detecting-stuxnet-style-attacks

por mukul975

La habilidad detecting-stuxnet-style-attacks ayuda a los defensores a detectar patrones de intrusión OT e ICS al estilo Stuxnet, incluyendo manipulación de la lógica de PLC, datos de sensores suplantados, compromiso de estaciones de trabajo de ingeniería y movimiento lateral de IT a OT. Úsala para threat hunting, triaje de incidentes y monitoreo de la integridad de procesos con evidencia de protocolos, hosts y procesos.

Estrellas0

Favoritos0

Comentarios0

Agregado11 may 2026

CategoríaThreat Hunting

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-stuxnet-style-attacks

Puntuación editorial

Esta habilidad obtiene una puntuación de 78/100, lo que significa que es una candidata sólida para Agent Skills Finder. Aporta suficiente detalle concreto sobre flujos de detección OT/ICS —y no solo una descripción genérica de ciberseguridad— como para justificar su instalación, aunque todavía presenta algunas reservas de adopción por su configuración y su usabilidad de extremo a extremo.

78/100

Puntos fuertes

Alta capacidad de activación para un caso de uso específico: detección de ataques OT/ICS al estilo Stuxnet, con orientación explícita de "When to Use" y "Do not use".
El contenido operativo es útil tanto en la habilidad como en los archivos de apoyo, incluidos indicadores Modbus/S7comm, filtros tshark y un script de agente en Python para analizar PCAP.
Buen aprovechamiento del agente para tareas de detección: cubre la integridad de la lógica de PLC, la detección de anomalías en procesos, el movimiento lateral y comprobaciones de tipo IOC sobre evidencias de host y red.

Puntos a tener en cuenta

No hay comando de instalación en SKILL.md, así que es posible que los usuarios tengan que resolver por su cuenta los pasos de activación o integración.
El repositorio parece centrado en detección y es técnico, pero la evidencia mostrada no revela por completo un flujo de trabajo de extremo a extremo pulido ni guías de validación para todos los escenarios.

Ot Security Ics Scada Industrial Control Apt Modbus Wmi Yara

Resumen

Panorama general del skill de detección de ataques estilo Stuxnet

Para qué sirve este skill

El skill detecting-stuxnet-style-attacks ayuda a detectar patrones de intrusión ciberfísica similares a Stuxnet en entornos OT e ICS: cambios no autorizados en la lógica de PLC, datos de sensores falsificados, compromiso de estaciones de ingeniería y la ruta de IT a OT que permite manipular procesos. Es especialmente útil para defensores que hacen detecting-stuxnet-style-attacks for Threat Hunting, triaje de incidentes o monitorización de sistemas de control, cuando las alertas de red “normales” no bastan.

Quién debería usarlo

Usa este detecting-stuxnet-style-attacks skill si eres analista de SOC, ingeniero de seguridad OT, threat hunter o purple teamer y trabajas sobre objetivos industriales de alto valor. Resulta especialmente relevante cuando necesitas conectar evidencias de paquetes, indicadores en hosts y comportamiento del proceso en una sola historia de detección, en lugar de perseguir IOCs aislados.

Qué lo hace diferente

Este skill no es un prompt genérico de alertas para SCADA. Se centra en la integridad del PLC, la actividad de escritura a nivel de protocolo, el compromiso de estaciones de ingeniería y la detección de anomalías con conocimiento del proceso físico. Por eso encaja mejor cuando la pregunta es “¿se alteró el proceso en secreto?” y no “¿vimos tráfico de malware?”.

Cómo usar el skill de detección de ataques estilo Stuxnet

Instálalo y cárgalo

Para detecting-stuxnet-style-attacks install, usa la ruta del repositorio en tu gestor de skills: npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-stuxnet-style-attacks. Después de instalarlo, abre primero skills/detecting-stuxnet-style-attacks/SKILL.md para confirmar el alcance y luego revisa los archivos de apoyo que impulsan la lógica de detección.

