detecting-wmi-persistence

por mukul975

La skill detecting-wmi-persistence ayuda a analistas de threat hunting y DFIR a detectar la persistencia de suscripciones de eventos WMI en telemetría de Windows usando los Event IDs 19, 20 y 21 de Sysmon. Úsala para identificar actividad maliciosa de EventFilter, EventConsumer y FilterToConsumerBinding, validar hallazgos y distinguir la persistencia de un atacante de la automatización administrativa legítima.

Estrellas0

Favoritos0

Comentarios0

Agregado11 may 2026

CategoríaThreat Hunting

Comando de instalación

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-wmi-persistence

Puntuación editorial

Esta skill obtiene 78/100 y merece figurar: ofrece a los usuarios del directorio un flujo de trabajo concreto para buscar persistencia WMI, suficiente contexto para activarla correctamente y un conjunto de scripts y referencias de apoyo. Es una buena opción para decisiones de instalación, aunque conviene tener en cuenta que está orientada a entornos Windows/Sysmon y que se centra más en la detección que en una automatización integral de extremo a extremo.

78/100

Puntos fuertes

Trigger claro y específico: búsqueda de persistencia de suscripciones de eventos WMI mediante los Event IDs 19, 20 y 21 de Sysmon.
El flujo operativo está bien definido, con requisitos previos, tipos de consumidores sospechosos y ejemplos de enumeración con PowerShell/WMI.
Los archivos de apoyo aportan valor: un script agente en Python y una referencia de API para campos y comandos de Sysmon/WMI.

Puntos a tener en cuenta

Requiere un entorno bastante específico: registro de WMI en Sysmon, ingesta en un SIEM y acceso a PowerShell/WMI en endpoints Windows.
Su instalabilidad queda algo limitada por la ausencia de un comando de instalación y por una densidad de señal de flujo de trabajo solo moderada más allá del camino principal de detección.

Wmi Persistence Sysmon Windows Mitre Attack Dfir Event Logs Endpoint Security

Resumen

Descripción general de la skill detecting-wmi-persistence

La skill detecting-wmi-persistence te ayuda a cazar persistencia por suscripción a eventos WMI en la telemetría de Windows, especialmente en los eventos 19, 20 y 21 de Sysmon. Es ideal para threat hunters, analistas DFIR y equipos blue team que necesitan confirmar si una actividad sospechosa de WMI es automatización administrativa legítima o persistencia de un atacante.

Para qué sirve detecting-wmi-persistence

Esta skill de detecting-wmi-persistence está diseñada para una tarea muy concreta: identificar actividad maliciosa de EventFilter, EventConsumer y FilterToConsumerBinding vinculada a MITRE ATT&CK T1546.003. Resulta especialmente útil cuando ya tienes telemetría o una alerta y necesitas pasar rápido de la señal a la evidencia.

En qué se diferencia de un prompt genérico

A diferencia de un prompt amplio tipo “revisa si hay persistencia”, detecting-wmi-persistence te da un modelo de datos concreto: registros de Sysmon, consultas al espacio de nombres de WMI, tipos de consumidores sospechosos y pasos de limpieza. Eso la hace más fiable para investigaciones repetibles y más fácil de aplicar en un SIEM o en un flujo de trabajo de endpoint.

Usuarios y entornos que mejor encajan

Usa detecting-wmi-persistence si tienes Sysmon desplegado, reenvío de eventos de Windows o ingesta en un SIEM, y suficiente acceso para consultar root\subscription. Encaja mejor con hunt engineering, respuesta a incidentes y validación purple team que con investigaciones ligeras solo en escritorio.

Cómo usar la skill detecting-wmi-persistence

Instala la skill detecting-wmi-persistence

Instala con:

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-wmi-persistence

Después, abre primero skills/detecting-wmi-persistence/SKILL.md, y luego references/api-reference.md y scripts/agent.py para entender el mapeo de eventos y la lógica de detección.

Empieza con la entrada adecuada

El uso de detecting-wmi-persistence funciona mejor cuando aportas uno de estos elementos: un extracto de evento de Sysmon, un nombre de host sospechoso, una ventana temporal o un nombre concreto de consumidor/filtro de WMI. Una petición débil como “comprueba persistencia WMI” tarda más en resolverse que “investiga los Event IDs 19-21 de Sysmon del host X entre las 02:00 y las 06:00 UTC”.

Flujo de trabajo sugerido para threat hunting

Para usar detecting-wmi-persistence en threat hunting, empieza con los Event IDs 19, 20 y 21 de Sysmon; después revisa si el consumidor es CommandLineEventConsumer o ActiveScriptEventConsumer; por último, valida el enlace en root\subscription. Si ya tienes un filtro o un consumidor candidato, úsalo para acotar la búsqueda antes de enumerarlo todo.

Qué leer primero en el repositorio

Lee references/api-reference.md para ver los event IDs, la enumeración con PowerShell y las clases de consumidores sospechosas. Lee scripts/agent.py si quieres entender cómo la skill automatiza la recolección, qué considera sospechoso y qué supuestos hace sobre el acceso a Windows y la disponibilidad de telemetría.

