Malware

analyzing-bootkit-and-rootkit-samples est une skill d’analyse de malware pour les investigations MBR, VBR, UEFI et rootkit. Utilisez-la pour examiner les secteurs de démarrage, les modules de firmware et les indicateurs anti-rootkit lorsque la compromission persiste sous la couche du système d’exploitation. Elle convient aux analystes qui ont besoin d’un guide pratique, d’un workflow clair et d’un triage fondé sur des preuves pour l’analyse de malware.

analyzing-supply-chain-malware-artifacts est un skill d’analyse malware pour remonter la piste de mises à jour trojanisées, de dépendances empoisonnées et d’altérations de pipeline de build. Utilisez-le pour comparer des artefacts fiables et suspects, extraire des indicateurs de compromission, évaluer l’étendue de l’incident et rédiger des conclusions avec moins d’incertitude.

analyzing-ransomware-payment-wallets est une compétence de blockchain forensics en lecture seule pour retracer les portefeuilles de paiement ransomware, suivre les mouvements de fonds et regrouper les adresses associées pour les audits de sécurité et la réponse aux incidents. Utilisez-la si vous disposez d’une adresse BTC, d’un hash de transaction ou d’un portefeuille suspect et que vous avez besoin d’un appui à l’attribution fondé sur des preuves.

Compétence d’analyse de malware dédiée à l’examen des mécanismes de chiffrement des ransomwares : identification du chiffrement, gestion des clés et faisabilité du déchiffrement. Utilisez-la pour inspecter AES, RSA, ChaCha20, les schémas hybrides et les failles d’implémentation susceptibles de permettre une récupération.

analyzing-ransomware-leak-site-intelligence aide à surveiller les sites de fuite de données liés aux ransomwares, à extraire des signaux sur les victimes et les groupes, et à produire une threat intelligence structurée pour la réponse à incident, l’évaluation du risque sectoriel et le suivi des adversaires.

Guide du skill extracting-iocs-from-malware-samples pour l’analyse de malwares : extraire les hashes, IP, domaines, URLs, artefacts hôte et indices de validation à partir d’échantillons pour la threat intelligence et la détection.

eradicating-malware-from-infected-systems est une compétence de réponse à incident en cybersécurité destinée à supprimer les malwares, les portes dérobées et les mécanismes de persistance après confinement. Elle fournit des indications de workflow, des fichiers de référence et des scripts pour le nettoyage sous Windows et Linux, la rotation des identifiants, la remédiation des causes racines et la validation.

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

analyzing-packed-malware-with-upx-unpacker est une skill d’analyse malware pour repérer les échantillons packés avec UPX, gérer les en-têtes UPX modifiés et récupérer l’exécutable d’origine pour une analyse statique dans Ghidra ou IDA. Utilisez-la lorsque `upx -d` échoue ou quand vous avez besoin d’un contrôle plus rapide du packer UPX et d’un flux de dépaquetage efficace.

analyzing-memory-dumps-with-volatility est une compétence Volatility 3 pour la criminalistique mémoire, le triage de malwares, l’analyse des processus cachés, des injections, de l’activité réseau et des identifiants dans des dumps RAM sous Windows, Linux ou macOS. Utilisez-la lorsque vous avez besoin d’un guide reproductible d’analyse de dumps mémoire avec Volatility pour la réponse à incident et l’analyse de malwares.

analyzing-macro-malware-in-office-documents aide les analystes malware à examiner du VBA malveillant dans des fichiers Word, Excel et PowerPoint, à décoder l’obfuscation et à extraire des IOC, les chemins d’exécution et la logique de préparation des charges utiles pour le triage de phishing, la réponse à incident et l’analyse de documents malveillants.

analyzing-golang-malware-with-ghidra aide les analystes à rétroconcevoir des malwares compilés en Go dans Ghidra, avec des workflows pour la récupération des fonctions, l’extraction des chaînes, les métadonnées de build et la cartographie des dépendances. Le skill analyzing-golang-malware-with-ghidra est utile pour le triage de malware, la réponse à incident et les tâches de Security Audit qui exigent des étapes d’analyse pratiques, spécifiques à Go.

analyzing-linux-elf-malware aide à analyser des binaires ELF Linux suspects dans le cadre d’une analyse de malware, avec des conseils pour vérifier l’architecture, extraire les chaînes, examiner les imports, faire un triage statique et repérer tôt des indices de botnets, de mineurs, de rootkits, de ransomwares et de menaces visant les conteneurs.

