extracting-config-from-agent-tesla-rat

par mukul975

Compétence « extracting-config-from-agent-tesla-rat » pour l’analyse de malware : extraire la configuration .NET d’Agent Tesla, les identifiants SMTP/FTP/Telegram, les réglages du keylogger et les points de terminaison C2 avec un workflow reproductible.

Étoiles0

Favoris0

Commentaires0

Ajouté11 mai 2026

CatégorieMalware Analysis

Commande d’installation

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill extracting-config-from-agent-tesla-rat

Score éditorial

Cette compétence obtient 78/100 : c’est une fiche solide, mais pas tout à fait de premier rang. Elle devrait être suffisamment déclenchable et orientée workflow pour l’extraction de configuration d’Agent Tesla, mais il faut s’attendre à un peu de jugement manuel et à des informations d’onboarding incomplètes. Le dépôt propose un vrai workflow d’analyse malware, des références utiles et un script d’aide ; cela vaut donc la peine de l’installer pour des usages cybersécurité.

78/100

Points forts

Déclenchement précis et bien cadré : extraction de la configuration Agent Tesla intégrée dans des échantillons .NET, y compris les données SMTP/FTP/Telegram/C2.
Contenu opérationnel conséquent : le corps de `SKILL.md` est long, avec des sections de workflow, et le dépôt ajoute des références ainsi qu’un script d’aide Python.
Bon signal pour la décision d’installation : le frontmatter est valide, la licence est présente, et la documentation relie clairement la compétence à des tâches et résultats d’analyse concrets.

Points de vigilance

Aucune commande d’installation dans `SKILL.md`, donc les utilisateurs devront peut-être déduire eux-mêmes les étapes de configuration et d’appel.
Une partie du contenu du dépôt reste assez large ou illustrative plutôt qu’un guide complet de bout en bout ; les analystes avancés devront peut-être encore adapter le workflow manuellement.

Agent Tesla Rat Dotnet Keylogger Credential Theft

Vue d’ensemble

Vue d’ensemble du skill extracting-config-from-agent-tesla-rat

Ce que fait ce skill

Le skill extracting-config-from-agent-tesla-rat vous aide à extraire la configuration intégrée d’échantillons Agent Tesla, notamment les paramètres SMTP, FTP, Telegram et d’autres réglages d’exfiltration. Il s’adresse aux analystes qui ont besoin des paramètres réels du payload, pas d’une fiche malware générique.

À qui il s’adresse

Utilisez le skill extracting-config-from-agent-tesla-rat si vous faites de l’analyse malware, de la réponse à incident, de la chasse aux menaces ou du reverse engineering autorisé, et que vous avez besoin d’un accès rapide aux indicateurs et à l’infrastructure dissimulés dans un échantillon .NET. Il est particulièrement utile lorsque vous disposez déjà d’un binaire suspect et que vous voulez récupérer les détails de configuration plus vite qu’avec une décompilation manuelle seule.

Pourquoi il est utile

Sa principale valeur réside dans le guidage de workflow pour décompiler des malwares .NET, repérer des chaînes chiffrées et valider les indicateurs extraits. Par rapport à une simple demande générique, ce skill est plus pertinent lorsque vous avez besoin d’un chemin reproductible, de l’échantillon jusqu’à l’extraction des IOC et à des notes prêtes pour le rapport.

Comment utiliser le skill extracting-config-from-agent-tesla-rat

Installer et charger le skill

Utilisez le flux d’installation du skill dans le dépôt pour l’étape extracting-config-from-agent-tesla-rat install, puis ouvrez les fichiers du skill avant d’analyser un échantillon. Une commande d’installation typique est :

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill extracting-config-from-agent-tesla-rat

Commencer par les bons fichiers

Pour ce guide extracting-config-from-agent-tesla-rat, lisez d’abord SKILL.md, puis consultez references/api-reference.md, references/workflows.md et references/standards.md. Si vous voulez un indice d’implémentation rapide, examinez scripts/agent.py pour voir la logique de chaînes et d’indicateurs attendue par le skill.

