detecting-fileless-attacks-on-endpoints

por mukul975

detecting-fileless-attacks-on-endpoints ayuda a crear detecciones para ataques en memoria en endpoints Windows, incluyendo abuso de PowerShell, persistencia con WMI, reflective loading e inyección de procesos. Úsalo para Security Audit, threat hunting e ingeniería de detecciones con Sysmon, AMSI y registros de PowerShell.

Estrellas0

Favoritos0

Comentarios0

Agregado9 may 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-fileless-attacks-on-endpoints

Puntuación editorial

Este skill obtiene 78/100, lo que lo convierte en un candidato sólido para usuarios del directorio que necesitan orientación para detectar ataques fileless en endpoints. El repositorio ofrece un flujo de trabajo real, requisitos de telemetría concretos y patrones/scripts de detección reutilizables, así que un agente puede activarlo y aplicarlo con menos margen de duda que con un prompt genérico. Aun así, sigue algo limitado por la ausencia de un comando de instalación y por ciertos detalles de implementación poco pulidos, por lo que los usuarios deben esperar un flujo útil, pero no completamente refinado.

78/100

Puntos fuertes

Trigger y alcance explícitos para malware fileless, ataques en memoria, abuso de PowerShell y persistencia con WMI
El contenido operativo incluye prerrequisitos, pasos del flujo de trabajo, IDs de eventos, ejemplos al estilo Sigma/Splunk y mapeos MITRE
Los archivos de apoyo aportan valor: scripts para analizar registros, referencias y una plantilla de telemetría reutilizable

Puntos a tener en cuenta

No hay comando de instalación en SKILL.md, así que la adopción puede requerir configuración manual e interpretación
Algunos fragmentos de origen muestran detalles truncados o imperfectos de scripts/documentación, lo que puede generar pequeñas fricciones de ejecución

Endpoint Security Malware Analysis Powershell Sysmon Microsoft Defender Crowdstrike Sentinel Siem

Resumen

Panorama general de la habilidad detecting-fileless-attacks-on-endpoints

Qué hace esta habilidad

La habilidad detecting-fileless-attacks-on-endpoints te ayuda a crear detecciones para ataques que residen en memoria, abusan de herramientas legítimas y dejan poco o ningún archivo suelto en disco. Está pensada para defensores de endpoints que necesitan lógica de detección práctica para abuso de PowerShell, persistencia con WMI, carga reflectiva e inyección de procesos.

Para quién está pensada

Usa la habilidad detecting-fileless-attacks-on-endpoints para Security Audit, detection engineering y threat hunting en endpoints Windows. Encaja bien si necesitas convertir la telemetría en reglas, no solo entender el malware después de los hechos.

Por qué destaca

Su valor principal es operativo: conecta los requisitos de telemetría, el mapeo de técnicas y los flujos de trabajo de detección para que pases de “comportamiento sospechoso solo en memoria” a un conjunto de reglas desplegable. Es más sólida que un prompt genérico cuando necesitas señales de endpoint como Sysmon, AMSI y registros de PowerShell para orientar la respuesta.

Cómo usar la habilidad detecting-fileless-attacks-on-endpoints

Instálala y actívala

Instala la habilidad con npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-fileless-attacks-on-endpoints. Después, invócala con un objetivo que incluya el entorno, las fuentes de logs y la superficie de ataque que te importa, como PowerShell, WMI o inyección de procesos.

Dale la forma de entrada adecuada

Para un mejor uso de detecting-fileless-attacks-on-endpoints, proporciona:

tipo de endpoint y versión del sistema operativo
telemetría disponible: Sysmon, PowerShell 4104, AMSI, EDR, SIEM
técnica o sospecha: PowerShell codificado, inyección reflectiva de DLL, suscripción a eventos WMI
destino de salida: lógica de detección, consulta de hunting, checklist de triaje o revisión de huecos de telemetría

Prompt más sólido: “Build a detection plan for fileless attacks on Windows 11 endpoints with Sysmon, PowerShell Script Block Logging, and Microsoft Defender. Focus on PowerShell download cradles, WMI persistence, and encoded commands.”

