detecting-fileless-malware-techniques

por mukul975

La skill detecting-fileless-malware-techniques admite flujos de trabajo de Malware Analysis para investigar malware sin archivos que se ejecuta en memoria mediante PowerShell, WMI, reflexión de .NET, cargas útiles residentes en el registro y LOLBins. Úsala para pasar de alertas sospechosas a triaje respaldado por evidencias, ideas de detección y siguientes pasos de hunting.

Estrellas0

Favoritos0

Comentarios0

Agregado9 may 2026

CategoríaMalware Analysis

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-fileless-malware-techniques

Puntuación editorial

Esta skill obtiene 78/100, lo que significa que es una candidata sólida, aunque no de primer nivel, para Agent Skills Finder. Quienes navegan el directorio encontrarán un flujo de trabajo real, específico de ciberseguridad, para detectar malware sin archivos, con contenido procedimental suficiente y scripts/referencias de apoyo que justifican la instalación, aunque conviene esperar cierta fricción de adopción por la falta de guía de instalación y por detalles visibles incompletos en la documentación mostrada.

78/100

Puntos fuertes

Buena capacidad de activación: el frontmatter apunta de forma explícita a la detección de amenazas fileless, la investigación de malware en memoria, el abuso de LOLBins y la persistencia mediante WMI.
El contenido operativo es sustancial: el repositorio incluye un SKILL.md extenso y una referencia de API de detección con IDs de eventos de Windows, patrones de Sysmon, comandos de Volatility y un script agente en Python.
Aporta buen valor para análisis defensivo: los indicadores concretos, las fuentes de logs y los ejemplos de herramientas reducen la improvisación frente a un prompt genérico.

Puntos a tener en cuenta

No hay comando de instalación en SKILL.md, así que los usuarios deben inferir la configuración y la invocación en lugar de seguir un camino de instalación directo.
La documentación visible enfatiza patrones de detección y comandos, pero el extracto muestra poco detalle sobre un flujo de trabajo de extremo a extremo para que un agente clasifique, valide e informe los hallazgos.

Malware Memory Forensics Powershell Sysmon Volatility3 Lolbins Wmi Threat Hunting

Resumen

Descripción general de la skill detecting-fileless-malware-techniques

La skill detecting-fileless-malware-techniques está pensada para flujos de trabajo de Malware Analysis en los que el atacante evita dejar caer un ejecutable clásico y, en su lugar, ejecuta código en memoria mediante PowerShell, WMI, reflexión de .NET, cargas útiles residentes en el registro o LOLBins. Te ayuda a pasar de una simple “alerta de proceso sospechoso” a una ruta de investigación defendible: identificar cadenas de ejecución, confirmar si la memoria o la telemetría respaldan una actividad maliciosa y decidir qué buscar a continuación.

Quién debería instalarla

Instala la detecting-fileless-malware-techniques skill si analizas incidentes de Windows, creas detecciones o haces triage de alertas de EDR en las que binarios de confianza se comportan de forma anómala. Encaja especialmente bien para analistas de SOC, threat hunters y analistas de malware que necesitan pasos prácticos de investigación, no solo una taxonomía de técnicas fileless.

Qué problema resuelve

La tarea principal es separar el abuso ruidoso de LOLBins de una intrusión fileless real. Eso implica revisar indicadores como script block logging, suscripciones de eventos de WMI, memoria inyectada, líneas de comandos sospechosas y persistencia que vive fuera de los archivos normales. La skill es útil cuando faltan artefactos en disco o cuando estos pueden inducir a error.

Por qué merece la pena usarla

Esta skill destaca porque está orientada a la detección, no solo a la teoría. El repo incluye guía de logs y eventos, además de un helper en Python en scripts/agent.py, así que la detecting-fileless-malware-techniques guide puede servir tanto para investigación como para creación de reglas. Eso la hace más accionable que un prompt genérico sobre malware fileless.

Cómo usar la skill detecting-fileless-malware-techniques

Instala y revisa primero los archivos correctos

Usa el flujo detecting-fileless-malware-techniques install con tu gestor de skills y luego lee primero SKILL.md para entender el flujo de trabajo. Después, revisa references/api-reference.md para ver IDs de eventos, patrones de Sysmon y comandos de Volatility, y consulta scripts/agent.py para ver cómo la skill operacionaliza las comprobaciones de LOLBins y PowerShell.

Dale a la skill un caso concreto

La skill funciona mejor cuando le das un objetivo de investigación específico: nombres de procesos, líneas de comandos, IDs de eventos, telemetría del host, hallazgos de memoria o una cadena padre-hijo sospechosa. Una entrada débil como “analiza malware fileless” es demasiado amplia. Una petición más sólida sería: “Investiga un host Windows donde powershell.exe, lanzado por winword.exe, usó -enc, el Event ID 4104 está presente y Sysmon muestra que wmic.exe creó un servicio después.”