Donner au skill une requête exploitable

L’usage du skill extracting-config-from-agent-tesla-rat fonctionne mieux si vous précisez le type d’échantillon, l’objectif et le format de sortie. De bons exemples ressemblent à : « Analyse cet échantillon .NET pour en extraire la configuration Agent Tesla, récupère les indicateurs SMTP/Telegram, note les étapes de déobfuscation et retourne des tableaux d’IOC avec les réserves de l’analyste. » Des requêtes trop vagues comme « analyse ce malware » laissent trop de place à l’interprétation.

Adapter le workflow à l’échantillon

Ce skill convient surtout lorsque vous pouvez combiner inspection statique, décompilation et extraction de chaînes. Si l’échantillon est packé, fortement personnalisé ou n’est pas basé sur .NET, indiquez-le dès le départ afin que le workflow s’ajuste au lieu de supposer une structure Agent Tesla standard.

FAQ du skill extracting-config-from-agent-tesla-rat

Est-ce réservé à Agent Tesla ?

Oui, le skill extracting-config-from-agent-tesla-rat est centré sur l’extraction de configuration d’Agent Tesla RAT. Il peut aussi aider sur des variantes proches de stealer .NET, mais les meilleurs résultats apparaissent lorsque l’échantillon appartient à la famille Agent Tesla ou à un dérivé très proche.

Faut-il des compétences avancées en reverse engineering ?

Non, mais il faut connaître les bases de l’hygiène de manipulation malware et savoir reconnaître les assemblies .NET, l’obfuscation de chaînes et les schémas d’IOC courants. Pour les débutants, ce skill est utile parce qu’il réduit le chemin entre l’échantillon et des résultats exploitables dans un rapport.

En quoi est-ce différent d’un prompt normal ?

Un prompt classique peut décrire Agent Tesla en termes généraux. Le skill extracting-config-from-agent-tesla-rat est plus utile quand vous voulez un workflow d’extraction concret, avec quoi inspecter en premier, quels indicateurs capturer et comment éviter de passer à côté de champs de configuration cachés.

Quand ne faut-il pas l’utiliser ?

Ne l’utilisez pas comme substitut à une validation forensique complète, à une politique de sandboxing ou à une autorisation légale. Il est aussi mal adapté si votre tâche principale consiste à émuler le comportement, à faire une analyse de déclenchement complète ou à dépaqueter un malware qui n’est pas basé sur .NET.

Comment améliorer le skill extracting-config-from-agent-tesla-rat

Fournir un contexte propre à l’échantillon

Le gain de qualité le plus important vient du fait de donner au skill extracting-config-from-agent-tesla-rat le hash de l’échantillon, la famille suspectée, le type de fichier et toute chaîne ou import déjà observé. Si vous avez déjà vu des artefacts smtp, telegram ou WebMonitor, incluez-les pour orienter l’analyse vers les emplacements de configuration les plus probables.

Demander exactement la sortie dont vous avez besoin

Précisez si vous voulez une extraction d’IOC, un pas-à-pas de déobfuscation, un résumé analyste ou un modèle de rapport rempli. Le dépôt inclut une structure de rapport d’analyse, donc vous pouvez améliorer les résultats en demandant en une seule passe des champs comme SHA-256, les constatations, les IOC extraits et les recommandations.

Surveiller les modes d’échec fréquents

L’erreur la plus courante consiste à supposer que tous les échantillons stockent leur configuration de la même manière. Avec extracting-config-from-agent-tesla-rat, les meilleurs résultats viennent du fait d’indiquer si les chaînes sont en clair, si elles suivent un schéma XOR/base64-like, ou si elles sont masquées derrière la réflexion .NET et le chargement de ressources. Cela réduit le faux sentiment de confiance et évite les tableaux d’IOC vides.

