Ransomware

analyzing-ransomware-network-indicators は、Zeek の conn.log と NetFlow を分析して、C2 のビーコン通信、TOR 終端、持ち出し、疑わしい DNS を特定し、セキュリティ監査やインシデント対応に役立ちます。

analyzing-ransomware-payment-wallets は、ランサムウェアの支払い先ウォレットを追跡し、資金の流れをたどり、関連アドレスをクラスター化して Security Audit やインシデント対応に役立てるための、読み取り専用のブロックチェーン・フォレンジック skill です。BTC アドレス、tx hash、または疑わしいウォレットがあり、根拠に基づく attribution 支援が必要なときに使います。

マルウェア解析向けの analyzing-ransomware-encryption-mechanisms スキルです。ランサムウェアの暗号化方式、鍵の扱い、復号の実現可能性の見極めに重点を置いています。AES、RSA、ChaCha20、ハイブリッド方式、そして復旧につながる可能性のある実装上の欠陥を調べるために使えます。

analyzing-ransomware-leak-site-intelligence は、ransomware のデータリークサイトを監視し、被害者や攻撃グループのシグナルを抽出して、インシデント対応、業界リスクの見直し、攻撃者追跡に使える構造化された脅威インテリジェンスを作成します。

detecting-ransomware-encryption-behavior は、エントロピー分析、ファイル I/O 監視、行動ベースのヒューリスティックを使って、ランサムウェア型の暗号化を見つけるためのスキルです。大量のファイル変更、連続リネーム、不審なプロセス活動を素早く検知したいときに向いており、インシデント対応、SOC のチューニング、レッドチーム検証で役立ちます。

deploying-ransomware-canary-files は、重要なディレクトリにおとりファイルを配置し、読み取り・変更・リネーム・削除のイベントを監視して、ランサムウェアの早期警告につなげるセキュリティチーム向けスキルです。Security Audit のワークフロー、軽量な検知、Slack・email・syslog による通知に適しており、EDR やバックアップの代替ではありません。

SOCチーム向けの building-soc-playbook-for-ransomware スキル。ランサムウェア対応を体系的に進めるためのプレイブック作成に役立ちます。検知トリガー、封じ込め、駆除、復旧、監査対応までを網羅し、NIST SP 800-61 と MITRE ATT&CK に沿った運用を支援します。実用的なプレイブック作成、机上演習、Security Audit 対応に活用できます。