detecting-living-off-the-land-with-lolbas

par mukul975

detecting-living-off-the-land-with-lolbas aide à détecter les abus de LOLBAS avec Sysmon et les journaux d’événements Windows, en s’appuyant sur la télémétrie des processus, le contexte parent-enfant, des règles Sigma et un guide pratique pour le triage, la chasse et la rédaction de règles. Il prend en charge detecting-living-off-the-land-with-lolbas pour la modélisation des menaces et les workflows analyste autour de certutil, regsvr32, mshta et rundll32.

Étoiles0

Favoris0

Commentaires0

Ajouté9 mai 2026

CatégorieThreat Modeling

Commande d’installation

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-living-off-the-land-with-lolbas

Score éditorial

Cette skill obtient 78/100 : c’est une candidate solide pour l’annuaire, avec suffisamment de contenu concret sur les workflows de détection pour aider les agents à agir plus efficacement qu’avec un simple prompt générique. Les utilisateurs de l’annuaire y trouveront une structure utile pour la chasse aux menaces et des exemples, mais pas un guide d’exploitation totalement abouti et prêt à l’emploi.

78/100

Points forts

Forte orientation opérationnelle sur la détection des abus de LOLBin à l’aide de Sysmon/journaux d’événements Windows, de règles Sigma et de l’analyse des relations parent-enfant entre processus.
Le dépôt comprend un corps de skill conséquent, ainsi qu’un script d’appui et un fichier de référence, ce qui améliore la déclenchabilité et la capacité d’action de l’agent.
Le frontmatter est valide et la skill nomme des cibles concrètes comme certutil, regsvr32, mshta, rundll32 et msbuild, ce qui rend l’intention facile à identifier.

Points de vigilance

Aucune commande d’installation n’est présente dans SKILL.md, donc l’adoption peut nécessiter une mise en place manuelle ou une interprétation.
L’extrait montre peu de signaux de divulgation progressive au-delà de la vue d’ensemble et des prérequis ; certains détails d’exécution pourraient donc encore dépendre d’une demande explicite de l’utilisateur ou de l’inspection des fichiers d’appui.

Cybersecurity Threat Detection Threat Hunting Security Windows Security Sysmon Sigma Rules Lolbins

Vue d’ensemble

Aperçu du skill detecting-living-off-the-land-with-lolbas

Ce que fait ce skill

Le skill detecting-living-off-the-land-with-lolbas vous aide à détecter l’abus de LOLBAS/LOLBins comme certutil.exe, regsvr32.exe, mshta.exe et rundll32.exe à partir de la télémétrie des processus, du contexte parent-enfant et d’une logique de détection de type Sigma. Il est particulièrement utile si vous avez besoin d’un guide pratique detecting-living-off-the-land-with-lolbas pour la chasse, le triage ou la rédaction de règles, plutôt que d’une explication générique des LOLBins.

À qui l’installer

Ce skill convient bien aux analystes SOC, aux threat hunters, aux detection engineers et aux membres d’unités blue team qui travaillent avec Sysmon ou les journaux d’événements Windows. Il est aussi pertinent pour detecting-living-off-the-land-with-lolbas for Threat Modeling lorsque vous voulez raisonner sur la manière dont des utilitaires Windows courants pourraient être détournés dans votre environnement.

Ce qui le distingue

Le dépôt ne se limite pas à un aperçu rédigé : il combine des idées de détection, des signatures de référence et un petit script d’aide pour structurer le workflow. Sa vraie valeur est de transformer des activités de processus vaguement suspectes en patterns de détection et en étapes d’investigation concrètes, avec moins de suppositions.

Comment utiliser le skill detecting-living-off-the-land-with-lolbas

Installer le skill

Utilisez le flux d’installation standard du répertoire pour ce dépôt : npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-living-off-the-land-with-lolbas. Si votre environnement possède déjà le dépôt parent des skills, pointez votre workflow vers le chemin skills/detecting-living-off-the-land-with-lolbas afin d’inspecter directement les fichiers d’appui.