Lee primero estos archivos

Para una ruta de detecting-fileless-attacks-on-endpoints install y uso lo más rápida posible, lee primero SKILL.md, luego assets/template.md para la estructura del informe, references/api-reference.md para los IDs de evento y los patrones de consulta, references/standards.md para el mapeo a ATT&CK y references/workflows.md para el flujo de extremo a extremo. Si planeas automatizar o inspeccionar el comportamiento, revisa scripts/agent.py y scripts/process.py para ver qué indicadores busca realmente la habilidad.

Flujo de trabajo que produce mejores resultados

Usa la habilidad en este orden: habilita la telemetría, confirma la cobertura de eventos, redacta la lógica de detección, asigna cada regla a una técnica y luego ajusta el ruido. Ese orden importa porque la detección fileless falla con más frecuencia cuando los logs están incompletos o cuando la detección se escribe antes de verificar la telemetría.

Preguntas frecuentes sobre la habilidad detecting-fileless-attacks-on-endpoints

¿Esto es solo para malware fileless?

No. La habilidad detecting-fileless-attacks-on-endpoints también cubre el abuso de living-off-the-land, que puede empezar con scripts, launchers o persistencia basada en el registro. Está pensada para comportamientos centrados en memoria, no para malware clásico que deja archivos.

¿Necesito experiencia previa en detection engineering?

No necesariamente. Los principiantes pueden usarla si ya conocen su stack de logging y pueden describir el comportamiento sospechoso. El principal bloqueo suele ser la falta de telemetría o la vaguedad de las entradas, más que el nivel de habilidad.

¿En qué se diferencia de un prompt normal?

Un prompt normal puede generar ideas genéricas de hunting. La habilidad detecting-fileless-attacks-on-endpoints skill es más útil cuando necesitas apoyo de flujo de trabajo específico para endpoints: qué registrar, qué consultar, qué patrones importan y qué excluir porque queda fuera del alcance fileless.

¿Cuándo no debería usarla?

No la uses para análisis de malware basado en archivos, manuales amplios de respuesta a incidentes o tareas de reverse engineering centradas en binarios en lugar de trazas de ejecución en el endpoint. También encaja mal si tu entorno no tiene datos utilizables de PowerShell, Sysmon o AMSI.

Cómo mejorar la habilidad detecting-fileless-attacks-on-endpoints

Empieza con datos concretos de telemetría

La mejor mejora para detecting-fileless-attacks-on-endpoints es especificar exactamente qué está habilitado. “Tenemos EDR” es demasiado vago; “están habilitados Sysmon Event IDs 1, 8, 19, 20, 21 y PowerShell 4104, pero AMSI no” permite que la habilidad evite recomendaciones poco realistas.

Nombra la técnica y los criterios de éxito

Indica si quieres detección para comandos codificados, carga reflectiva de ensamblados, persistencia con WMI o manipulación de Defender. También di cómo se ve “bien”: una consulta de SIEM, un borrador de regla, un checklist de triaje o una evaluación de huecos de telemetría. Eso acota la salida y hace que la detecting-fileless-attacks-on-endpoints guide sea más accionable.

Aporta ejemplos y luego pide ajustes

Si tienes una alerta de ejemplo, un bloque de script sospechoso o un fragmento breve de logs, inclúyelo. Así la habilidad puede anclar la regla al comportamiento observado en lugar de a patrones demasiado amplios. Tras la primera pasada, pídele que reduzca falsos positivos, añada mapeo ATT&CK o divida una regla ruidosa en dos detecciones más concretas para uso de Security Audit.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

security-threat-model

por openai

Skill security-threat-model, basada en el repositorio, para modelado de amenazas en AppSec. Convierte límites de confianza, activos, objetivos del atacante, rutas de abuso y mitigaciones en un modelo de amenazas conciso en Markdown. Úsala cuando necesites security-threat-model para Threat Modeling sobre un repo o ruta específicos, no para una revisión genérica de arquitectura ni para una comprobación de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

azure-ai-contentsafety-ts

por microsoft

azure-ai-contentsafety-ts ayuda a analizar texto e imágenes en busca de contenido dañino con Azure AI Content Safety en TypeScript. Usa esta skill para flujos de moderación, listas de bloqueo y comprobaciones de auditoría de seguridad sobre odio, violencia, contenido sexual y autolesiones. También incluye la configuración del endpoint de Azure y la autenticación.