Empieza con las entradas correctas

El skill funciona mejor cuando aportas evidencias, no una sospecha vaga. Las mejores entradas incluyen:

un PCAP o un resumen de paquetes de segmentos OT
modelo de PLC y detalles de protocolo, como Modbus o S7comm
una línea temporal de anomalías de proceso o cambios de setpoint no planificados
eventos de la estación de ingeniería, actividad USB o registros de acceso remoto
líneas base conocidas del comportamiento de la lógica del PLC o del proceso

Un prompt débil sería “revisa esta red para ver si hay Stuxnet”. Uno más sólido sería: “Analiza este tráfico Modbus y S7comm junto con los logs de endpoints en busca de señales de escrituras al PLC, descargas de bloques y spoofing de proceso coherentes con una manipulación estilo Stuxnet”.

Lee los archivos en este orden

Para un uso práctico de detecting-stuxnet-style-attacks usage, empieza por estos archivos:

SKILL.md para ver el flujo de trabajo y los puntos de decisión
references/api-reference.md para señales del protocolo e IOCs
scripts/agent.py para entender cómo se operacionaliza la lógica de detección

Este repositorio es compacto, así que esos archivos te cuentan casi todo lo necesario sobre cómo razona el skill y qué evidencias espera.

Úsalo en un flujo de trabajo de threat hunting

Un buen flujo de trabajo es: identificar el activo OT y el protocolo, buscar operaciones con capacidad de escritura, comprobar actividad de descarga o de stop/start del PLC y después correlacionarlo con indicadores de compromiso del host y anomalías de proceso. La detecting-stuxnet-style-attacks guide es más útil cuando le pides al modelo que conecte observaciones en una cadena, no solo que enumere indicadores. Para mejores resultados, incluye qué debería haber ocurrido, qué ocurrió realmente y qué línea base consideras fiable.

Preguntas frecuentes sobre el skill de detección de ataques estilo Stuxnet

¿Esto es solo para Stuxnet en sí?

No. Está pensado para comportamientos estilo Stuxnet: manipulación encubierta de PLC, movimiento escalonado de IT a OT y engaño al operador. El skill es útil cuando las técnicas se parecen a Stuxnet aunque la familia de malware sea distinta.

¿Puedo usarlo para alertado OT básico?

Normalmente no. Si solo necesitas un IDS OT genérico o detección intrusiva para SCADA, probablemente sea demasiado especializado. El skill destaca más cuando necesitas un detecting-stuxnet-style-attacks for Threat Hunting más profundo y validación de integridad del proceso.

¿Necesito muestras de malware para usarlo?

No. El skill está diseñado alrededor de telemetría y evidencia del sistema de control. Úsalo con PCAPs, logs, artefactos de host, historial de cambios del PLC y datos de proceso. El análisis inverso de malware es un problema distinto.

¿Es apto para principiantes?

Puede usarse por principiantes si tienes un caso claro y puedes aportar evidencia estructurada. Es menos útil para quien no conoce el protocolo objetivo, el tipo de activo o cómo se ve el comportamiento “normal” del proceso.

Cómo mejorar el skill de detección de ataques estilo Stuxnet

Aporta la evidencia en un paquete estructurado

El skill rinde mejor cuando le das entradas agrupadas: ventana temporal, activo afectado, protocolo, tipo de telemetría y resultado sospechado. Por ejemplo: “10:15–10:40 UTC, PLC Siemens, S7comm y logs de Windows, descarga de bloque inesperada, HMI del operador mostrando valores normales”. Eso es mucho más útil que un volcado bruto sin contexto.

Pide una cadena, no un indicador aislado

La mayor mejora de calidad llega cuando le pides al modelo que conecte eventos en una ruta de ataque: acceso inicial, compromiso de la estación de ingeniería, modificación del PLC, ocultación e impacto en el proceso. Eso encaja con el enfoque del repositorio y evita salidas superficiales centradas solo en IOCs.

Vigila los modos de fallo más comunes

Los resultados se debilitan cuando omites la línea base, mezclas logs de IT y OT sin marcas temporales o pides certeza a partir de evidencia incompleta. Si la primera respuesta es demasiado genérica, añade detalles específicos del protocolo desde references/api-reference.md y pide al modelo que distinga el mantenimiento legítimo de escrituras maliciosas, descargas o acciones de stop/start del PLC.