Commencer par les fichiers les plus riches en signal

Lisez d’abord SKILL.md, puis ouvrez references/api-reference.md pour les exemples concrets d’événements et de Sigma, et scripts/agent.py pour les heuristiques de détection qu’il encode. Ces trois fichiers vous diront plus vite qu’un survol si le detecting-living-off-the-land-with-lolbas skill correspond à vos sources de données et à votre stack de détection.

Transformer une demande floue en prompt utile

Les bons inputs incluent la source de télémétrie, le binaire suspect et le résultat attendu. Par exemple : « Analyse les entrées Sysmon Event ID 1 pour mshta.exe lancé par Office, identifie les indicateurs d’abus LOLBAS et rédige des conditions de type Sigma pour detecting-living-off-the-land-with-lolbas usage ». C’est bien plus solide que « cherche un malware », parce que vous donnez au skill un processus cible, un contexte parent et un livrable précis.

Un workflow qui donne de meilleurs résultats

Procédez dans cet ordre : collectez les données de création de processus, identifiez le LOLBin et le processus parent, comparez la ligne de commande aux patterns suspects connus, puis transformez le résultat en règle de détection ou en requête de chasse. Si le premier passage est trop bruité, resserrez d’abord sur l’image parente, les indicateurs réseau ou des sous-chaînes de la ligne de commande avant d’élargir à nouveau.

FAQ du skill detecting-living-off-the-land-with-lolbas

Est-ce réservé aux défenseurs ?

Oui, il s’agit avant tout d’un cas d’usage blue team et détection. Le detecting-living-off-the-land-with-lolbas skill est conçu pour vous aider à repérer des usages suspects, pas pour enseigner des techniques offensives.

Faut-il Sysmon pour bien l’utiliser ?

Sysmon est le meilleur choix, mais le Security Event ID 4688 de Windows avec la journalisation de la ligne de commande peut aussi permettre une analyse utile. Si vous ne disposez que d’une télémétrie endpoint minimale, le skill devient moins précis, car l’analyse parent-enfant des processus est ici déterminante.

En quoi est-ce différent d’un prompt classique ?

Un prompt classique peut mentionner les LOLBins en termes généraux, mais ce skill s’appuie sur une télémétrie de processus, des signatures et des schémas de rédaction de règles bien précis. Il est donc plus adapté lorsque vous avez besoin d’une logique de détection reproductible plutôt que d’une réponse narrative ponctuelle.

Quand faut-il éviter ce skill ?

Évitez-le si votre besoin porte sur le durcissement du poste de travail, le reverse engineering de malware ou la réponse à incident générique sans preuve de création de processus. Il est le plus performant lorsque la tâche relève de l’ingénierie de détection, de la threat hunting ou de detecting-living-off-the-land-with-lolbas for Threat Modeling autour de l’abus des exécutions Windows.

Comment améliorer le skill detecting-living-off-the-land-with-lolbas

Donner au skill les bonnes preuves

Les meilleurs inputs sont des extraits courts et structurés : nom de l’image, ligne de commande, image parente, utilisateur, horodatage, rôle de l’hôte et origine de l’événement, Sysmon ou 4688. Une requête comme « WINWORD.EXE a lancé rundll32.exe avec javascript: sur un poste finance » produit de meilleurs résultats qu’une note vague du type « rundll32 suspect ».

Demander une forme de sortie précise

Si vous cherchez de la valeur en détection, précisez si vous voulez des notes de triage, une logique de chasse, des conditions Sigma ou un résumé d’analyste. Le detecting-living-off-the-land-with-lolbas usage s’améliore quand vous demandez un seul artefact clair, par exemple : « liste les 5 champs les plus suspects et rédige un bloc de sélection Sigma ».

Attention aux erreurs fréquentes

L’erreur la plus courante consiste à qualifier à tort des activités d’administration normales de malveillantes. Pour réduire les faux positifs, incluez le processus parent, les commutateurs exacts de la ligne de commande et tout contexte de maintenance attendu ; si vous les omettez, le skill doit deviner si un LOLBin est détourné ou simplement utilisé légitimement.