Usa un flujo de trabajo, no una sola pregunta

Un patrón práctico de detecting-fileless-malware-techniques usage es:

Empieza con el artefacto observado.
Pide las categorías de técnica fileless más probables.
Solicita los logs más relevantes para confirmar o refutar la hipótesis.
Pide una lista de hunting o ideas de reglas de detección.

Esa secuencia mantiene la respuesta anclada a evidencia y reduce el consejo genérico. Si interviene memoria, pide explícitamente pasos de triage con Volatility; si sospechas persistencia, solicita comprobaciones de WMI, tareas programadas o registro.

Formula los prompts alrededor de la evidencia y las restricciones

Incluye detalles del entorno como la versión de Windows, la cobertura de telemetría y si cuentas con EDR, Sysmon, logging de PowerShell o volcados de memoria. También indica qué necesitas como resultado: resumen de triage, IOCs, lógica de detección o un plan de hunting. Por ejemplo: “Usa solo la telemetría disponible de Sysmon y los logs de PowerShell Operational; prioriza la reducción de falsos positivos; identifica los 5 eventos más sospechosos y explica por qué.”

Preguntas frecuentes sobre la skill detecting-fileless-malware-techniques

¿Es solo para analistas avanzados?

No. Los principiantes pueden usarla si aportan un caso claro y piden un triage paso a paso. La skill es más valiosa cuando ya tienes cierta telemetría de Windows, pero aun así puede explicar qué revisar primero y qué evidencia importa más.

¿En qué se diferencia de un prompt normal?

Un prompt normal suele producir consejos genéricos sobre malware. La detecting-fileless-malware-techniques skill es más útil porque se centra en telemetría específica de Windows, abuso de LOLBins, ejecución en memoria y rutas de análisis forense de memoria. Eso la hace mejor para detecting-fileless-malware-techniques usage en trabajo real de respuesta a incidentes.

¿Cuándo no debería usarla?

No la uses como skill principal para malware basado en archivos, malware móvil o casos de investigación que no sean de Windows. Si ya tienes una muestra en disco, normalmente el mejor primer paso es el análisis estático y dinámico del binario. Esta skill es más fuerte cuando la muestra no existe y la evidencia es el comportamiento.

¿Y si solo tengo logs parciales?

Sigue siendo útil, pero sé explícito con las lagunas. Indica qué fuentes de eventos tienes y cuáles no. Así la skill puede centrarse en las comprobaciones de mayor valor, como PowerShell 4104, creación de procesos con Sysmon o suscripciones de eventos de WMI, en lugar de asumir una pila de telemetría completa.

Cómo mejorar la skill detecting-fileless-malware-techniques

Aporta los artefactos de mayor señal

Los mejores resultados llegan cuando le das a la skill el árbol de procesos exacto, las líneas de comando sospechosas, los IDs de eventos, los hashes, las marcas de tiempo y el rol del host. Para Malware Analysis, incluye también si el comportamiento se observó en memoria, mediante EDR o en un sandbox. Estos detalles ayudan al modelo a distinguir entre el abuso de LOLBins y una actividad administrativa legítima.

Pide la siguiente decisión, no una explicación amplia

Si la primera respuesta es demasiado general, afina el siguiente mensaje. Buenas preguntas de continuación son: “¿Qué artefacto respalda con más fuerza la ejecución fileless?”, “¿Qué buscarías a continuación en el endpoint?” o “Convierte esto en una hipótesis de regla de detección.” Eso produce una salida mejor de detecting-fileless-malware-techniques guide que volver a pedir un resumen amplio.

Comprueba los modos de fallo habituales

Los fallos más comunes son sobrevalorar herramientas administrativas benignas, pasar por alto indicadores de codificación de PowerShell e ignorar la persistencia fuera del árbol de procesos. Si la respuesta no menciona límites de cobertura de logs, IDs de eventos o evidencia de memoria, pídele que vuelva a priorizar los hallazgos por nivel de confianza y que muestre qué confirmaría cada afirmación.

Itera con refinamiento respaldado por evidencia

Usa la primera respuesta para construir un segundo prompt más estrecho: añade los eventos exactos que se encontraron, elimina hipótesis refutadas y pide un plan de hunting o contención centrado. Es la forma más rápida de convertir la salida de detecting-fileless-malware-techniques skill en algo útil operativamente sin ahogarte en consejos genéricos de análisis de malware.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ayuda a los equipos de IR a clasificar sospechas de malware, confirmar infecciones, delimitar la propagación, contener endpoints y apoyar la erradicación y la recuperación. Está diseñado para conducting-malware-incident-response en flujos de trabajo de Respuesta a Incidentes, con pasos respaldados por evidencia, decisiones guiadas por telemetría y orientación práctica de contención.