La skill de détection des techniques de malware fileless accompagne les workflows d’analyse de malwares pour enquêter sur les menaces sans fichier qui s’exécutent en mémoire via PowerShell, WMI, la réflexion .NET, des charges utiles résidant dans le registre et des LOLBins. Utilisez-la pour passer d’alertes suspectes à un triage étayé par des preuves, à des idées de détection et à des pistes de chasse à suivre.

deobfuscating-javascript-malware aide les analystes à transformer du JavaScript malveillant fortement obfusqué en code lisible pour l’analyse de malwares, les pages de phishing, les web skimmers, les droppers et les charges utiles livrées via le navigateur. Utilisez ce skill de déobfuscation de malware JavaScript pour une déobfuscation structurée, le suivi des décodages et une revue contrôlée lorsque le simple minification n’est pas le problème.

conducting-malware-incident-response aide les équipes de réponse aux incidents à trier les malwares suspectés, confirmer les infections, évaluer l’étendue de la propagation, contenir les endpoints et soutenir l’éradication puis la reprise. Le skill est conçu pour conducting-malware-incident-response dans des workflows de réponse aux incidents, avec des étapes étayées par les preuves, des décisions guidées par la télémétrie et des recommandations concrètes de confinement.

building-c2-infrastructure-with-sliver-framework aide les équipes de red team autorisées et les audits de sécurité à planifier, installer et utiliser une infrastructure C2 basée sur Sliver, avec redirectors, écouteurs HTTPS, accès opérateur et vérifications de résilience. Le contenu propose un guide pratique, des fichiers de workflow et des scripts du dépôt pour le déploiement et la validation.

analyzing-windows-registry-for-artifacts aide les analystes à extraire des preuves à partir des ruches du Registre Windows afin d’identifier l’activité utilisateur, les logiciels installés, les programmes de démarrage automatique, l’historique USB et les indices de compromission pour des workflows de réponse à incident ou d’audit de sécurité.

Analysez le paysage des menaces avec MISP grâce au skill analyzing-threat-landscape-with-misp. Il synthétise les statistiques d’événements, la répartition des IoC, les tendances des acteurs de menace et des malwares, ainsi que les évolutions dans le temps, afin d’alimenter des rapports de Threat Intelligence, des briefings SOC et les priorités de hunting.

analyzing-pdf-malware-with-pdfid est une compétence de triage des malwares PDF pour détecter le JavaScript embarqué, les marqueurs d’exploitation, les flux d’objets, les pièces jointes et les actions suspectes avant d’ouvrir un fichier. Elle prend en charge l’analyse statique pour l’investigation de PDF malveillants, la réponse à incident et les workflows de Security Audit liés à analyzing-pdf-malware-with-pdfid.

Le skill analyzing-network-traffic-of-malware aide à examiner des PCAP et la télémétrie issus d’exécutions en sandbox ou d’interventions de réponse à incident afin d’identifier le C2, l’exfiltration, les téléchargements de payload, le DNS tunneling et des pistes de détection. C’est un guide pratique d’analyse du trafic réseau de malware pour l’audit de sécurité et le triage malware.

analyzing-command-and-control-communication aide à analyser le trafic C2 de malware pour repérer le beaconing, décoder les commandes, cartographier l’infrastructure et soutenir les audits de sécurité, la chasse aux menaces et le triage de malware, avec des preuves basées sur des PCAP et des conseils de workflow concrets.