Security Audit

Favoritos 0GitHub 2.3k

sharp-edges

por trailofbits

La skill sharp-edges te ayuda a encontrar APIs, configuraciones e interfaces en las que el camino fácil acaba en un uso inseguro. Úsala para revisar flujos de autenticación, envoltorios criptográficos, valores predeterminados peligrosos, la semántica de null o cero y decisiones de diseño propensas a un uso incorrecto. Encaja especialmente bien para trabajos de sharp-edges en auditorías de seguridad cuando necesitas riesgos concretos de uso erróneo, no suposiciones genéricas sobre seguridad.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

por mukul975

La skill de almacenamiento inseguro en móvil ayuda a evaluar y extraer evidencias de almacenamiento local inseguro en apps Android e iOS. Cubre SharedPreferences, bases de datos SQLite, archivos plist, archivos legibles por todos, exposición en copias de seguridad y un manejo débil de keychain/keystore, útil para pentesting móvil y flujos de trabajo de auditoría de seguridad.

Security Audit

Favoritos 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

building-incident-response-playbook ayuda a los equipos de seguridad a crear playbooks reutilizables de respuesta a incidentes con fases paso a paso, árboles de decisión, criterios de escalado, asignación de responsabilidades RACI y una estructura lista para SOAR. Está pensado para documentar procedimientos de respuesta a incidentes, flujos de trabajo de triaje de incidentes y planes operativos de respuesta aptos para auditoría.

Incident Triage

Favoritos 0GitHub 6.1k

building-patch-tuesday-response-process

por mukul975

building-patch-tuesday-response-process ayuda a los equipos a crear un proceso repetible para Microsoft Patch Tuesday: clasificar avisos, priorizar riesgos, probar parches, aprobar su despliegue y hacer seguimiento del cumplimiento. Resulta útil para operaciones de seguridad, gestión de vulnerabilidades y building-patch-tuesday-response-process en Project Management.

Project Management

Favoritos 0GitHub 6.1k

ossfuzz

por trailofbits

Aprende la skill de ossfuzz para configurar fuzzing continuo, registrar proyectos, planificar harnesses y revisar el flujo de compilación. Esta guía ayuda a ingenieros de seguridad y mantenedores a evaluar la preparación, detectar bloqueos de compilación y preparar una ruta práctica desde el árbol de código fuente hasta OSS-Fuzz o una infraestructura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

La skill de codeql te ayuda a ejecutar CodeQL con menos puntos ciegos durante una auditoría de seguridad. Se centra en la calidad de la base de datos, la selección de suites, las extensiones de datos y la revisión de SARIF, para que puedas usar codeql con más fiabilidad en los idiomas compatibles. Úsala para seguir pasos repetibles de la guía de codeql al analizar repositorios reales.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

semgrep-rule-creator crea reglas de Semgrep de calidad de producción para vulnerabilidades de seguridad, patrones de errores, detecciones de flujo de taint y estándares de codificación. Usa la skill semgrep-rule-creator para tareas de auditoría de seguridad cuando necesites reglas precisas, casos de prueba y validación, en lugar de un borrador genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

La skill insecure-defaults ayuda a detectar patrones de configuración fail-open que hacen que el software siga funcionando con ajustes inseguros en vez de detenerse. Úsala en una auditoría de seguridad de código en producción, configuraciones de despliegue y lógica de manejo de secretos para identificar autenticación débil, secretos incrustados y valores predeterminados demasiado permisivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis es una skill de auditoría de seguridad para detectar riesgos de canal lateral por temporización en código criptográfico antes de que se conviertan en fallos explotables. Úsala para revisar matemáticas dependientes de secretos, ramas, comparaciones y el código compilado al auditar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python o Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k