analyzing-powershell-empire-artifacts

par mukul975

La compétence analyzing-powershell-empire-artifacts aide les équipes de Security Audit à détecter les artefacts PowerShell Empire dans les journaux Windows grâce au Script Block Logging, aux schémas de lanceur Base64, aux IOC des stagers, aux signatures de modules et aux références de détection, pour le triage et la rédaction de règles.

Étoiles0

Favoris0

Commentaires0

Ajouté9 mai 2026

CatégorieSecurity Audit

Commande d’installation

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill analyzing-powershell-empire-artifacts

Score éditorial

Cette compétence obtient 84/100, ce qui en fait un bon candidat pour le catalogue pour les utilisateurs qui recherchent des artefacts PowerShell Empire. Le dépôt offre un périmètre de détection clair, des références pratiques aux journaux et aux événements, ainsi qu’un script d’appui, ce qui permet aux agents de le comprendre et de l’utiliser avec relativement peu d’hypothèses par rapport à un prompt générique.

84/100

Points forts

Périmètre de détection précis et exploitable : artefacts PowerShell Empire dans les journaux d’événements Windows, avec des indicateurs nommés comme le launcher par défaut, les attributs des charges utiles Base64 et les signatures de modules.
Un vrai support opérationnel est présent : un document de référence explique comment activer le Script Block Logging et le Module Logging, ainsi que les principaux ID d’événements, ce qui aide un agent ou un utilisateur à exécuter le workflow.
Des preuves d’implémentation réutilisables : le script Python inclus montre des schémas concrets et des contrôles d’IOC, ce qui rend la compétence plus qu’une simple documentation descriptive.

Points de vigilance

Aucune commande d’installation dans SKILL.md, donc les utilisateurs devront peut-être configurer eux-mêmes les détails d’exécution et d’appel.
Le workflow semble centré sur un cas de threat hunting étroit ; il est donc moins utile en dehors de la détection de PowerShell Empire sous Windows.

Threat Hunting Forensics Incident Response C2 Powershell Windows Security

Vue d’ensemble

Présentation du skill analyzing-powershell-empire-artifacts

À quoi sert ce skill

analyzing-powershell-empire-artifacts est un skill de threat hunting conçu pour détecter des artefacts PowerShell Empire dans les journaux Windows. Il se concentre sur les signaux réellement exploités par les analystes : Script Block Logging, Module Logging, modèles de lanceurs encodés, stagers Empire et signatures de modules connues.

Qui devrait l’installer

Installez le skill analyzing-powershell-empire-artifacts si vous faites de l’audit de sécurité, de la réponse à incident ou de l’ingénierie de détection autour de l’abus de PowerShell. Il est particulièrement utile lorsque vous disposez déjà de télémétrie Windows et que vous devez confirmer si une activité PowerShell suspecte correspond à des techniques de type Empire.

Ce qui le distingue

Ce skill n’est pas un prompt générique du type « chercher des comportements PowerShell malveillants ». Il vous donne des points d’ancrage de détection concrets comme powershell -noP -sta -w 1 -enc, System.Net.WebClient, FromBase64String et des noms de modules Empire. Cela le rend plus pertinent pour le triage, la rédaction de requêtes et l’analyse des journaux qu’un prompt large de type analyse de malware.

Comment utiliser le skill analyzing-powershell-empire-artifacts

Installer le skill et ouvrir les bons fichiers

Utilisez le workflow analyzing-powershell-empire-artifacts install pour ajouter le skill, puis commencez par lire SKILL.md. Pour aller plus loin, consultez references/api-reference.md pour les IDs d’événements et les listes de motifs, ainsi que scripts/agent.py pour la logique regex sur laquelle le skill repose. Ces fichiers indiquent ce que le skill peut réellement faire correspondre.

Fournir la bonne entrée au skill

Le meilleur usage de analyzing-powershell-empire-artifacts usage commence avec un contexte de journal concret, pas avec une demande vague. Indiquez la source de l’événement, les IDs d’événements, la plage horaire et la chaîne ou la ligne de commande suspecte. Par exemple, demandez-lui d’examiner du contenu 4104 contenant un lanceur PowerShell encodé ou une ligne de commande 4688 avec -enc. Cela l’aide à distinguer une activité de type Empire d’un script d’administration classique.

