Malware Analysis

detecting-rootkit-activity é uma skill de Malware Analysis para identificar indícios de rootkit, como processos ocultos, system calls interceptadas, estruturas do kernel alteradas, módulos escondidos e artefatos de rede encobertos. Ela usa comparação entre visões e checagens de integridade para ajudar a validar hosts suspeitos quando as ferramentas padrão não concordam.

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

A skill de detecção de comportamento de malware móvel analisa apps suspeitos para Android e iOS em busca de abuso de permissões, atividade em tempo de execução, indicadores de rede e padrões semelhantes aos de malware. Use-a para triagem, resposta a incidentes e detecção de comportamento de malware móvel em fluxos de trabalho de Security Audit, com análise móvel apoiada por evidências.

analyzing-supply-chain-malware-artifacts é uma skill de análise de malware voltada a rastrear atualizações trojanizadas, dependências contaminadas e adulteração em pipelines de build. Use-a para comparar artefatos confiáveis e não confiáveis, extrair indicadores, avaliar a extensão da comprometimento e relatar as descobertas com menos achismos.

analyzing-ransomware-payment-wallets é uma habilidade de forense em blockchain, em modo somente leitura, para rastrear carteiras de pagamento de ransomware, acompanhar o movimento dos fundos e agrupar endereços relacionados para auditoria de segurança e resposta a incidentes. Use-a quando você tiver um endereço BTC, um hash de transação ou uma carteira suspeita e precisar de suporte à atribuição com base em evidências.

Skill de analyzing-ransomware-encryption-mechanisms para análise de malware, com foco em identificar criptografia de ransomware, tratamento de chaves e viabilidade de descriptografia. Use-o para inspecionar AES, RSA, ChaCha20, esquemas híbridos e falhas de implementação que podem ajudar na recuperação.

analyzing-ransomware-leak-site-intelligence ajuda a monitorar sites de vazamento de dados de ransomware, extrair sinais de vítimas e grupos, e gerar inteligência de ameaças estruturada para resposta a incidentes, análise de risco setorial e acompanhamento de adversários.

Guia da skill extracting-iocs-from-malware-samples para análise de malware: extraia hashes, IPs, domínios, URLs, artefatos de host e sinais de validação de amostras para threat intel e detecção.

Skill de extracting-config-from-agent-tesla-rat para Análise de Malware: extraia a configuração .NET do Agent Tesla, credenciais de SMTP/FTP/Telegram, ajustes de keylogger e endpoints de C2 com orientações de fluxo de trabalho repetíveis.

eradicating-malware-from-infected-systems é uma habilidade de resposta a incidentes de cibersegurança para remover malware, backdoors e mecanismos de persistência após o containment. Inclui orientação de fluxo de trabalho, arquivos de referência e scripts para limpeza em Windows e Linux, rotação de credenciais, correção da causa raiz e validação.

A skill detecting-stuxnet-style-attacks ajuda defensores a detectar padrões de intrusão em OT e ICS semelhantes ao Stuxnet, incluindo adulteração da lógica de PLC, falsificação de dados de sensores, comprometimento de estações de engenharia e movimentação lateral de TI para OT. Use-a para threat hunting, triagem de incidentes e monitoramento da integridade de processos com evidências de protocolo, host e processo.

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

analyzing-packed-malware-with-upx-unpacker é uma skill de análise de malware para identificar amostras empacotadas com UPX, lidar com cabeçalhos UPX modificados e recuperar o executável original para revisão estática no Ghidra ou no IDA. Use quando `upx -d` falhar ou quando você precisar de um fluxo mais rápido para verificar se o binário foi empacotado com UPX e descompactá-lo.

analyzing-memory-dumps-with-volatility é uma skill do Volatility 3 para forense de memória, triagem de malware, processos ocultos, injeção, atividade de rede e credenciais em dumps de RAM no Windows, Linux ou macOS. Use-a quando precisar de um guia repetível de analyzing-memory-dumps-with-volatility para resposta a incidentes e análise de malware.

analyzing-malicious-pdf-with-peepdf é uma skill de análise estática de malware para PDFs suspeitos. Use peepdf, pdfid e pdf-parser para fazer a triagem de anexos de phishing, inspecionar objetos, extrair JavaScript ou shellcode incorporado e revisar com segurança fluxos suspeitos sem executar o arquivo.

analyzing-macro-malware-in-office-documents ajuda analistas de malware a inspecionar VBA malicioso em arquivos do Word, Excel e PowerPoint, decodificar ofuscação e extrair IOCs, caminhos de execução e a lógica de preparação de payloads para triagem de phishing, resposta a incidentes e análise de malware em documentos.

analyzing-linux-kernel-rootkits ajuda fluxos de trabalho de DFIR e threat hunting a detectar rootkits no kernel Linux com checagens cross-view do Volatility3, varreduras com rkhunter e análise de /proc versus /sys para identificar módulos ocultos, syscalls com hook e estruturas do kernel adulteradas. É um guia prático de analyzing-linux-kernel-rootkits para triagem forense.

analyzing-golang-malware-with-ghidra ajuda analistas a fazer engenharia reversa de malware compilado em Go no Ghidra, com fluxos de trabalho para recuperação de funções, extração de strings, metadados de build e mapeamento de dependências. A skill analyzing-golang-malware-with-ghidra é útil para triagem de malware, resposta a incidentes e tarefas de Auditoria de Segurança que exigem passos práticos e específicos para Go.

A skill analyzing-linux-elf-malware ajuda a analisar binários ELF suspeitos de Linux para malware, com orientação para checagem de arquitetura, strings, imports, triagem estática e identificação inicial de botnets, miners, rootkits, ransomware e ameaças a containers.

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

A skill detecting-fileless-malware-techniques dá suporte a fluxos de trabalho de Análise de Malware para investigar malware fileless que roda na memória por meio de PowerShell, WMI, reflection em .NET, payloads residindo no registro e LOLBins. Use-a para sair de alertas suspeitos e chegar a triagem baseada em evidências, ideias de detecção e próximos passos de hunting.

detecting-dll-sideloading-attacks ajuda equipes de Security Audit, threat hunting e resposta a incidentes a detectar DLL sideloading com Sysmon, EDR, MDE e Splunk. Este guia de detecting-dll-sideloading-attacks inclui notas de fluxo de trabalho, templates de hunting, mapeamento para padrões e scripts para transformar carregamentos suspeitos de DLL em detecções repetíveis.

A skill de deobfuscating-javascript-malware ajuda analistas a transformar JavaScript malicioso fortemente ofuscado em código legível para análise de malware, páginas de phishing, skimmers web, droppers e payloads entregues pelo navegador. Use esta skill de deobfuscating-javascript-malware para deobfuscação estruturada, rastreamento de decodificação e revisão controlada quando o problema não é apenas minificação simples.