Malware Analysis

analyzing-cobaltstrike-malleable-c2-profiles ajuda a analisar perfis Malleable C2 do Cobalt Strike, convertendo-os em indicadores de C2, traços de evasão e ideias de detecção para fluxos de análise de malware, threat hunting e auditoria de segurança. Usa `dissect.cobaltstrike` e `pyMalleableC2` para análise de perfis e da configuração do beacon.

analyzing-android-malware-with-apktool é uma skill de análise estática para malware em APKs Android. Ela usa apktool, jadx e androguard para descompactar apps, inspecionar manifests e permissões, recuperar código semelhante ao original e extrair APIs suspeitas e IOCs para análise de malware.

detecting-rootkit-activity é uma skill de Malware Analysis para identificar indícios de rootkit, como processos ocultos, system calls interceptadas, estruturas do kernel alteradas, módulos escondidos e artefatos de rede encobertos. Ela usa comparação entre visões e checagens de integridade para ajudar a validar hosts suspeitos quando as ferramentas padrão não concordam.

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

A skill de detecção de comportamento de malware móvel analisa apps suspeitos para Android e iOS em busca de abuso de permissões, atividade em tempo de execução, indicadores de rede e padrões semelhantes aos de malware. Use-a para triagem, resposta a incidentes e detecção de comportamento de malware móvel em fluxos de trabalho de Security Audit, com análise móvel apoiada por evidências.

analyzing-supply-chain-malware-artifacts é uma skill de análise de malware voltada a rastrear atualizações trojanizadas, dependências contaminadas e adulteração em pipelines de build. Use-a para comparar artefatos confiáveis e não confiáveis, extrair indicadores, avaliar a extensão da comprometimento e relatar as descobertas com menos achismos.

analyzing-ransomware-payment-wallets é uma habilidade de forense em blockchain, em modo somente leitura, para rastrear carteiras de pagamento de ransomware, acompanhar o movimento dos fundos e agrupar endereços relacionados para auditoria de segurança e resposta a incidentes. Use-a quando você tiver um endereço BTC, um hash de transação ou uma carteira suspeita e precisar de suporte à atribuição com base em evidências.

Skill de analyzing-ransomware-encryption-mechanisms para análise de malware, com foco em identificar criptografia de ransomware, tratamento de chaves e viabilidade de descriptografia. Use-o para inspecionar AES, RSA, ChaCha20, esquemas híbridos e falhas de implementação que podem ajudar na recuperação.

analyzing-ransomware-leak-site-intelligence ajuda a monitorar sites de vazamento de dados de ransomware, extrair sinais de vítimas e grupos, e gerar inteligência de ameaças estruturada para resposta a incidentes, análise de risco setorial e acompanhamento de adversários.

analyzing-malware-sandbox-evasion-techniques ajuda analistas de malware a revisar comportamentos do Cuckoo e do AnyRun em busca de checagens de tempo, consultas a artefatos de VM, barreiras de interação do usuário e inflamento de sleep. Ele foi criado para uma análise focada de analyzing-malware-sandbox-evasion-techniques em fluxos de trabalho de Malware Analysis, ajudando a triagem a identificar se uma amostra está se escondendo de um sandbox.

analyzing-malware-persistence-with-autoruns é uma skill de Sysinternals Autoruns para análise de malware. Ela ajuda você a inspecionar a persistência no Windows em chaves Run, serviços, tarefas agendadas, Winlogon, drivers e WMI, usando um fluxo de trabalho repetível com exportação em CSV, revisão de entradas suspeitas e achados prontos para relatório.

Guia da skill extracting-iocs-from-malware-samples para análise de malware: extraia hashes, IPs, domínios, URLs, artefatos de host e sinais de validação de amostras para threat intel e detecção.

Skill de extracting-config-from-agent-tesla-rat para Análise de Malware: extraia a configuração .NET do Agent Tesla, credenciais de SMTP/FTP/Telegram, ajustes de keylogger e endpoints de C2 com orientações de fluxo de trabalho repetíveis.

eradicating-malware-from-infected-systems é uma habilidade de resposta a incidentes de cibersegurança para remover malware, backdoors e mecanismos de persistência após o containment. Inclui orientação de fluxo de trabalho, arquivos de referência e scripts para limpeza em Windows e Linux, rotação de credenciais, correção da causa raiz e validação.

A skill detecting-stuxnet-style-attacks ajuda defensores a detectar padrões de intrusão em OT e ICS semelhantes ao Stuxnet, incluindo adulteração da lógica de PLC, falsificação de dados de sensores, comprometimento de estações de engenharia e movimentação lateral de TI para OT. Use-a para threat hunting, triagem de incidentes e monitoramento da integridade de processos com evidências de protocolo, host e processo.

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

analyzing-packed-malware-with-upx-unpacker é uma skill de análise de malware para identificar amostras empacotadas com UPX, lidar com cabeçalhos UPX modificados e recuperar o executável original para revisão estática no Ghidra ou no IDA. Use quando `upx -d` falhar ou quando você precisar de um fluxo mais rápido para verificar se o binário foi empacotado com UPX e descompactá-lo.

analyzing-memory-dumps-with-volatility é uma skill do Volatility 3 para forense de memória, triagem de malware, processos ocultos, injeção, atividade de rede e credenciais em dumps de RAM no Windows, Linux ou macOS. Use-a quando precisar de um guia repetível de analyzing-memory-dumps-with-volatility para resposta a incidentes e análise de malware.

analyzing-malicious-pdf-with-peepdf é uma skill de análise estática de malware para PDFs suspeitos. Use peepdf, pdfid e pdf-parser para fazer a triagem de anexos de phishing, inspecionar objetos, extrair JavaScript ou shellcode incorporado e revisar com segurança fluxos suspeitos sem executar o arquivo.

analyzing-macro-malware-in-office-documents ajuda analistas de malware a inspecionar VBA malicioso em arquivos do Word, Excel e PowerPoint, decodificar ofuscação e extrair IOCs, caminhos de execução e a lógica de preparação de payloads para triagem de phishing, resposta a incidentes e análise de malware em documentos.

analyzing-linux-kernel-rootkits ajuda fluxos de trabalho de DFIR e threat hunting a detectar rootkits no kernel Linux com checagens cross-view do Volatility3, varreduras com rkhunter e análise de /proc versus /sys para identificar módulos ocultos, syscalls com hook e estruturas do kernel adulteradas. É um guia prático de analyzing-linux-kernel-rootkits para triagem forense.

analyzing-golang-malware-with-ghidra ajuda analistas a fazer engenharia reversa de malware compilado em Go no Ghidra, com fluxos de trabalho para recuperação de funções, extração de strings, metadados de build e mapeamento de dependências. A skill analyzing-golang-malware-with-ghidra é útil para triagem de malware, resposta a incidentes e tarefas de Auditoria de Segurança que exigem passos práticos e específicos para Go.

A skill analyzing-linux-elf-malware ajuda a analisar binários ELF suspeitos de Linux para malware, com orientação para checagem de arquitetura, strings, imports, triagem estática e identificação inicial de botnets, miners, rootkits, ransomware e ameaças a containers.