Malware Analysis

detecting-rootkit-activity は、Malware Analysis 向けのスキルで、隠しプロセス、フックされたシステムコール、改変されたカーネル構造、隠しモジュール、密かに残されたネットワーク痕跡など、rootkit の兆候を見つけるために使います。クロスビュー比較と整合性チェックにより、標準ツールの結果が食い違う suspicious host の検証を支援します。

analyzing-bootkit-and-rootkit-samples は、MBR、VBR、UEFI、rootkit の調査に使えるマルウェア分析スキルです。OS 層より下で侵害が残り続けるケースで、ブートセクタ、ファームウェアモジュール、anti-rootkit の兆候を確認するのに役立ちます。実務的な手順、わかりやすいワークフロー、そして根拠に基づくトリアージを求める Malware Analysis 担当者に適しています。

detecting-mobile-malware-behavior スキルは、権限の乱用、実行時の挙動、ネットワーク指標、マルウェア的なパターンを手がかりに、Android と iOS の不審なアプリを分析します。トリアージ、インシデント対応、Security Audit ワークフローでの detecting-mobile-malware-behavior に活用でき、証拠に基づくモバイル分析に役立ちます。

analyzing-supply-chain-malware-artifacts は、改ざんされたアップデート、汚染された依存関係、ビルドパイプラインの改ざんを追跡するためのマルウェア分析スキルです。信頼済みアーティファクトと不審なアーティファクトを比較し、インジケーターを抽出し、侵害範囲を評価し、推測を減らしながら調査結果を報告するのに役立ちます。

analyzing-ransomware-payment-wallets は、ランサムウェアの支払い先ウォレットを追跡し、資金の流れをたどり、関連アドレスをクラスター化して Security Audit やインシデント対応に役立てるための、読み取り専用のブロックチェーン・フォレンジック skill です。BTC アドレス、tx hash、または疑わしいウォレットがあり、根拠に基づく attribution 支援が必要なときに使います。

マルウェア解析向けの analyzing-ransomware-encryption-mechanisms スキルです。ランサムウェアの暗号化方式、鍵の扱い、復号の実現可能性の見極めに重点を置いています。AES、RSA、ChaCha20、ハイブリッド方式、そして復旧につながる可能性のある実装上の欠陥を調べるために使えます。

analyzing-ransomware-leak-site-intelligence は、ransomware のデータリークサイトを監視し、被害者や攻撃グループのシグナルを抽出して、インシデント対応、業界リスクの見直し、攻撃者追跡に使える構造化された脅威インテリジェンスを作成します。

マルウェア分析向けの extracting-iocs-from-malware-samples スキルガイドです。サンプルからハッシュ、IP、ドメイン、URL、ホスト上の痕跡、検証の手がかりを抽出し、脅威インテリジェンスや検知に活用できます。

Malware Analysis向けのextracting-config-from-agent-tesla-ratスキル。Agent Teslaの.NET config、SMTP/FTP/Telegram認証情報、keylogger設定、C2エンドポイントを、再現しやすいワークフローで抽出できます。

eradicating-malware-from-infected-systems は、封じ込め後にマルウェア、バックドア、永続化機構を除去するためのサイバーセキュリティ・インシデント対応スキルです。Windows と Linux のクリーンアップ、認証情報のローテーション、原因根本への対処、検証を進めるためのワークフロー指針、参考ファイル、スクリプトが含まれています。

detecting-stuxnet-style-attacksは、Stuxnet型のOT/ICS侵入パターンの検知を支援するスキルです。PLCロジックの改ざん、偽装されたセンサーデータ、エンジニアリングワークステーションの侵害、ITからOTへのラテラルムーブメントなどを検出できます。プロトコル、ホスト、プロセスの証拠を使った脅威ハンティング、インシデントのトリアージ、プロセス整合性の監視に活用してください。

detecting-ransomware-encryption-behavior は、エントロピー分析、ファイル I/O 監視、行動ベースのヒューリスティックを使って、ランサムウェア型の暗号化を見つけるためのスキルです。大量のファイル変更、連続リネーム、不審なプロセス活動を素早く検知したいときに向いており、インシデント対応、SOC のチューニング、レッドチーム検証で役立ちます。

detecting-process-injection-techniques は、疑わしいインメモリ活動の分析、EDRアラートの検証、プロセスホローイング、APCインジェクション、スレッドハイジャック、リフレクティブローディング、従来型のDLLインジェクションの特定を支援し、Security Audit やマルウェアトリアージに役立ちます。