Transformer un objectif flou en prompt utile

Un prompt faible dit : « Vérifie ces journaux pour Empire. » Un prompt plus solide dit : « Analyse ces événements 4104 et dis-moi si le script block montre des indicateurs PowerShell Empire. Concentre-toi sur les lanceurs encodés, WebClient, DownloadString, FromBase64String et les noms de modules Empire connus. Résume le niveau de confiance et les prochaines étapes d’investigation probables. » Cette version fournit au skill les indices qu’il est conçu pour rechercher.

Utiliser un workflow ciblé

Commencez par les journaux de création de processus ou de script block, puis validez avec la liste d’artefacts du skill. En pratique, la voie la plus rapide consiste à identifier les lignes de commande PowerShell suspectes, décoder le Base64 s’il est présent, vérifier si le contenu décodé contient des traits de stager Empire, puis comparer les noms de modules à la liste de référence. Ce workflow est particulièrement utile pour analyzing-powershell-empire-artifacts for Security Audit, car il soutient à la fois la détection et la collecte de preuves.

FAQ du skill analyzing-powershell-empire-artifacts

Est-ce réservé à Empire, ou plus largement à la chasse aux abus PowerShell ?

Il est centré sur Empire. Vous pouvez l’utiliser pour des abus PowerShell voisins, mais sa vraie valeur apparaît lorsque les artefacts correspondent à des schémas de lanceur, de staging ou de module Empire. Si votre cas se résume à « PowerShell semble inhabituel », un skill de hunting plus large peut constituer un meilleur premier passage.

Faut-il une expertise PowerShell poussée ?

Non, mais il faut suffisamment de contexte pour fournir des journaux et des indicateurs. Le skill est le plus utile lorsque vous pouvez coller du texte d’événement, des lignes de commande ou des payloads décodés. Les débutants peuvent l’utiliser efficacement s’ils savent identifier les IDs d’événements pertinents et conserver les chaînes suspectes.

En quoi est-il différent d’un prompt classique envoyé à un modèle IA ?

Un prompt classique peut décrire Empire de façon générale. Le analyzing-powershell-empire-artifacts skill est plus exploitable car il s’appuie sur des sources de logs, des IDs d’événements et des motifs de détection précis. Cela réduit l’incertitude quand vous avez besoin d’une réponse de triage, d’une idée de détection ou d’une évaluation rapide de compatibilité oui/non.

Quand ne faut-il pas l’utiliser ?

N’en dépendez pas seul si vous n’avez pas de journalisation Windows, pas de télémétrie PowerShell, ou seulement une alerte endpoint vague sans données de ligne de commande. Dans ces cas-là, il faut d’abord collecter les informations. Le skill est le plus puissant lorsque les journaux contiennent déjà assez de détails pour être confrontés à des artefacts spécifiques à Empire.

Comment améliorer le skill analyzing-powershell-empire-artifacts

Fournir des preuves plus riches dès le premier passage

La meilleure façon d’améliorer l’usage de analyzing-powershell-empire-artifacts est de fournir les artefacts bruts, pas des résumés. Collez le texte exact des événements 4104 ou 4688, toute sortie Base64 décodée, ainsi que le contexte de l’hôte autour de l’exécution. Si vous dites seulement « PowerShell suspect », le résultat sera moins précis que si vous fournissez la chaîne de lancement ou le nom de module suspecté.

Demander des décisions, pas seulement des descriptions

Les sorties les plus utiles répondent généralement à trois questions : est-ce de type Empire, quelles preuves le soutiennent, et que dois-je vérifier ensuite. Si vous voulez un meilleur résultat du analyzing-powershell-empire-artifacts guide, demandez le niveau de confiance, les indicateurs appariés, les risques de faux positifs et la prochaine source de logs à examiner. Vous obtiendrez ainsi une analyse plus directement exploitable pour la prise de décision.

Repérer les modes d’échec fréquents

Le skill peut être fragilisé par un Base64 tronqué, un contexte d’événement incomplet ou des chaînes copiées sans retours à la ligne. Il peut aussi se focaliser excessivement sur un seul motif si vous ne précisez pas si l’objectif est la détection, la validation ou le reporting. Pour de meilleurs résultats, indiquez avant l’analyse si vous avez besoin d’une requête de chasse, d’une note analyste ou d’un résumé d’incident.

