Incident Response

exploiting-kerberoasting-with-impacket는 권한이 있는 테스터가 Impacket의 GetUserSPNs.py를 사용해 Kerberoasting을 계획할 수 있도록 돕습니다. SPN 열거부터 TGS 티켓 추출, 오프라인 크래킹, 탐지 고려 보고까지 한 흐름으로 안내합니다. 이 exploiting-kerberoasting-with-impacket 가이드는 명확한 설치 및 사용 맥락이 필요한 침투 테스트 워크플로에 적합합니다.

detecting-service-account-abuse는 Windows, AD, SIEM, EDR 텔레메트리 전반에서 서비스 계정 오남용을 찾기 위한 위협 헌팅 skill입니다. 의심스러운 대화형 로그온, 권한 상승, 측면 이동, 접근 이상 징후에 초점을 맞추며, 반복 가능한 조사를 돕는 헌트 템플릿, 이벤트 ID, 워크플로 참조를 제공합니다.

detecting-s3-data-exfiltration-attempts는 CloudTrail의 S3 데이터 이벤트, GuardDuty 탐지 결과, Amazon Macie 경보, S3 접근 패턴을 상호 연관해 AWS S3 데이터 탈취 가능성을 조사하는 데 도움을 줍니다. 보안 감사, 사고 대응, 의심스러운 대량 다운로드 분석에 이 detecting-s3-data-exfiltration-attempts 스킬을 사용하세요.

detecting-rdp-brute-force-attacks는 Windows Security Event Logs에서 RDP 무차별 대입 패턴을 분석하는 데 도움이 됩니다. 반복되는 4625 실패, 실패 후 4624 성공, NLA 관련 로그인, 소스 IP 집중 현상 등을 확인할 수 있습니다. 보안 감사, 위협 헌팅, 반복 가능한 EVTX 기반 조사에 적합합니다.

detecting-rootkit-activity는 숨겨진 프로세스, 후킹된 시스템 호출, 변경된 커널 구조, 숨겨진 모듈, 은밀한 네트워크 흔적 같은 루트킷 징후를 찾아내는 Malware Analysis 스킬입니다. 크로스 뷰 비교와 무결성 검사를 사용해, 일반 도구의 결과가 서로 다를 때 의심 호스트를 검증하는 데 도움을 줍니다.

analyzing-usb-device-connection-history는 레지스트리 하이브, 이벤트 로그, `setupapi.dev.log`를 활용해 Windows의 USB 장치 연결 기록을 조사하는 데 도움이 됩니다. 디지털 포렌식, 내부자 위협 대응, 사고 대응에 적합하며, 타임라인 재구성, 장치 상관분석, 이동식 미디어 증거 분석을 지원합니다.

analyzing-browser-forensics-with-hindsight는 Hindsight를 사용해 Digital Forensics 팀이 Chromium 브라우저 아티팩트를 분석하도록 돕습니다. 기록, 다운로드, 쿠키, 자동 완성, 북마크, 저장된 자격 증명 메타데이터, 캐시, 확장 프로그램까지 함께 살펴볼 수 있습니다. 웹 활동을 복원하고, 타임라인을 검토하고, Chrome, Edge, Brave, Opera 프로필을 조사할 때 유용합니다.

analyzing-bootkit-and-rootkit-samples는 MBR, VBR, UEFI, rootkit 분석을 위한 악성코드 분석 스킬입니다. OS 아래 단계에서 침해가 계속되는 상황에서 부트 섹터, 펌웨어 모듈, anti-rootkit 지표를 점검할 때 유용합니다. 실무형 가이드, 명확한 워크플로, Malware Analysis를 위한 근거 기반 트리아지가 필요한 분석가에게 적합합니다.

detecting-network-anomalies-with-zeek skill은 Zeek를 활용해 수동 네트워크 모니터링을 배포하고, 구조화된 로그를 검토하며, 비콘 통신, DNS 터널링, 비정상적인 프로토콜 활동을 위한 맞춤 탐지를 구축하는 데 도움을 줍니다. 위협 헌팅, 사고 대응, SIEM 연동용 네트워크 메타데이터, Security Audit 워크플로에 적합하며, 인라인 차단용은 아닙니다.

detecting-modbus-command-injection-attacks는 보안 분석가가 ICS 및 SCADA 환경에서 의심스러운 Modbus TCP/RTU 쓰기 동작, 비정상 기능 코드, 잘못된 형식의 프레임, 기준선 대비 이상 징후를 찾아내는 데 도움을 줍니다. 사고 초기 분류, OT 모니터링, Security Audit처럼 Modbus를 이해한 탐지 가이드가 필요할 때 쓰기 좋으며, 일반적인 이상 탐지 프롬프트 대신 프로토콜 인식형 탐지 지원이 필요할 때 적합합니다.

detecting-business-email-compromise skill은 분석가, SOC 팀, 인시던트 대응자가 이메일 헤더 점검, 사회공학 징후, 탐지 로직, 대응 중심 워크플로를 활용해 BEC 시도를 식별하도록 돕습니다. 분류, 검증, 차단을 위한 실용적인 detecting-business-email-compromise 가이드로 활용하세요.

detecting-azure-lateral-movement는 Microsoft Graph 감사 로그, 로그인 텔레메트리, KQL 상관분석을 사용해 Azure AD/Entra ID와 Microsoft Sentinel에서 측면 이동을 추적하는 보안 분석가를 돕습니다. 동의 남용, 서비스 프린시플 오용, 토큰 탈취, 테넌트 간 피벗을 포함한 사고 초기 대응, 탐지 엔지니어링, 보안 감사 작업에 활용하기 좋습니다.