Preguntas frecuentes sobre la skill detecting-wmi-persistence

¿detecting-wmi-persistence es solo para usuarios de Sysmon?

En su mayoría, sí. La skill está construida alrededor de los Event IDs 19, 20 y 21 de Sysmon, así que si no tienes habilitado el registro de WMI en Sysmon, la skill detecting-wmi-persistence será mucho menos efectiva. Aun así, puedes usar las ideas de consultas WMI, pero perderás la vía de detección más sólida.

¿Necesito ser experto en WMI para usarla?

No. La guía de detecting-wmi-persistence es útil para principiantes que pueden aportar logs o contexto del host, porque convierte una comprobación de persistencia muy específica en una búsqueda estructurada. Eso sí, necesitas suficiente acceso a Windows para validar suscripciones o trabajar con alguien que sí lo tenga.

¿Cuándo no debería usar esta skill?

No uses detecting-wmi-persistence como skill general de triage de malware ni como sustituto de un análisis forense completo del endpoint. Si el problema es más amplio que la persistencia por WMI, quizá te convenga primero una skill más general de hunting o de respuesta a incidentes.

¿En qué se diferencia de un prompt normal?

Un prompt normal suele pedirle al modelo que infiera el flujo de trabajo de memoria. La skill detecting-wmi-persistence te da una ruta más cerrada: event IDs, clases de artefactos probables y pasos de validación respaldados por el repositorio, lo que normalmente se traduce en menos intentos fallidos y una mejor estructura de investigación.

Cómo mejorar la skill detecting-wmi-persistence

Aporta telemetría de mayor calidad desde el inicio

La mejora más importante para detecting-wmi-persistence es una mejor entrada. Proporciona XML bruto de Sysmon, fragmentos de eventos reenviados, el rol del host y el rango temporal. Por ejemplo, “Host WS-17, eventos Sysmon 19-21, CommandLineEventConsumer sospechoso, contexto de usuario desconocido” es mucho más útil que “creo que WMI se ve raro”.

Separa la automatización legítima de la persistencia sospechosa

Un modo de fallo habitual es sobredimensionar el uso legítimo de WMI por parte de administradores. Mejora los resultados de detecting-wmi-persistence diciéndole a la skill cómo se ve lo normal en tu entorno: herramientas de despliegue conocidas, agentes de gestión programados o scripts aprobados. Ese contexto ayuda a centrar la búsqueda en filtros, consumidores y bindings inusuales.

Itera con preguntas de seguimiento concretas

Después del primer pase, pide a la skill detecting-wmi-persistence que se enfoque en un solo tipo de artefacto a la vez: filtro, consumidor o binding. También puedes pedir una lista de verificación de validación, un plan de consultas orientado a limpieza o una traducción de la consulta a SIEM. Iterar así suele dar resultados más accionables que pedir un único veredicto amplio.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

detecting-s3-data-exfiltration-attempts

por mukul975

detecting-s3-data-exfiltration-attempts ayuda a investigar posibles robos de datos en AWS S3 correlacionando eventos de datos de S3 de CloudTrail, hallazgos de GuardDuty, alertas de Amazon Macie y patrones de acceso a S3. Usa esta skill detecting-s3-data-exfiltration-attempts para auditorías de seguridad, respuesta a incidentes y análisis de descargas masivas sospechosas.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-usb-device-connection-history

por mukul975

analyzing-usb-device-connection-history ayuda a investigar el historial de conexión de dispositivos USB en Windows usando colmenas del registro, registros de eventos y setupapi.dev.log para informática forense digital, trabajo sobre amenazas internas y respuesta a incidentes. Admite reconstrucción de líneas de tiempo, correlación de dispositivos y análisis de evidencias de medios extraíbles.

Digital Forensics

Favoritos 0GitHub 6.2k

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples es una skill de análisis de malware para investigaciones de MBR, VBR, UEFI y rootkits. Úsala para inspeccionar sectores de arranque, módulos de firmware e indicadores anti-rootkit cuando la intrusión persiste por debajo de la capa del sistema operativo. Está pensada para analistas que necesitan una guía práctica, un flujo de trabajo claro y una triaje basado en evidencias para el análisis de malware.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ayuda a los defensores a detectar cifrado al estilo ransomware mediante análisis de entropía, monitoreo de E/S de archivos y heurísticas de comportamiento. Está pensada para respuesta a incidentes, ajuste de SOC y validación en red team cuando necesitas detectar rápido cambios masivos de archivos, ráfagas de renombrado y actividad sospechosa de procesos.

Incident Response

Favoritos 0GitHub 0

detecting-privilege-escalation-attempts

por mukul975

detecting-privilege-escalation-attempts ayuda a detectar intentos de escalada de privilegios en Windows y Linux, incluidos la manipulación de tokens, el bypass de UAC, rutas de servicio sin comillas, exploits del kernel y el abuso de sudo/doas. Está pensado para equipos de threat hunting que necesitan un flujo de trabajo práctico, consultas de referencia y scripts de apoyo.

