Malware Analysis

detecting-rootkit-activity는 숨겨진 프로세스, 후킹된 시스템 호출, 변경된 커널 구조, 숨겨진 모듈, 은밀한 네트워크 흔적 같은 루트킷 징후를 찾아내는 Malware Analysis 스킬입니다. 크로스 뷰 비교와 무결성 검사를 사용해, 일반 도구의 결과가 서로 다를 때 의심 호스트를 검증하는 데 도움을 줍니다.

analyzing-bootkit-and-rootkit-samples는 MBR, VBR, UEFI, rootkit 분석을 위한 악성코드 분석 스킬입니다. OS 아래 단계에서 침해가 계속되는 상황에서 부트 섹터, 펌웨어 모듈, anti-rootkit 지표를 점검할 때 유용합니다. 실무형 가이드, 명확한 워크플로, Malware Analysis를 위한 근거 기반 트리아지가 필요한 분석가에게 적합합니다.

detecting-mobile-malware-behavior skill은 권한 남용, 런타임 활동, 네트워크 지표, 악성코드 유사 패턴을 기준으로 의심스러운 Android 및 iOS 앱을 분석합니다. 보안 감사(Security Audit) 워크플로에서 증거 기반 모바일 분석으로 트리아지, 사고 대응, detecting-mobile-malware-behavior에 활용할 수 있습니다.

analyzing-supply-chain-malware-artifacts는 트로이목마화된 업데이트, 오염된 의존성, 빌드 파이프라인 변조를 추적하는 악성코드 분석 스킬입니다. 신뢰 가능한 아티팩트와 의심 아티팩트를 비교하고, 지표를 추출하며, 침해 범위를 평가하고, 추측을 줄인 상태로 조사 결과를 보고할 때 사용하세요.

analyzing-ransomware-payment-wallets는 랜섬웨어 결제 지갑을 추적하고, 자금 이동을 따라가며, 관련 주소를 클러스터링해 보안 감사와 사고 대응을 지원하는 읽기 전용 블록체인 포렌식 스킬입니다. BTC 주소, tx hash, 또는 의심 지갑이 있고, 근거 기반의 귀속 판단을 뒷받침할 증거가 필요할 때 사용하세요.

악성코드 분석용 analyzing-ransomware-encryption-mechanisms 스킬로, 랜섬웨어의 암호화 방식, 키 처리, 복호화 가능성을 파악하는 데 초점을 둡니다. AES, RSA, ChaCha20, 하이브리드 방식은 물론, 복구 가능성에 영향을 줄 수 있는 구현상 결함까지 점검하는 데 활용할 수 있습니다.

analyzing-ransomware-leak-site-intelligence는 랜섬웨어 데이터 유출 사이트를 모니터링하고, 피해자 및 공격 그룹 신호를 추출하며, 사고 대응, 업종별 위험 검토, 공격자 추적에 활용할 수 있는 구조화된 위협 인텔리전스를 생성하는 데 도움을 줍니다.

악성코드 분석을 위한 extracting-iocs-from-malware-samples 기술 가이드입니다. 샘플에서 해시, IP, 도메인, URL, 호스트 아티팩트, 검증 단서를 추출해 위협 인텔과 탐지에 활용할 수 있습니다.

악성코드 분석용 extracting-config-from-agent-tesla-rat 스킬로, Agent Tesla .NET 설정값과 SMTP/FTP/Telegram 자격 증명, 키로거 설정, C2 엔드포인트를 반복 가능한 워크플로 가이드와 함께 추출합니다.

eradicating-malware-from-infected-systems는 격리 이후 감염 시스템에서 악성코드, 백도어, 지속성 메커니즘을 제거하는 사이버 보안 사고 대응 스킬입니다. Windows와 Linux 정리용 워크플로 안내, 참고 파일, 스크립트는 물론 자격 증명 교체, 근본 원인 수정, 검증 절차까지 포함합니다.

detecting-stuxnet-style-attacks 스킬은 PLC 로직 변조, 위장된 센서 데이터, 엔지니어링 워크스테이션 침해, IT-OT 측면 이동을 포함한 Stuxnet 유사 OT 및 ICS 침입 패턴을 탐지하는 데 도움을 줍니다. 프로토콜, 호스트, 프로세스 증거를 함께 활용하는 위협 헌팅, 사고 초기 분류, 공정 무결성 모니터링에 적합합니다.

detecting-ransomware-encryption-behavior는 엔트로피 분석, 파일 I/O 모니터링, 행위 기반 휴리스틱을 활용해 랜섬웨어형 암호화를 포착하도록 돕습니다. 대량 파일 변경, 연속적인 이름 바꾸기, 수상한 프로세스 활동을 빠르게 감지해야 하는 사고 대응, SOC 튜닝, 레드팀 검증에 적합합니다.

detecting-process-injection-techniques는 수상한 메모리 내 활동을 분석하고, EDR 경보를 검증하며, Security Audit와 멀웨어 분류 작업에 필요한 process hollowing, APC injection, thread hijacking, reflective loading, classic DLL injection을 식별하는 데 도움을 줍니다.