Itérer des indicateurs vers la couverture

Après la première sortie, améliorez le skill en demandant quels indicateurs supplémentaires ajouter à votre règle de chasse ou de détection. Par exemple, élargissez des options de lanceur vers le contenu du script block, puis vers les URI par défaut, les user agents et les signatures de modules. Cette approche itérative rend analyzing-powershell-empire-artifacts plus utile pour l’audit de sécurité, car elle fait passer d’une revue d’événement isolé à une couverture reproductible.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

security-threat-model

par openai

Compétence security-threat-model ancrée dans le dépôt pour la modélisation des menaces AppSec. Elle cartographie les frontières de confiance, les actifs, les objectifs des attaquants, les chemins d’abus et les mesures de mitigation dans un modèle de menaces Markdown concis. À utiliser lorsque vous avez besoin de security-threat-model pour une Threat Modeling sur un dépôt ou un chemin précis, et non d’une revue d’architecture générique ou d’une vérification de code.

Threat Modeling

Favoris 0GitHub 0

solana-vulnerability-scanner

par trailofbits

solana-vulnerability-scanner est un skill d’audit de sécurité Solana ciblé pour les programmes natifs Rust et Anchor. Il aide à examiner la logique CPI, la validation des PDA, les contrôles de signer et de propriété, ainsi que l’usurpation de sysvar afin de détecter six vulnérabilités critiques propres à Solana avant le déploiement.

Security Audit

Favoris 0GitHub 4.9k

azure-ai-contentsafety-ts

par microsoft

azure-ai-contentsafety-ts aide à analyser du texte et des images à la recherche de contenu préjudiciable avec Azure AI Content Safety en TypeScript. Utilisez ce skill pour des workflows de modération, des blocklists et des contrôles d’audit de sécurité sur les contenus haineux, violents, sexuels et liés à l’automutilation. Il couvre aussi la configuration du point de terminaison Azure et de l’authentification.

Security Audit

Favoris 0GitHub 2.3k

sharp-edges

par trailofbits

La skill sharp-edges vous aide à repérer les API, configurations et interfaces où la voie la plus simple conduit à un usage non sécurisé. Utilisez-la pour examiner les flux d’authentification, les enveloppes cryptographiques, les valeurs par défaut risquées, les sémantiques null ou zéro, ainsi que les choix de conception propices aux erreurs d’utilisation. Elle convient très bien aux travaux de sharp-edges pour l’audit de sécurité lorsqu’il faut des cas concrets de pièges de conception, et non de vagues suppositions de sécurité.

Security Audit

Favoris 0GitHub 5k

security-review

par affaan-m

Utilisez la skill security-review pour passer en revue l’authentification, les entrées utilisateur, les secrets, les API, les paiements, les uploads et d’autres flux sensibles. Elle fournit un guide pratique de revue de sécurité avec des vérifications claires de type réussite/échec, des exemples de schémas à risque et une méthode ciblée pour repérer les problèmes courants avant la mise en production.

Security Audit

Favoris 0GitHub 156.3k

django-security

par affaan-m

django-security est un guide pratique pour renforcer la sécurité des applications Django : authentification, autorisation, protection CSRF, prévention des attaques XSS et des injections SQL, cookies sécurisés et réglages de production. Il aide les développeurs et les relecteurs à mener un Security Audit ciblé, à repérer rapidement les configurations risquées et à appliquer des correctifs concrets avant le déploiement.

Security Audit

Favoris 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

par mukul975

La skill d’exploitation du stockage de données non sécurisé sur mobile aide à évaluer et à extraire des preuves à partir d’un stockage local vulnérable dans les apps Android et iOS. Elle couvre SharedPreferences, les bases de données SQLite, les fichiers plist, les fichiers lisibles par tous, l’exposition via les sauvegardes et la gestion faible des clés dans le keychain/keystore, pour des workflows de pentest mobile et d’audit de sécurité.