analyzing-packed-malware-with-upx-unpacker は、UPXでパックされたサンプルの特定、改変された UPX ヘッダーの処理、元の実行ファイルの復元を行い、Ghidra や IDA で静的解析するための malware-analysis skill です。`upx -d` が失敗する場合や、UPX のパッカー判定とアンパック作業をより手早く進めたい場合に使えます。

analyzing-memory-dumps-with-volatility は、Windows、Linux、macOS の RAM ダンプを対象に、Volatility 3 でメモリフォレンジック、マルウェアの初動確認、隠しプロセス、インジェクション、ネットワーク活動、資格情報の確認を行うためのスキルです。インシデント対応やマルウェア分析に使える、再現性のある analyzing-memory-dumps-with-volatility ガイドが必要なときに適しています。

analyzing-malicious-pdf-with-peepdf は、疑わしいPDFを対象にした静的マルウェア解析スキルです。peepdf、pdfid、pdf-parser を使ってフィッシング添付ファイルをトリアージし、オブジェクトを確認し、埋め込み JavaScript や shellcode を抽出し、実行せずに不審なストリームを安全に調査できます。

analyzing-macro-malware-in-office-documents は、Word、Excel、PowerPoint ファイル内の悪意ある VBA を解析し、難読化を解読し、IOC、実行パス、ペイロードのステージングロジックを抽出するのに役立ちます。フィッシングのトリアージ、インシデント対応、ドキュメント型マルウェアの分析に適しています。

analyzing-linux-kernel-rootkits は、Volatility3 のクロスビュー検査、rkhunter スキャン、/proc と /sys の比較分析を使って、Linux カーネルのルートキットを検出する DFIR・脅威ハンティング向けのワークフローを支援します。隠しモジュール、syscall フック、改ざんされたカーネル構造を見つけるための、実践的な analyzing-linux-kernel-rootkits ガイドとして、フォレンジックのトリアージに役立ちます。

analyzing-golang-malware-with-ghidra は、Ghidra を使って Go でコンパイルされたマルウェアをリバースエンジニアリングする際の支援 skill です。関数の復元、文字列抽出、ビルドメタデータの確認、依存関係のマッピングまで、Go 特有の手順を実務向けに整理しています。マルウェアの一次判定、インシデント対応、Security Audit など、実践的な Go 解析手順が必要な場面で役立ちます。

analyzing-linux-elf-malware は、Linux ELFバイナリの不審ファイルをマルウェア解析するためのスキルです。アーキテクチャ確認、strings、imports、静的トリアージ、さらにボットネット、マイナー、ルートキット、ランサムウェア、コンテナ脅威の初期兆候の見極め方を案内します。

detecting-mimikatz-execution-patterns は、コマンドラインのパターン、LSASS へのアクセス संकेत、バイナリ指標、メモリ上の痕跡を使って Mimikatz の実行を検知するのに役立ちます。Security Audit、ハンティング、インシデント対応で使うなら、この detecting-mimikatz-execution-patterns スキルをテンプレート、参考情報、ワークフローガイダンス付きで導入できます。

detecting-fileless-malware-techniques skill は、PowerShell、WMI、.NET リフレクション、レジストリ常駐ペイロード、LOLBins を使ってメモリ上で動作するファイルレスマルウェアを調査する Malware Analysis ワークフローを支援します。疑わしいアラートを、証拠に基づくトリアージ、検知アイデア、次のハンティングへとつなげるために使えます。

detecting-dll-sideloading-attacks は、Security Audit、脅威ハンティング、インシデント対応チームが Sysmon、EDR、MDE、Splunk を使って DLL サイドローディングを検知するのに役立ちます。この detecting-dll-sideloading-attacks ガイドには、ワークフローノート、ハント用テンプレート、標準マッピング、そして疑わしい DLL 読み込みを再現可能な検知へつなげるためのスクリプトが含まれています。

deobfuscating-javascript-malware は、強く難読化された悪意ある JavaScript を、マルウェア解析、フィッシングページ、Web スキマー、ドロッパー、ブラウザ配信型ペイロード向けに読みやすいコードへ戻すのに役立ちます。単なる minify の問題ではないケースで、体系的な難読化解除、デコード追跡、制御されたレビューを行うためにこの deobfuscating-javascript-malware スキルを使ってください。