작성자 mukul975
detecting-wmi-persistence 스킬은 위협 헌터와 DFIR 분석가가 Sysmon Event ID 19, 20, 21을 활용해 Windows 텔레메트리에서 WMI 이벤트 구독 지속성을 탐지하도록 돕습니다. 악성 EventFilter, EventConsumer, FilterToConsumerBinding 활동을 식별하고, 결과를 검증하며, 공격자의 지속성 기법과 정상 관리 자동화를 구분하는 데 사용할 수 있습니다.
작성자 mukul975
detecting-process-injection-techniques는 수상한 메모리 내 활동을 분석하고, EDR 경보를 검증하며, Security Audit와 멀웨어 분류 작업에 필요한 process hollowing, APC injection, thread hijacking, reflective loading, classic DLL injection을 식별하는 데 도움을 줍니다.
작성자 mukul975
detecting-process-hollowing-technique는 Windows 텔레메트리에서 일시 중단된 실행, 메모리 변조, 부모-자식 프로세스 이상 징후, API 증거를 상관 분석해 프로세스 할로잉(T1055.012)을 추적하는 데 도움을 줍니다. 위협 헌터, 탐지 엔지니어, 대응 담당자가 Threat Hunting 워크플로에서 실무적으로 활용할 수 있는 detecting-process-hollowing-technique를 찾을 때 적합합니다.
작성자 mukul975
detecting-privilege-escalation-attempts는 Windows와 Linux에서 권한 상승을 추적하는 데 도움이 되며, 토큰 조작, UAC 우회, 따옴표가 없는 서비스 경로, 커널 익스플로잇, sudo/doas 오용까지 포함합니다. 실무적인 워크플로, 참고용 쿼리, 보조 스크립트가 필요한 위협 헌팅 팀을 위해 설계되었습니다.
작성자 mukul975
Windows Security 로그, Splunk, KQL을 활용해 NTLM 기반 측면 이동, 의심스러운 Type 3 로그온, T1550.002 활동을 추적하는 detecting-pass-the-hash-attacks skill입니다.
작성자 mukul975
detecting-evasion-techniques-in-endpoint-logs skill은 Windows endpoint 로그에서 방어 회피 행위를 추적하는 데 도움이 됩니다. 여기에는 로그 삭제, timestomping, process injection, 보안 도구 비활성화가 포함됩니다. Sysmon, Windows Security, 또는 EDR telemetry를 활용한 threat hunting, detection engineering, incident triage에 적합합니다.
작성자 mukul975
detecting-mimikatz-execution-patterns는 명령줄 패턴, LSASS 접근 신호, 바이너리 지표, 메모리 아티팩트를 활용해 Mimikatz 실행을 탐지하도록 돕습니다. Security Audit, 헌팅, 인시던트 대응에 이 detecting-mimikatz-execution-patterns 스킬을 설치해 템플릿, 참고 자료, 워크플로 가이드를 활용하세요.
작성자 mukul975
detecting-living-off-the-land-with-lolbas는 Sysmon과 Windows Event Logs를 활용해 LOLBAS 남용을 탐지하도록 돕는 skill입니다. 프로세스 텔레메트리, 부모-자식 관계 맥락, Sigma 규칙, 그리고 트리아지·헌팅·룰 작성에 바로 쓸 수 있는 실전 가이드를 제공합니다. certutil, regsvr32, mshta, rundll32를 중심으로 Threat Modeling과 분석가 워크플로우에서 detecting-living-off-the-land-with-lolbas 활용을 지원합니다.
작성자 mukul975
Security Audit, 위협 헌팅, 사고 대응을 위한 detecting-living-off-the-land-attacks 스킬입니다. `certutil`, `mshta`, `rundll32`, `regsvr32` 같은 합법적 Windows 바이너리의 악용을 프로세스 생성, 명령줄, 부모-자식 관계 텔레메트리로 탐지합니다. 이 가이드는 Windows 전반의 하드닝이 아니라, 바로 적용 가능한 LOLBin 탐지 패턴에 초점을 맞춥니다.
작성자 mukul975
detecting-fileless-malware-techniques 스킬은 PowerShell, WMI, .NET 리플렉션, 레지스트리 상주 페이로드, LOLBin을 통해 메모리에서 실행되는 파일리스 멀웨어를 분석하는 Malware Analysis 워크플로를 지원합니다. 의심 경보를 근거 있는 트리아지, 탐지 아이디어, 다음 단계 헌팅으로 전환할 때 활용하세요.
작성자 mukul975
detecting-fileless-attacks-on-endpoints는 Windows 엔드포인트에서 메모리 상에서만 동작하는 공격을 탐지하도록 도와줍니다. PowerShell 악용, WMI 지속성, reflective loading, 프로세스 인젝션 등을 포함합니다. Security Audit, 위협 헌팅, 탐지 엔지니어링에 활용할 수 있으며, Sysmon, AMSI, PowerShell 로깅과 함께 쓰기 좋습니다.
작성자 mukul975
detecting-dll-sideloading-attacks는 Security Audit, 위협 헌팅, 인시던트 대응 팀이 Sysmon, EDR, MDE, Splunk로 DLL 사이드로딩을 탐지하도록 돕습니다. 이 detecting-dll-sideloading-attacks 가이드에는 워크플로 노트, 헌팅 템플릿, 표준 매핑, 그리고 의심스러운 DLL 로드를 반복 가능한 탐지로 바꾸는 스크립트가 포함되어 있습니다.
작성자 mukul975
detecting-credential-dumping-techniques 스킬은 Sysmon Event ID 10, Windows Security 로그, 그리고 SIEM 상관관계 규칙을 사용해 LSASS 접근, SAM 내보내기, NTDS.dit 탈취, comsvcs.dll MiniDump 악용을 탐지하는 데 도움을 줍니다. 위협 헌팅, 탐지 엔지니어링, Security Audit 워크플로우에 맞춰 설계되었습니다.
작성자 mukul975
analyzing-windows-event-logs-in-splunk skill은 SOC 분석가가 Splunk에서 Windows Security, System, Sysmon 로그를 조사해 인증 공격, 권한 상승, 지속성, 측면 이동을 파악하도록 돕습니다. 인시던트 분류, 탐지 엔지니어링, 타임라인 분석에 활용할 수 있으며, 매핑된 SPL 패턴과 이벤트 ID 가이드를 함께 제공합니다.