Wazuh, OSSEC, AIDE를 활용해 HIDS를 구축하고 파일 무결성, 시스템 변경 사항, 규정 준수 중심의 엔드포인트 보안을 모니터링하기 위한 configuring-host-based-intrusion-detection 가이드입니다. Security Audit 워크플로에 맞춰 설계되었습니다.

hunting-advanced-persistent-threats는 엔드포인트, 네트워크, 메모리 텔레메트리 전반에서 APT 유형의 활동을 탐지하기 위한 위협 헌팅 기술입니다. 분석가가 가설 기반 헌트를 설계하고, 결과를 MITRE ATT&CK에 매핑하며, 위협 인텔을 즉흥적인 검색이 아닌 실무형 쿼리와 조사 단계로 전환하도록 돕습니다.

extracting-windows-event-logs-artifacts는 디지털 포렌식, 사고 대응, 위협 헌팅을 위해 Windows Event Logs(EVTX)를 추출, 파싱, 분석하는 데 도움을 줍니다. Chainsaw, Hayabusa, EvtxECmd를 사용해 로그온, 프로세스 생성, 서비스 설치, 예약 작업, 권한 변경, 로그 삭제를 체계적으로 검토할 수 있습니다.

Rekall로 Windows 메모리 이미지를 분석하는 extracting-memory-artifacts-with-rekall 가이드입니다. 설치와 사용 패턴을 익혀 숨겨진 프로세스, 인젝션된 코드, 의심스러운 VAD, 로드된 DLL, 네트워크 활동을 찾아 디지털 포렌식에 활용할 수 있습니다.

extracting-credentials-from-memory-dump 스킬은 Volatility 3와 pypykatz 워크플로를 사용해 Windows 메모리 덤프에서 NTLM 해시, LSA 비밀값, Kerberos 자료, 토큰을 분석하는 데 도움을 줍니다. 유효한 덤프를 바탕으로 방어 가능한 증거, 계정 영향 범위, 복구 및 완화 가이드를 확보해야 하는 디지털 포렌식과 사고 대응 상황에 적합합니다.

extracting-browser-history-artifacts는 Chrome, Firefox, Edge에서 브라우저 기록, 쿠키, 캐시, 다운로드, 북마크를 추출하는 디지털 포렌식 스킬입니다. 브라우저 프로필 파일을 타임라인 분석에 바로 쓸 수 있는 증거로 바꾸고, 반복 가능한 사건 중심 워크플로 안내를 제공할 때 유용합니다.

executing-red-team-exercise는 현실적인 레드팀 훈련을 기획하고 추적하는 데 쓰는 사이버보안 스킬입니다. 정찰, 기법 선정, 실행, 탐지 공백 검토까지 공격자 모사를 지원해 보안 감사 작업과 ATT&CK 정렬 평가에 유용합니다.

eradicating-malware-from-infected-systems는 격리 이후 감염 시스템에서 악성코드, 백도어, 지속성 메커니즘을 제거하는 사이버 보안 사고 대응 스킬입니다. Windows와 Linux 정리용 워크플로 안내, 참고 파일, 스크립트는 물론 자격 증명 교체, 근본 원인 수정, 검증 절차까지 포함합니다.

detecting-wmi-persistence 스킬은 위협 헌터와 DFIR 분석가가 Sysmon Event ID 19, 20, 21을 활용해 Windows 텔레메트리에서 WMI 이벤트 구독 지속성을 탐지하도록 돕습니다. 악성 EventFilter, EventConsumer, FilterToConsumerBinding 활동을 식별하고, 결과를 검증하며, 공격자의 지속성 기법과 정상 관리 자동화를 구분하는 데 사용할 수 있습니다.

GitHub Actions와 CI/CD 설정을 감사하는 detecting-supply-chain-attacks-in-ci-cd 스킬입니다. 고정되지 않은 actions, 스크립트 주입, dependency confusion, 비밀 정보 노출, 위험한 권한 설정을 찾아 Security Audit 워크플로우에 활용할 수 있습니다. 저장소, 워크플로 파일, 의심스러운 파이프라인 변경을 검토할 때 명확한 발견 사항과 수정 권고를 제공합니다.

detecting-stuxnet-style-attacks 스킬은 PLC 로직 변조, 위장된 센서 데이터, 엔지니어링 워크스테이션 침해, IT-OT 측면 이동을 포함한 Stuxnet 유사 OT 및 ICS 침입 패턴을 탐지하는 데 도움을 줍니다. 프로토콜, 호스트, 프로세스 증거를 함께 활용하는 위협 헌팅, 사고 초기 분류, 공정 무결성 모니터링에 적합합니다.

detecting-ransomware-encryption-behavior는 엔트로피 분석, 파일 I/O 모니터링, 행위 기반 휴리스틱을 활용해 랜섬웨어형 암호화를 포착하도록 돕습니다. 대량 파일 변경, 연속적인 이름 바꾸기, 수상한 프로세스 활동을 빠르게 감지해야 하는 사고 대응, SOC 튜닝, 레드팀 검증에 적합합니다.