analistas de malware a revisar el comportamiento de Cuckoo y AnyRun para detectar comprobaciones de tiempo, consultas de artefactos de VM, barreras de interacción del usuario e inflación de sleep. Está pensado para un análisis de analyzing-malware-sandbox-evasion-techniques centrado en flujos de trabajo de Malware Analysis, donde se evalúa si una muestra se está ocultando de una sandbox.

analyzing-malware-persistence-with-autoruns es una skill de Sysinternals Autoruns para el análisis de malware. Te ayuda a inspeccionar la persistencia en Windows en claves Run, servicios, tareas programadas, Winlogon, controladores y WMI, mediante un flujo de trabajo repetible con exportaciones CSV, revisión de entradas sospechosas y hallazgos listos para informe.

Guía de la skill extracting-iocs-from-malware-samples para análisis de malware: extrae hashes, IP, dominios, URLs, artefactos del host y señales de validación de muestras para threat intel y detección.

Skill de extracting-config-from-agent-tesla-rat para análisis de malware: extrae la configuración .NET de Agent Tesla, credenciales SMTP/FTP/Telegram, ajustes del keylogger y endpoints de C2 con una guía de trabajo repetible.

eradicating-malware-from-infected-systems es una skill de respuesta a incidentes de ciberseguridad para eliminar malware, backdoors y mecanismos de persistencia después de contener el incidente. Incluye orientación de flujo de trabajo, archivos de referencia y scripts para la limpieza en Windows y Linux, la rotación de credenciales, la remediación de la causa raíz y la validación.

La habilidad detecting-stuxnet-style-attacks ayuda a los defensores a detectar patrones de intrusión OT e ICS al estilo Stuxnet, incluyendo manipulación de la lógica de PLC, datos de sensores suplantados, compromiso de estaciones de trabajo de ingeniería y movimiento lateral de IT a OT. Úsala para threat hunting, triaje de incidentes y monitoreo de la integridad de procesos con evidencia de protocolos, hosts y procesos.

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

analyzing-packed-malware-with-upx-unpacker es una skill de análisis de malware para identificar muestras empaquetadas con UPX, manejar cabeceras UPX modificadas y recuperar el ejecutable original para revisión estática en Ghidra o IDA. Úsala cuando `upx -d` falle o cuando necesites una comprobación más rápida de empaquetado UPX y un flujo de desempaquetado.

analyzing-memory-dumps-with-volatility es una skill de Volatility 3 para forense de memoria, triaje de malware, procesos ocultos, inyección, actividad de red y credenciales en volcados de RAM en Windows, Linux o macOS. Úsala cuando necesites una guía repetible de analyzing-memory-dumps-with-volatility para respuesta a incidentes y análisis de malware.

analyzing-malicious-pdf-with-peepdf es una skill de análisis estático de malware para PDFs sospechosos. Usa peepdf, pdfid y pdf-parser para clasificar adjuntos de phishing, inspeccionar objetos, extraer JavaScript o shellcode incrustado y revisar de forma segura flujos sospechosos sin ejecución.

analyzing-macro-malware-in-office-documents ayuda a analistas de malware a inspeccionar VBA malicioso en archivos de Word, Excel y PowerPoint, descifrar ofuscación y extraer IOCs, rutas de ejecución y lógica de preparación de payloads para el triage de phishing, la respuesta a incidentes y el análisis de malware en documentos.

analyzing-linux-kernel-rootkits ayuda a los flujos de trabajo de DFIR y threat hunting a detectar rootkits del kernel de Linux con comprobaciones de vista cruzada de Volatility3, escaneos de rkhunter y análisis de /proc frente a /sys para identificar módulos ocultos, syscalls enganchadas y estructuras del kernel manipuladas. Es una guía práctica de analyzing-linux-kernel-rootkits para el triaje forense.

analyzing-golang-malware-with-ghidra ayuda a analistas a hacer ingeniería inversa de malware compilado con Go en Ghidra, con flujos de trabajo para recuperar funciones, extraer cadenas, revisar metadatos de compilación y mapear dependencias. La skill analyzing-golang-malware-with-ghidra resulta útil para triaje de malware, respuesta a incidentes y tareas de auditoría de seguridad que requieren pasos de análisis prácticos y específicos de Go.

analyzing-linux-elf-malware ayuda a analizar binarios ELF sospechosos de Linux para tareas de análisis de malware, con orientación para comprobar la arquitectura, revisar cadenas, imports, triaje estático y detectar pronto indicios de botnets, miners, rootkits, ransomware y amenazas en contenedores.