Itera con preguntas de seguimiento concretas

Usa la primera pasada para identificar activos y protocolos sospechosos, y luego haz una segunda pregunta centrada en un único punto de la cadena. Buenos seguimientos son: “¿Qué eventos sugieren manipulación de la lógica del PLC?” o “¿Qué artefactos respaldan lecturas de sensores falsificadas frente a una alteración normal del proceso?”. Ese tipo de acotación suele mejorar más detecting-stuxnet-style-attacks usage que pedir un resumen más amplio.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

detecting-process-hollowing-technique

por mukul975

detecting-process-hollowing-technique ayuda a detectar process hollowing (T1055.012) en telemetría de Windows correlacionando inicios suspendidos, manipulación de memoria, anomalías entre proceso padre e hijo y evidencia de API. Está pensada para threat hunters, ingenieros de detección y equipos de respuesta que necesitan un flujo práctico de threat hunting con detecting-process-hollowing-technique.

Threat Hunting

Favoritos 0GitHub 0

detecting-rdp-brute-force-attacks

por mukul975

detecting-rdp-brute-force-attacks ayuda a analizar los registros de eventos de seguridad de Windows para detectar patrones de fuerza bruta en RDP, incluidos fallos repetidos 4625, un 4624 exitoso después de varios fallos, inicios de sesión relacionados con NLA y concentración por IP de origen. Úsala para auditorías de seguridad, threat hunting e investigaciones repetibles basadas en EVTX.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ayuda a los flujos de trabajo de DFIR y threat hunting a detectar rootkits del kernel de Linux con comprobaciones de vista cruzada de Volatility3, escaneos de rkhunter y análisis de /proc frente a /sys para identificar módulos ocultos, syscalls enganchadas y estructuras del kernel manipuladas. Es una guía práctica de analyzing-linux-kernel-rootkits para el triaje forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

Security Audit

Favoritos 0GitHub 0

exploiting-kerberoasting-with-impacket

por mukul975

exploiting-kerberoasting-with-impacket ayuda a testers autorizados a planificar Kerberoasting con `GetUserSPNs.py` de Impacket, desde el reconocimiento de SPN hasta la extracción de tickets TGS, el cracking offline y la elaboración de informes con enfoque en detección. Usa esta guía de exploiting-kerberoasting-with-impacket para flujos de trabajo de pruebas de penetración con contexto claro de instalación y uso.

Penetration Testing

Favoritos 0GitHub 6.2k

detecting-shadow-it-cloud-usage

por mukul975

detecting-shadow-it-cloud-usage ayuda a identificar el uso no autorizado de SaaS y servicios en la nube a partir de logs de proxy, consultas DNS y netflow. Clasifica dominios, los compara con listas aprobadas y respalda flujos de trabajo de auditoría de seguridad con evidencia estructurada desde la guía de la skill detecting-shadow-it-cloud-usage.

Security Audit

Favoritos 0GitHub 6.2k

detecting-service-account-abuse

por mukul975

detecting-service-account-abuse es una skill de threat hunting para detectar el uso indebido de cuentas de servicio en telemetría de Windows, AD, SIEM y EDR. Se centra en inicios de sesión interactivos sospechosos, escalada de privilegios, movimiento lateral y anomalías de acceso, e incluye una plantilla de búsqueda, event IDs y referencias de flujo de trabajo para una investigación repetible.

Threat Hunting

Favoritos 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

por mukul975

analyzing-browser-forensics-with-hindsight ayuda a equipos de análisis forense digital a examinar artefactos de navegadores Chromium con Hindsight, incluidos historial, descargas, cookies, autocompletado, marcadores, metadatos de credenciales guardadas, caché y extensiones. Úsalo para reconstruir la actividad web, revisar líneas de tiempo e investigar perfiles de Chrome, Edge, Brave y Opera.

Digital Forensics

Favoritos 0GitHub 6.2k