Itérer à partir d’une base étroite

Commencez avec un seul binaire et une seule source de télémétrie, puis élargissez seulement si la première réponse est trop superficielle. Par exemple, demandez d’abord l’analyse des téléchargements avec certutil.exe à partir de Sysmon, puis étendez-vous à mshta.exe, regsvr32.exe et rundll32.exe une fois que vous disposez d’un pattern de détection stable et que vous pouvez comparer la couverture.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

security-threat-model

par openai

Compétence security-threat-model ancrée dans le dépôt pour la modélisation des menaces AppSec. Elle cartographie les frontières de confiance, les actifs, les objectifs des attaquants, les chemins d’abus et les mesures de mitigation dans un modèle de menaces Markdown concis. À utiliser lorsque vous avez besoin de security-threat-model pour une Threat Modeling sur un dépôt ou un chemin précis, et non d’une revue d’architecture générique ou d’une vérification de code.

Threat Modeling

Favoris 0GitHub 0

solana-vulnerability-scanner

par trailofbits

solana-vulnerability-scanner est un skill d’audit de sécurité Solana ciblé pour les programmes natifs Rust et Anchor. Il aide à examiner la logique CPI, la validation des PDA, les contrôles de signer et de propriété, ainsi que l’usurpation de sysvar afin de détecter six vulnérabilités critiques propres à Solana avant le déploiement.

Security Audit

Favoris 0GitHub 4.9k

exploiting-insecure-data-storage-in-mobile

par mukul975

La skill d’exploitation du stockage de données non sécurisé sur mobile aide à évaluer et à extraire des preuves à partir d’un stockage local vulnérable dans les apps Android et iOS. Elle couvre SharedPreferences, les bases de données SQLite, les fichiers plist, les fichiers lisibles par tous, l’exposition via les sauvegardes et la gestion faible des clés dans le keychain/keystore, pour des workflows de pentest mobile et d’audit de sécurité.

Security Audit

Favoris 0GitHub 6.2k

algorand-vulnerability-scanner

par trailofbits

algorand-vulnerability-scanner est une skill d’audit de sécurité pour Algorand TEAL et PyTeal. Elle aide à repérer 11 problèmes courants, notamment les attaques de rekeying, les lacunes de validation des frais, les vérifications de champs et les failles de contrôle d’accès. Utilisez la skill algorand-vulnerability-scanner pour une première revue pratique avant un audit manuel.

Security Audit

Favoris 0GitHub 4.9k

evaluating-threat-intelligence-platforms

par mukul975

evaluating-threat-intelligence-platforms vous aide à comparer les produits TIP selon l’ingestion de flux, la prise en charge de STIX/TAXII, l’automatisation, les workflows analystes, les intégrations et le coût total de possession. Utilisez ce guide evaluating-threat-intelligence-platforms pour les achats, une migration ou la planification de maturité, y compris l’évaluation de evaluating-threat-intelligence-platforms pour le Threat Modeling lorsque le choix de la plateforme influence la traçabilité et le partage des preuves.

Threat Modeling

Favoris 0GitHub 0

detecting-insider-threat-behaviors

par mukul975

La compétence detecting-insider-threat-behaviors aide les analystes à repérer des signaux de risque interne comme des accès inhabituels aux données, des activités hors horaires, des téléchargements massifs, des abus de privilèges et des vols corrélés à une démission. Utilisez ce guide detecting-insider-threat-behaviors pour la threat hunting, le triage de type UEBA et la modélisation des menaces, avec des modèles de workflow, des exemples de requêtes SIEM et des pondérations de risque.

Threat Modeling

Favoris 0GitHub 0

detecting-credential-dumping-techniques

par mukul975

La skill de détection des techniques de credential dumping vous aide à détecter les accès à LSASS, l’export SAM, le vol de NTDS.dit et l’abus de comsvcs.dll MiniDump à l’aide de l’Event ID 10 de Sysmon, des journaux de sécurité Windows et de règles de corrélation SIEM. Elle est conçue pour le threat hunting, l’ingénierie de détection et les workflows d’audit de sécurité.

