detecting-modbus-command-injection-attacks

por mukul975

detecting-modbus-command-injection-attacks ayuda a los analistas de seguridad a identificar actividad sospechosa de escritura en Modbus TCP/RTU, códigos de función anómalos, tramas mal formadas y desviaciones de la línea base en entornos ICS y SCADA. Úsalo para triaje de incidentes, monitorización OT y auditorías de seguridad cuando necesites orientación de detección específica de Modbus, no una indicación genérica de anomalías.

Estrellas6.1k

Favoritos0

Comentarios0

Agregado9 may 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-modbus-command-injection-attacks

Puntuación editorial

Esta skill obtiene una puntuación de 78/100, así que es una opción sólida para quienes necesitan orientación sobre detección de inyección de comandos en Modbus/ICS. El repositorio aporta suficiente detalle de flujo de trabajo, contexto de protocolo y ejemplos de herramientas como para que un agente pueda activarla y usarla con menos dudas que con una indicación genérica, aunque sigue siendo más una referencia que una solución lista para usar.

78/100

Puntos fuertes

Orientación clara del caso de uso para detección de intrusiones en Modbus TCP/RTU, incluyendo escrituras no autorizadas, códigos de función anómalos, tramas mal formadas y desviaciones de la línea base.
El soporte operativo es creíble: el repositorio incluye un script de detección, una referencia de API, ejemplos para Zeek/Suricata y fragmentos de uso por CLI.
Aporta buen valor de decisión de instalación para usuarios OT/ICS porque indica explícitamente cuándo conviene usar la skill y cuándo no, lo que reduce el riesgo de aplicarla mal.

Puntos a tener en cuenta

No hay comando de instalación en SKILL.md, así que los usuarios deben inferir la configuración y la integración en lugar de seguir una ruta de instalación de un solo paso.
La skill está centrada en la detección y depende de visibilidad de red y de una línea base del comportamiento normal de Modbus, por lo que no resulta útil de inmediato en entornos sin SPAN/TAP o sin registros.

Ot Security Ics Modbus Protocol Analysis Ids Scada Threat Detection

Resumen

Resumen de la skill de detectando-inyeccion-de-comandos-modbus

Qué hace esta skill

La skill detecting-modbus-command-injection-attacks te ayuda a identificar actividad sospechosa de Modbus TCP/RTU que puede indicar inyección de comandos, escrituras no autorizadas o abuso del protocolo en redes ICS y SCADA. Es especialmente útil para analistas de seguridad y defensores OT que necesitan convertir telemetría bruta de Modbus en un plan de detección práctico, no solo en un texto genérico sobre “anomalías”.

Quién debería instalarla

Instala la skill detecting-modbus-command-injection-attacks si trabajas en monitoreo OT, una auditoría de seguridad de activos con mucho Modbus o la triage de incidentes tras cambios inesperados en PLC. Encaja mejor cuando ya cuentas con capturas de paquetes, logs de Zeek o salida de IDS y necesitas ayuda para decidir qué es realmente sospechoso.

Por qué es diferente

Esta skill se centra en patrones de abuso específicos de Modbus: funciones de escritura peligrosas, códigos de función inusuales, masters no autorizados y desviaciones del comportamiento base de sondeo. Eso la hace más accionable que un prompt amplio de ciberseguridad, sobre todo cuando necesitas un razonamiento consciente de Modbus y no una detección genérica de amenazas de red.

Cómo usar la skill detecting-modbus-command-injection-attacks

Instala e inspecciona la skill

Usa el flujo detecting-modbus-command-injection-attacks install desde tu gestor de skills o añade el repo directamente, y luego lee primero SKILL.md. En este repositorio, los archivos de apoyo más útiles son references/api-reference.md para la lógica de detección y scripts/agent.py para ver cómo está implementado el análisis.

Dale a la skill la entrada correcta

El mejor uso de detecting-modbus-command-injection-attacks empieza con evidencia concreta: extractos de logs de Modbus, detalles de pcap, IP conocidas de PLC/master, códigos de función esperados y la ventana temporal que quieres analizar. Si solo preguntas “¿esto es un ataque?” sin contexto de tráfico, la salida suele quedar demasiado abstracta como para actuar sobre ella.