Security Audit

Favoris 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

par mukul975

detecting-s3-data-exfiltration-attempts aide à enquêter sur une possible exfiltration de données AWS S3 en corrélant les événements CloudTrail S3 data events, les findings GuardDuty, les alertes Amazon Macie et les schémas d’accès à S3. Utilisez ce skill detecting-s3-data-exfiltration-attempts pour les audits de sécurité, la réponse à incident et l’analyse de téléchargements massifs suspects.

Security Audit

Favoris 0GitHub 6.2k

building-incident-response-playbook

par mukul975

building-incident-response-playbook aide les équipes sécurité à créer des playbooks de réponse aux incidents réutilisables, avec des phases pas à pas, des arbres de décision, des critères d’escalade, une répartition des responsabilités en RACI et une structure prête pour le SOAR. Il est conçu pour la documentation des procédures de réponse aux incidents, les workflows de triage des incidents et les plans de réponse opérationnels adaptés aux audits.

Incident Triage

Favoris 0GitHub 6.1k

building-patch-tuesday-response-process

par mukul975

building-patch-tuesday-response-process aide les équipes à mettre en place un processus Microsoft Patch Tuesday reproductible pour trier les avis, hiérarchiser les risques, tester les correctifs, valider le déploiement et suivre la conformité. Idéal pour les opérations de sécurité, la gestion des vulnérabilités et le pilotage de projet autour de building-patch-tuesday-response-process.

Project Management

Favoris 0GitHub 6.1k

ossfuzz

par trailofbits

Découvrez le skill ossfuzz pour configurer le fuzzing continu, inscrire un projet, planifier un harness et passer en revue le workflow de build. Ce guide aide les ingénieurs sécurité et les mainteneurs à évaluer la maturité du projet, repérer les blocages de compilation et préparer une trajectoire concrète, de l’arborescence source vers OSS-Fuzz ou une infrastructure de fuzzing privée.

Security Audit

Favoris 0GitHub 5k

codeql

par trailofbits

Le skill codeql vous aide à exécuter CodeQL avec moins d’angles morts lors d’un audit de sécurité. Il met l’accent sur la qualité de la base de données, le choix des suites, les extensions de données et la revue SARIF, afin de rendre l’usage de codeql plus fiable sur les langages pris en charge. Servez-vous-en pour suivre des étapes de guide codeql reproductibles lorsque vous analysez de vrais dépôts.

Security Audit

Favoris 0GitHub 5k

semgrep-rule-creator

par trailofbits

semgrep-rule-creator crée des règles Semgrep de qualité production pour les vulnérabilités de sécurité, les patterns de bugs, les détections de flux de taint et les standards de codage. Utilisez le skill semgrep-rule-creator pour les audits de sécurité lorsque vous avez besoin de règles précises, de cas de test et d’une validation solide plutôt que d’un brouillon générique.

Security Audit

Favoris 0GitHub 5k

insecure-defaults

par trailofbits

La compétence insecure-defaults aide à repérer les configurations de type fail-open qui laissent le logiciel fonctionner avec des paramètres dangereux au lieu de s’arrêter. Utilisez-la pour un audit de sécurité du code de production, des configurations de déploiement et de la logique de gestion des secrets afin de détecter une authentification faible, des secrets codés en dur et des valeurs par défaut trop permissives.

Security Audit

Favoris 0GitHub 5k

constant-time-analysis

par trailofbits

constant-time-analysis est un skill d’audit de sécurité conçu pour repérer les risques de side-channel temporel dans le code cryptographique avant qu’ils ne deviennent des bogues exploitables. Utilisez-le pour examiner les calculs dépendants des secrets, les branches, les comparaisons et le code compilé lors de revues en C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python ou Ruby.

Security Audit

Favoris 0GitHub 5k

secure-workflow-guide

par trailofbits

secure-workflow-guide guide un workflow de sécurité Solidity en 5 étapes : triage Slither, contrôles spécifiques aux fonctionnalités, inspection visuelle, notes sur les propriétés de sécurité et revue manuelle. Conçu pour les équipes de smart contracts, les auditeurs et les builders qui veulent un guide secure-workflow-guide reproductible avant un déploiement ou une mise en production.

Security Audit

Favoris 0GitHub 4.9k