Security Audit

Favoris 0GitHub 0

collecting-threat-intelligence-with-misp

par mukul975

La compétence collecting-threat-intelligence-with-misp vous aide à collecter, normaliser, rechercher et exporter la threat intelligence dans MISP. Utilisez ce guide collecting-threat-intelligence-with-misp pour les flux, les workflows PyMISP, le filtrage d’événements, la réduction des warninglists et des usages concrets de collecting-threat-intelligence-with-misp pour le Threat Modeling et les opérations CTI.

Threat Modeling

Favoris 0GitHub 0

analyzing-threat-intelligence-feeds

par mukul975

Analyzing-threat-intelligence-feeds vous aide à ingérer des flux CTI, normaliser des indicateurs, évaluer la qualité des flux et enrichir des IOC pour des workflows STIX 2.1. Ce skill analyzing-threat-intelligence-feeds est conçu pour les opérations de renseignement sur les menaces et l’analyse de données, avec des conseils pratiques pour TAXII, MISP et les flux commerciaux.

Data Analysis

Favoris 0GitHub 0

cosmos-vulnerability-scanner

par trailofbits

cosmos-vulnerability-scanner détecte les bugs critiques pour le consensus dans les modules Cosmos SDK, les contrats CosmWasm, les intégrations IBC et les stacks Cosmos EVM. Utilisez ce guide cosmos-vulnerability-scanner pour vos audits de sécurité, l’analyse des risques de blocage de chaîne, les scénarios de perte de fonds et les revues pré‑lancement.

Security Audit

Favoris 0GitHub 4.9k

detecting-process-injection-techniques

par mukul975

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

Security Audit

Favoris 0GitHub 0

detecting-email-forwarding-rules-attack

par mukul975

Le skill de détection des attaques par règles de transfert d’e-mail aide les équipes d’audit sécurité, de threat hunting et de réponse à incident à repérer les règles de transfert de boîtes aux lettres malveillantes utilisées pour la persistance et la collecte de courriels. Il guide les analystes à travers les indices Microsoft 365 et Exchange, les schémas de règles suspects et un triage pratique des comportements de transfert, de redirection, de suppression et de masquage.

Security Audit

Favoris 0GitHub 0

analyzing-ios-app-security-with-objection

par mukul975

La skill d’analyse de sécurité iOS avec Objection aide les testeurs autorisés à réaliser des vérifications de sécurité à l’exécution sur des apps iOS avec Objection et Frida. Utilisez-la pour examiner l’exposition du trousseau, le stockage sur le système de fichiers, les cookies, le SSL pinning, la détection de jailbreak et d’autres défenses côté client dans le cadre d’un audit de sécurité. Elle inclut des indications de workflow, des étapes d’installation et des conseils d’utilisation concrets.

Security Audit

Favoris 0GitHub 0

analyzing-heap-spray-exploitation

par mukul975

analyzing-heap-spray-exploitation aide à analyser l’exploitation par heap spray dans des dumps mémoire avec Volatility3. Il identifie les motifs de NOP sled, les allocations volumineuses suspectes, les zones d’atterrissage du shellcode et les indices VAD du processus pour les audits de sécurité, le triage de malware et la validation d’exploits.

Security Audit

Favoris 0GitHub 0

detecting-supply-chain-attacks-in-ci-cd

par mukul975

Skill de détection d'attaques de la chaîne d'approvisionnement en CI/CD pour auditer les configurations GitHub Actions et CI/CD. Il aide à repérer les actions non verrouillées, les injections de scripts, la confusion de dépendances, l’exposition de secrets et les autorisations risquées dans les workflows d’audit de sécurité. Utilisez-le pour examiner un dépôt, un fichier de workflow ou un changement de pipeline suspect avec des constats clairs et des correctifs concrets.

Security Audit

Favoris 0GitHub 0

detecting-api-enumeration-attacks

par mukul975

detecting-api-enumeration-attacks aide les équipes de Security Audit à détecter le probing d’API, les attaques BOLA et les IDOR en analysant les IDs séquentiels, les rafales de 404, les échecs d’autorisation et les chemins de découverte de la documentation. Conçu pour guider une détection pilotée par les logs, rédiger des règles et passer en revue concrètement les schémas d’abus d’API.

Security Audit

Favoris 0GitHub 0