Convierte una petición vaga en un prompt sólido

Un buen prompt para detecting-modbus-command-injection-attacks dice en qué entorno estás, qué telemetría tienes y qué decisión necesitas tomar. Por ejemplo: “Analiza este log de Zeek Modbus en busca de operaciones de escritura no autorizadas. Los masters conocidos son 10.0.0.5 y 10.0.0.6. Marca cualquier escritura, código de función desconocido o acceso a registros fuera de la línea base.” Eso le da a la skill suficiente estructura para generar hallazgos orientados a detección.

Usa un flujo de trabajo práctico

Empieza confirmando el transporte Modbus, luego establece una línea base del sondeo normal, los códigos de función y los masters permitidos. Después revisa funciones de escritura como 5, 6, 15, 16, 22 y 23, además de cualquier diagnóstico o ráfaga de acceso inusual. Si estás usando el script o las reglas del repo como referencia, valídalos contra tu propio inventario de activos y tus ventanas de cambio OT antes de tratar las alertas como maliciosas.

Preguntas frecuentes sobre la skill detecting-modbus-command-injection-attacks

¿Esto es solo para ataques Modbus?

Sí, esta skill está diseñada específicamente para detectar detecting-modbus-command-injection-attacks en entornos Modbus TCP/RTU. Si tu problema es DNP3, detección de intrusiones IT general o escaneo de vulnerabilidades OT, te convendrá más otra skill.

¿Necesito capturas de paquetes para usarla?

No. Los logs de Zeek, las alertas de IDS o resúmenes estructurados del tráfico pueden ser suficientes para una primera triage. Las capturas de paquetes ayudan sobre todo cuando necesitas confirmar códigos de función, tramas mal formadas o el comportamiento exacto de escritura.

¿En qué se diferencia de un prompt normal?

Un prompt normal puede identificar tráfico sospechoso, pero la skill detecting-modbus-command-injection-attacks está ajustada a la semántica de Modbus, los códigos de función peligrosos, las desviaciones respecto a la línea base y el contexto de incidentes OT. Eso reduce las dudas a la hora de decidir si un evento es un cambio de proceso, una acción de mantenimiento o una inyección de comandos maliciosa.

¿Es apta para principiantes?

Sí, se puede usar siendo principiante, pero funciona mucho mejor cuando puedes nombrar al menos tres cosas: el master de Modbus, el segmento monitorizado y el comportamiento esperado del dispositivo. Sin ese contexto, la salida puede ser técnicamente correcta pero demasiado amplia para una auditoría de seguridad real o para revisar un incidente.

Cómo mejorar la skill detecting-modbus-command-injection-attacks

Aporta primero el contexto de referencia

La mayor mejora de calidad llega cuando le das a la skill una línea base conocida: masters permitidos, frecuencia normal de sondeo, rangos de registros habituales y qué operaciones de escritura se esperan durante el mantenimiento. Esto es especialmente importante para el trabajo de detecting-modbus-command-injection-attacks for Security Audit, donde hay que separar el comportamiento permitido del cambio sospechoso.

Incluye el artefacto exacto y el alcance

Si quieres un mejor uso de detecting-modbus-command-injection-attacks, pega el tipo exacto de artefacto y el alcance: campos de Zeek, texto de una alerta de Suricata, marcas de tiempo de pcap o una tabla breve de eventos. Indica si quieres reglas de detección, triage o interpretación de causa raíz, porque cada caso requiere una forma de salida distinta.

Ten en cuenta los fallos más comunes

El fallo principal es calificar como maliciosas escrituras legítimas cuando no se proporcionan ventanas de mantenimiento o cambios de ingeniería. Otro es no detectar el abuso cuando el tráfico contiene códigos de función Modbus aparentemente válidos pero una IP de origen no autorizada o un patrón de ráfaga anormal. Corrige ambos problemas indicando operadores esperados, roles de dispositivo y actividad de cambios reciente.