Threat Hunting

Favoritos 0GitHub 0

detecting-evasion-techniques-in-endpoint-logs

por mukul975

La skill de detección de técnicas de evasión en registros de endpoint ayuda a buscar evasión de defensas en registros de endpoints Windows, incluidos el borrado de logs, el timestomping, la inyección de procesos y la desactivación de herramientas de seguridad. Úsala para threat hunting, ingeniería de detección y triaje de incidentes con telemetría de Sysmon, Windows Security o EDR.

Threat Hunting

Favoritos 0GitHub 0

analyzing-network-traffic-for-incidents

por mukul975

analyzing-network-traffic-for-incidents ayuda a los equipos de respuesta a incidentes a analizar PCAP, registros de flujo y capturas de paquetes para confirmar C2, movimiento lateral, exfiltración e intentos de explotación. Pensado para analyzing-network-traffic-for-incidents aplicado a respuesta a incidentes con Wireshark, Zeek e investigación estilo NetFlow.

Incident Response

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ayuda a analizar actividad sospechosa en memoria, validar alertas de EDR e identificar process hollowing, inyección APC, secuestro de hilos, reflective loading e inyección DLL clásica para auditoría de seguridad y triaje de malware.

Security Audit

Favoritos 0GitHub 0

detecting-process-hollowing-technique

por mukul975

detecting-process-hollowing-technique ayuda a detectar process hollowing (T1055.012) en telemetría de Windows correlacionando inicios suspendidos, manipulación de memoria, anomalías entre proceso padre e hijo y evidencia de API. Está pensada para threat hunters, ingenieros de detección y equipos de respuesta que necesitan un flujo práctico de threat hunting con detecting-process-hollowing-technique.

Threat Hunting

Favoritos 0GitHub 0

detecting-rdp-brute-force-attacks

por mukul975

detecting-rdp-brute-force-attacks ayuda a analizar los registros de eventos de seguridad de Windows para detectar patrones de fuerza bruta en RDP, incluidos fallos repetidos 4625, un 4624 exitoso después de varios fallos, inicios de sesión relacionados con NLA y concentración por IP de origen. Úsala para auditorías de seguridad, threat hunting e investigaciones repetibles basadas en EVTX.

Security Audit

Favoritos 0GitHub 6.2k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ayuda a los flujos de trabajo de DFIR y threat hunting a detectar rootkits del kernel de Linux con comprobaciones de vista cruzada de Volatility3, escaneos de rkhunter y análisis de /proc frente a /sys para identificar módulos ocultos, syscalls enganchadas y estructuras del kernel manipuladas. Es una guía práctica de analyzing-linux-kernel-rootkits para el triaje forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ayuda a los analistas a detectar la ejecución de Mimikatz mediante patrones de línea de comandos, señales de acceso a LSASS, indicadores binarios y artefactos de memoria. Usa esta instalación del skill detecting-mimikatz-execution-patterns para auditorías de seguridad, hunting y respuesta a incidentes, con plantillas, referencias y guía de flujo de trabajo.

Security Audit

Favoritos 0GitHub 0

exploiting-kerberoasting-with-impacket

por mukul975

exploiting-kerberoasting-with-impacket ayuda a testers autorizados a planificar Kerberoasting con `GetUserSPNs.py` de Impacket, desde el reconocimiento de SPN hasta la extracción de tickets TGS, el cracking offline y la elaboración de informes con enfoque en detección. Usa esta guía de exploiting-kerberoasting-with-impacket para flujos de trabajo de pruebas de penetración con contexto claro de instalación y uso.

Penetration Testing

Favoritos 0GitHub 6.2k

detecting-shadow-it-cloud-usage

por mukul975

detecting-shadow-it-cloud-usage ayuda a identificar el uso no autorizado de SaaS y servicios en la nube a partir de logs de proxy, consultas DNS y netflow. Clasifica dominios, los compara con listas aprobadas y respalda flujos de trabajo de auditoría de seguridad con evidencia estructurada desde la guía de la skill detecting-shadow-it-cloud-usage.

Security Audit

Favoritos 0GitHub 6.2k

detecting-service-account-abuse

por mukul975

detecting-service-account-abuse es una skill de threat hunting para detectar el uso indebido de cuentas de servicio en telemetría de Windows, AD, SIEM y EDR. Se centra en inicios de sesión interactivos sospechosos, escalada de privilegios, movimiento lateral y anomalías de acceso, e incluye una plantilla de búsqueda, event IDs y referencias de flujo de trabajo para una investigación repetible.

Threat Hunting

Favoritos 0GitHub 6.2k

analyzing-browser-forensics-with-hindsight

por mukul975

analyzing-browser-forensics-with-hindsight ayuda a equipos de análisis forense digital a examinar artefactos de navegadores Chromium con Hindsight, incluidos historial, descargas, cookies, autocompletado, marcadores, metadatos de credenciales guardadas, caché y extensiones. Úsalo para reconstruir la actividad web, revisar líneas de tiempo e investigar perfiles de Chrome, Edge, Brave y Opera.

Digital Forensics

Favoritos 0GitHub 6.2k