Itérer après un premier passage

Si la première réponse est incomplète, relancez avec des requêtes ciblées comme « rescane les patterns de bot token Telegram », « sépare la configuration codée en dur des valeurs résolues à l’exécution » ou « associe chaque IOC à ses numéros de ligne dans les preuves ». En pratique, cela améliore généralement la sortie du skill extracting-config-from-agent-tesla-rat plus qu’une nouvelle analyse trop large.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

conducting-malware-incident-response

par mukul975

conducting-malware-incident-response aide les équipes de réponse aux incidents à trier les malwares suspectés, confirmer les infections, évaluer l’étendue de la propagation, contenir les endpoints et soutenir l’éradication puis la reprise. Le skill est conçu pour conducting-malware-incident-response dans des workflows de réponse aux incidents, avec des étapes étayées par les preuves, des décisions guidées par la télémétrie et des recommandations concrètes de confinement.

Incident Response

Favoris 0GitHub 0

analyzing-bootkit-and-rootkit-samples

par mukul975

analyzing-bootkit-and-rootkit-samples est une skill d’analyse de malware pour les investigations MBR, VBR, UEFI et rootkit. Utilisez-la pour examiner les secteurs de démarrage, les modules de firmware et les indicateurs anti-rootkit lorsque la compromission persiste sous la couche du système d’exploitation. Elle convient aux analystes qui ont besoin d’un guide pratique, d’un workflow clair et d’un triage fondé sur des preuves pour l’analyse de malware.

Malware Analysis

Favoris 0GitHub 6.2k

detecting-ransomware-encryption-behavior

par mukul975

detecting-ransomware-encryption-behavior aide les défenseurs à repérer un chiffrement de type ransomware grâce à l’analyse de l’entropie, à la surveillance des E/S fichiers et à des heuristiques comportementales. Ce skill convient à la réponse à incident, au réglage d’un SOC et à la validation red team lorsque vous devez détecter rapidement des changements massifs de fichiers, des rafales de renommage et une activité suspecte de processus.

Incident Response

Favoris 0GitHub 0

deobfuscating-javascript-malware

par mukul975

deobfuscating-javascript-malware aide les analystes à transformer du JavaScript malveillant fortement obfusqué en code lisible pour l’analyse de malwares, les pages de phishing, les web skimmers, les droppers et les charges utiles livrées via le navigateur. Utilisez ce skill de déobfuscation de malware JavaScript pour une déobfuscation structurée, le suivi des décodages et une revue contrôlée lorsque le simple minification n’est pas le problème.

Malware Analysis

Favoris 0GitHub 0

analyzing-powershell-empire-artifacts

par mukul975

La compétence analyzing-powershell-empire-artifacts aide les équipes de Security Audit à détecter les artefacts PowerShell Empire dans les journaux Windows grâce au Script Block Logging, aux schémas de lanceur Base64, aux IOC des stagers, aux signatures de modules et aux références de détection, pour le triage et la rédaction de règles.

Security Audit

Favoris 0GitHub 0

detecting-process-injection-techniques

par mukul975

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

Security Audit

Favoris 0GitHub 0

analyzing-macro-malware-in-office-documents

par mukul975

analyzing-macro-malware-in-office-documents aide les analystes malware à examiner du VBA malveillant dans des fichiers Word, Excel et PowerPoint, à décoder l’obfuscation et à extraire des IOC, les chemins d’exécution et la logique de préparation des charges utiles pour le triage de phishing, la réponse à incident et l’analyse de documents malveillants.

Malware Analysis

Favoris 0GitHub 0

analyzing-golang-malware-with-ghidra

par mukul975

analyzing-golang-malware-with-ghidra aide les analystes à rétroconcevoir des malwares compilés en Go dans Ghidra, avec des workflows pour la récupération des fonctions, l’extraction des chaînes, les métadonnées de build et la cartographie des dépendances. Le skill analyzing-golang-malware-with-ghidra est utile pour le triage de malware, la réponse à incident et les tâches de Security Audit qui exigent des étapes d’analyse pratiques, spécifiques à Go.