Itera con preguntas de seguimiento más precisas

Después de la primera pasada, pide un resultado más acotado: “lista solo las escrituras sospechosas”, “separa la actividad probablemente administrativa de la actividad hostil” o “redacta una detección de Zeek/Suricata basada en estos eventos”. Si la respuesta sigue siendo demasiado general, añade más detalle de protocolo en lugar de más narrativa, porque esta skill mejora más cuando aportas evidencia Modbus más clara, no más contexto genérico.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

security-threat-model

por openai

Skill security-threat-model, basada en el repositorio, para modelado de amenazas en AppSec. Convierte límites de confianza, activos, objetivos del atacante, rutas de abuso y mitigaciones en un modelo de amenazas conciso en Markdown. Úsala cuando necesites security-threat-model para Threat Modeling sobre un repo o ruta específicos, no para una revisión genérica de arquitectura ni para una comprobación de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

azure-ai-contentsafety-ts

por microsoft

azure-ai-contentsafety-ts ayuda a analizar texto e imágenes en busca de contenido dañino con Azure AI Content Safety en TypeScript. Usa esta skill para flujos de moderación, listas de bloqueo y comprobaciones de auditoría de seguridad sobre odio, violencia, contenido sexual y autolesiones. También incluye la configuración del endpoint de Azure y la autenticación.

Security Audit

Favoritos 0GitHub 2.3k

sharp-edges

por trailofbits

La skill sharp-edges te ayuda a encontrar APIs, configuraciones e interfaces en las que el camino fácil acaba en un uso inseguro. Úsala para revisar flujos de autenticación, envoltorios criptográficos, valores predeterminados peligrosos, la semántica de null o cero y decisiones de diseño propensas a un uso incorrecto. Encaja especialmente bien para trabajos de sharp-edges en auditorías de seguridad cuando necesitas riesgos concretos de uso erróneo, no suposiciones genéricas sobre seguridad.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

por mukul975

La skill de almacenamiento inseguro en móvil ayuda a evaluar y extraer evidencias de almacenamiento local inseguro en apps Android e iOS. Cubre SharedPreferences, bases de datos SQLite, archivos plist, archivos legibles por todos, exposición en copias de seguridad y un manejo débil de keychain/keystore, útil para pentesting móvil y flujos de trabajo de auditoría de seguridad.

Security Audit

Favoritos 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

building-incident-response-playbook ayuda a los equipos de seguridad a crear playbooks reutilizables de respuesta a incidentes con fases paso a paso, árboles de decisión, criterios de escalado, asignación de responsabilidades RACI y una estructura lista para SOAR. Está pensado para documentar procedimientos de respuesta a incidentes, flujos de trabajo de triaje de incidentes y planes operativos de respuesta aptos para auditoría.

Incident Triage

Favoritos 0GitHub 6.1k

building-patch-tuesday-response-process

por mukul975

building-patch-tuesday-response-process ayuda a los equipos a crear un proceso repetible para Microsoft Patch Tuesday: clasificar avisos, priorizar riesgos, probar parches, aprobar su despliegue y hacer seguimiento del cumplimiento. Resulta útil para operaciones de seguridad, gestión de vulnerabilidades y building-patch-tuesday-response-process en Project Management.

Project Management

Favoritos 0GitHub 6.1k

ossfuzz

por trailofbits

Aprende la skill de ossfuzz para configurar fuzzing continuo, registrar proyectos, planificar harnesses y revisar el flujo de compilación. Esta guía ayuda a ingenieros de seguridad y mantenedores a evaluar la preparación, detectar bloqueos de compilación y preparar una ruta práctica desde el árbol de código fuente hasta OSS-Fuzz o una infraestructura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

La skill de codeql te ayuda a ejecutar CodeQL con menos puntos ciegos durante una auditoría de seguridad. Se centra en la calidad de la base de datos, la selección de suites, las extensiones de datos y la revisión de SARIF, para que puedas usar codeql con más fiabilidad en los idiomas compatibles. Úsala para seguir pasos repetibles de la guía de codeql al analizar repositorios reales.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

semgrep-rule-creator crea reglas de Semgrep de calidad de producción para vulnerabilidades de seguridad, patrones de errores, detecciones de flujo de taint y estándares de codificación. Usa la skill semgrep-rule-creator para tareas de auditoría de seguridad cuando necesites reglas precisas, casos de prueba y validación, en lugar de un borrador genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

La skill insecure-defaults ayuda a detectar patrones de configuración fail-open que hacen que el software siga funcionando con ajustes inseguros en vez de detenerse. Úsala en una auditoría de seguridad de código en producción, configuraciones de despliegue y lógica de manejo de secretos para identificar autenticación débil, secretos incrustados y valores predeterminados demasiado permisivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis es una skill de auditoría de seguridad para detectar riesgos de canal lateral por temporización en código criptográfico antes de que se conviertan en fallos explotables. Úsala para revisar matemáticas dependientes de secretos, ramas, comparaciones y el código compilado al auditar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python o Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k