analyzing-packed-malware-with-upx-unpacker는 UPX로 패킹된 샘플을 식별하고, 수정된 UPX 헤더를 처리하며, 원본 실행 파일을 복구해 Ghidra나 IDA에서 정적 분석할 수 있도록 돕는 악성코드 분석 스킬입니다. `upx -d`가 실패할 때나, 더 빠르게 UPX 패커 여부를 확인하고 언팩하는 워크플로가 필요할 때 사용하세요.

analyzing-memory-dumps-with-volatility는 Windows, Linux, macOS의 RAM 덤프에서 메모리 포렌식, 악성코드 1차 분류, 숨겨진 프로세스, 인젝션, 네트워크 활동, 자격 증명 확인에 쓰는 Volatility 3 스킬입니다. 사고 대응과 악성코드 분석을 위해 재현 가능한 analyzing-memory-dumps-with-volatility 가이드가 필요할 때 적합합니다.

analyzing-malicious-pdf-with-peepdf는 의심스러운 PDF를 위한 정적 악성코드 분석 skill입니다. peepdf, pdfid, pdf-parser를 사용해 피싱 첨부파일을 분류하고, 객체를 검사하고, 포함된 JavaScript나 shellcode를 추출하며, 실행 없이 수상한 스트림을 안전하게 검토할 수 있습니다.

analyzing-macro-malware-in-office-documents는 악성 VBA가 포함된 Word, Excel, PowerPoint 파일을 분석해 난독화를 해독하고, IOC, 실행 경로, 페이로드 스테이징 로직을 추출하도록 도와줍니다. 피싱 1차 분류, 사고 대응, 문서 악성코드 분석에 적합합니다.

analyzing-linux-kernel-rootkits는 Volatility3의 크로스뷰 검사, rkhunter 스캔, 그리고 /proc 대 /sys 비교 분석을 통해 숨겨진 모듈, 후킹된 시스템 호출, 변조된 커널 구조를 찾아내는 데 도움을 주는 DFIR 및 위협 헌팅 워크플로입니다. 포렌식 초기 분석에 실용적인 analyzing-linux-kernel-rootkits 가이드입니다.

analyzing-golang-malware-with-ghidra는 분석가가 Ghidra에서 Go로 컴파일된 악성코드를 리버스 엔지니어링할 수 있도록, 함수 복구, 문자열 추출, 빌드 메타데이터 확인, 의존성 매핑 중심의 워크플로를 제공합니다. 이 분석 스킬은 악성코드 1차 분류, 인시던트 대응, 그리고 실무적인 Go 전용 분석 단계가 필요한 Security Audit 작업에 특히 유용합니다.

analyzing-linux-elf-malware는 의심스러운 Linux ELF 바이너리를 악성코드 분석 관점에서 살펴보도록 돕는 skill입니다. 아키텍처 확인, 문자열과 import 분석, 정적 트리아지, 그리고 봇넷·채굴기·루트킷·랜섬웨어·컨테이너 위협의 초기 징후를 파악하는 데 필요한 안내를 제공합니다.

detecting-mimikatz-execution-patterns는 명령줄 패턴, LSASS 접근 신호, 바이너리 지표, 메모리 아티팩트를 활용해 Mimikatz 실행을 탐지하도록 돕습니다. Security Audit, 헌팅, 인시던트 대응에 이 detecting-mimikatz-execution-patterns 스킬을 설치해 템플릿, 참고 자료, 워크플로 가이드를 활용하세요.

detecting-fileless-malware-techniques 스킬은 PowerShell, WMI, .NET 리플렉션, 레지스트리 상주 페이로드, LOLBin을 통해 메모리에서 실행되는 파일리스 멀웨어를 분석하는 Malware Analysis 워크플로를 지원합니다. 의심 경보를 근거 있는 트리아지, 탐지 아이디어, 다음 단계 헌팅으로 전환할 때 활용하세요.

detecting-dll-sideloading-attacks는 Security Audit, 위협 헌팅, 인시던트 대응 팀이 Sysmon, EDR, MDE, Splunk로 DLL 사이드로딩을 탐지하도록 돕습니다. 이 detecting-dll-sideloading-attacks 가이드에는 워크플로 노트, 헌팅 템플릿, 표준 매핑, 그리고 의심스러운 DLL 로드를 반복 가능한 탐지로 바꾸는 스크립트가 포함되어 있습니다.

deobfuscating-javascript-malware는 분석가가 강하게 난독화된 악성 JavaScript를 읽을 수 있는 코드로 풀어내어, 멀웨어 분석, 피싱 페이지, 웹 스키머, 드로퍼, 브라우저 전달 페이로드를 조사하는 데 도움을 줍니다. 단순한 minification이 문제가 아닐 때, 구조화된 난독화 해제, 디코딩 추적, 통제된 검토에 이 deobfuscating-javascript-malware 스킬을 사용하세요.