Security Audit

Favoris 0GitHub 0

analyzing-supply-chain-malware-artifacts

par mukul975

analyzing-supply-chain-malware-artifacts est un skill d’analyse malware pour remonter la piste de mises à jour trojanisées, de dépendances empoisonnées et d’altérations de pipeline de build. Utilisez-le pour comparer des artefacts fiables et suspects, extraire des indicateurs de compromission, évaluer l’étendue de l’incident et rédiger des conclusions avec moins d’incertitude.

Malware Analysis

Favoris 0GitHub 6.1k

analyzing-linux-kernel-rootkits

par mukul975

analyzing-linux-kernel-rootkits aide les workflows DFIR et de threat hunting à détecter les rootkits du noyau Linux grâce à des vérifications croisée avec Volatility3, des analyses rkhunter et une comparaison /proc vs /sys pour repérer les modules cachés, les syscalls détournés et les structures du noyau altérées. C’est un guide pratique analyzing-linux-kernel-rootkits pour le triage forensique.

Digital Forensics

Favoris 0GitHub 0

detecting-mimikatz-execution-patterns

par mukul975

detecting-mimikatz-execution-patterns aide les analystes à détecter l’exécution de Mimikatz à l’aide de patterns de ligne de commande, de signaux d’accès à LSASS, d’indicateurs binaires et d’artefacts mémoire. Utilisez cette installation du skill detecting-mimikatz-execution-patterns pour les audits de sécurité, la chasse et la réponse à incident, avec des modèles, des références et des indications de workflow.

Security Audit

Favoris 0GitHub 0

detecting-rootkit-activity

par mukul975

detecting-rootkit-activity est un skill d’analyse de malware conçu pour repérer des indices de rootkit, comme des processus masqués, des appels système détournés, des structures noyau modifiées, des modules cachés et des artefacts réseau dissimulés. Il s’appuie sur la comparaison croisée des vues et sur des contrôles d’intégrité pour aider à valider des hôtes suspects lorsque les outils standards ne concordent pas.

Malware Analysis

Favoris 0GitHub 6.2k

detecting-mobile-malware-behavior

par mukul975

La skill detecting-mobile-malware-behavior analyse les applications Android et iOS suspectes pour repérer les abus de permissions, l’activité à l’exécution, les indicateurs réseau et les schémas de type malware. Utilisez-la pour le triage, la réponse à incident et la détection du comportement des malwares mobiles dans des workflows d’audit de sécurité, avec une analyse mobile étayée par des preuves.

Security Audit

Favoris 0GitHub 6.1k

analyzing-ransomware-payment-wallets

par mukul975

analyzing-ransomware-payment-wallets est une compétence de blockchain forensics en lecture seule pour retracer les portefeuilles de paiement ransomware, suivre les mouvements de fonds et regrouper les adresses associées pour les audits de sécurité et la réponse aux incidents. Utilisez-la si vous disposez d’une adresse BTC, d’un hash de transaction ou d’un portefeuille suspect et que vous avez besoin d’un appui à l’attribution fondé sur des preuves.

Security Audit

Favoris 0GitHub 6.1k

analyzing-ransomware-encryption-mechanisms

par mukul975

Compétence d’analyse de malware dédiée à l’examen des mécanismes de chiffrement des ransomwares : identification du chiffrement, gestion des clés et faisabilité du déchiffrement. Utilisez-la pour inspecter AES, RSA, ChaCha20, les schémas hybrides et les failles d’implémentation susceptibles de permettre une récupération.

Malware Analysis

Favoris 0GitHub 6.1k

extracting-iocs-from-malware-samples

par mukul975

Guide du skill extracting-iocs-from-malware-samples pour l’analyse de malwares : extraire les hashes, IP, domaines, URLs, artefacts hôte et indices de validation à partir d’échantillons pour la threat intelligence et la détection.

Malware Analysis

Favoris 0GitHub 0