Incident Response

Favoritos 0GitHub 0

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

Incident Response

Favoritos 0GitHub 0

deobfuscating-javascript-malware

por mukul975

deobfuscating-javascript-malware ayuda a los analistas a convertir JavaScript malicioso fuertemente ofuscado en código legible para análisis de malware, páginas de phishing, skimmers web, droppers y cargas útiles entregadas por el navegador. Usa esta skill de deobfuscating-javascript-malware para desofuscación estructurada, seguimiento de decodificación y revisión controlada cuando el problema no es una simple minimización.

Malware Analysis

Favoritos 0GitHub 0

analyzing-powershell-empire-artifacts

por mukul975

La skill analyzing-powershell-empire-artifacts ayuda a los equipos de auditoría de seguridad a detectar artefactos de PowerShell Empire en registros de Windows mediante Script Block Logging, patrones de launchers en Base64, IOCs de stagers, firmas de módulos y referencias de detección útiles para el triaje y la redacción de reglas.

Security Audit

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-macro-malware-in-office-documents

por mukul975

analyzing-macro-malware-in-office-documents ayuda a analistas de malware a inspeccionar VBA malicioso en archivos de Word, Excel y PowerPoint, descifrar ofuscación y extraer IOCs, rutas de ejecución y lógica de preparación de payloads para el triage de phishing, la respuesta a incidentes y el análisis de malware en documentos.

Malware Analysis

Favoritos 0GitHub 0

analyzing-golang-malware-with-ghidra

por mukul975

analyzing-golang-malware-with-ghidra ayuda a analistas a hacer ingeniería inversa de malware compilado con Go en Ghidra, con flujos de trabajo para recuperar funciones, extraer cadenas, revisar metadatos de compilación y mapear dependencias. La skill analyzing-golang-malware-with-ghidra resulta útil para triaje de malware, respuesta a incidentes y tareas de auditoría de seguridad que requieren pasos de análisis prácticos y específicos de Go.

Security Audit

Favoritos 0GitHub 0

analyzing-supply-chain-malware-artifacts

por mukul975

analyzing-supply-chain-malware-artifacts es una skill de análisis de malware para rastrear actualizaciones troyanizadas, dependencias envenenadas y manipulación de canales de compilación. Úsala para comparar artefactos confiables y no confiables, extraer indicadores, evaluar el alcance de la intrusión y redactar hallazgos con menos conjeturas.

Malware Analysis

Favoritos 0GitHub 6.1k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ayuda a los flujos de trabajo de DFIR y threat hunting a detectar rootkits del kernel de Linux con comprobaciones de vista cruzada de Volatility3, escaneos de rkhunter y análisis de /proc frente a /sys para identificar módulos ocultos, syscalls enganchadas y estructuras del kernel manipuladas. Es una guía práctica de analyzing-linux-kernel-rootkits para el triaje forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

Security Audit

Favoritos 0GitHub 0

detecting-rootkit-activity

por mukul975

detecting-rootkit-activity es una skill de análisis de malware para detectar indicadores de rootkit, como procesos ocultos, llamadas al sistema enganchadas, estructuras del kernel alteradas, módulos ocultos y artefactos de red encubiertos. Usa comparaciones entre vistas e যাচ?¡integrity checks para ayudar a validar hosts sospechosos cuando las herramientas estándar no coinciden.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-mobile-malware-behavior

por mukul975

La skill de detección de comportamiento de malware móvil analiza apps sospechosas de Android e iOS para detectar abuso de permisos, actividad en tiempo de ejecución, indicadores de red y patrones propios de malware. Úsala para triaje, respuesta a incidentes y detección de comportamiento de malware móvil en flujos de trabajo de auditoría de seguridad, con análisis móviles respaldados por evidencia.

Security Audit

Favoritos 0GitHub 6.1k

analyzing-ransomware-payment-wallets

por mukul975

analyzing-ransomware-payment-wallets es una skill de análisis forense blockchain en modo solo lectura para rastrear wallets de pago de ransomware, seguir el movimiento de fondos y agrupar direcciones relacionadas para auditorías de seguridad y respuesta a incidentes. Úsala cuando tengas una dirección BTC, un hash de transacción o una wallet sospechosa y necesites apoyo de atribución con base en evidencia.

Security Audit

Favoritos 0GitHub 6.1k

analyzing-ransomware-encryption-mechanisms

por mukul975

Skill de analyzing-ransomware-encryption-mechanisms para análisis de malware, centrado en identificar el cifrado de ransomware, el manejo de claves y la viabilidad de descifrado. Úsalo para revisar AES, RSA, ChaCha20, esquemas híbridos y fallos de implementación que puedan ayudar a la recuperación.

Malware Analysis

Favoritos 0GitHub 6.1k

extracting-iocs-from-malware-samples

por mukul975

Guía de la skill extracting-iocs-from-malware-samples para análisis de malware: extrae hashes, IP, dominios, URLs, artefactos del host y señales de validación de muestras para threat intel y detección.

Malware Analysis

Favoritos 0GitHub 0