detecting-fileless-malware-techniques

por mukul975

A skill detecting-fileless-malware-techniques dá suporte a fluxos de trabalho de Análise de Malware para investigar malware fileless que roda na memória por meio de PowerShell, WMI, reflection em .NET, payloads residindo no registro e LOLBins. Use-a para sair de alertas suspeitos e chegar a triagem baseada em evidências, ideias de detecção e próximos passos de hunting.

Estrelas0

Favoritos0

Comentários0

Adicionado9 de mai. de 2026

CategoriaMalware Analysis

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-fileless-malware-techniques

Pontuação editorial

Esta skill recebe 78/100, o que a coloca como uma candidata sólida, mas não de primeira linha, no Agent Skills Finder. Para quem navega no diretório, ela entrega um fluxo de trabalho real e específico de cibersegurança para detectar malware fileless, com conteúdo procedural suficiente e scripts/referências de apoio para justificar a instalação; ainda assim, vale esperar alguma fricção na adoção por causa da falta de orientações de instalação e de detalhes visíveis incompletos nos documentos recortados.

78/100

Pontos fortes

Boa acionabilidade: o frontmatter deixa explícito o foco em detecção de ameaças fileless, investigação de malware em memória, abuso de LOLBins e persistência via WMI.
O conteúdo operacional é robusto: o repositório inclui um SKILL.md extenso, além de uma referência de API de detecção com IDs de eventos do Windows, padrões de Sysmon, comandos do Volatility e um script de agente em Python.
Ótimo potencial para análise defensiva: indicadores concretos, fontes de logs e exemplos de ferramentas reduzem a incerteza em comparação com um prompt genérico.

Pontos de atenção

Não há comando de instalação no SKILL.md, então o usuário precisa inferir a configuração e a execução em vez de seguir um caminho de instalação pronto.
A documentação visível enfatiza padrões de detecção e comandos, mas o trecho mostra poucos detalhes de ponta a ponta sobre como um agente deve triar, validar e reportar os achados.

Malware Memory Forensics Powershell Sysmon Volatility3 Lolbins Wmi Threat Hunting

Visão geral

Visão geral da skill detecting-fileless-malware-techniques

A skill detecting-fileless-malware-techniques é voltada para fluxos de trabalho de Malware Analysis em que o atacante evita soltar um executável clássico e, em vez disso, executa código em memória por meio de PowerShell, WMI, reflexão em .NET, payloads residentes no registry ou LOLBins. Ela ajuda a sair do “alerta de processo suspeito” para um caminho de investigação defensável: identificar cadeias de execução, confirmar se a memória ou a telemetria sustentam comportamento malicioso e decidir o que investigar em seguida.

Quem deve instalar

Instale a skill detecting-fileless-malware-techniques se você analisa incidentes em Windows, cria detecções ou faz triagem de alertas de EDR que envolvem binários confiáveis se comportando de forma anômala. Ela é uma boa escolha para analistas de SOC, threat hunters e analistas de malware que precisam de passos práticos de investigação, e não apenas de uma taxonomia de técnicas fileless.

Que problema ela resolve

A principal função é separar abuso barulhento de LOLBins de atividade real de intrusão fileless. Isso significa verificar indicadores como script block logging, subscriptions de eventos do WMI, memória injetada, linhas de comando suspeitas e persistência que vive fora dos arquivos normais. A skill é útil quando os artefatos em disco estão ausentes ou são enganosos.

Por que vale a pena usar

Esta skill se destaca porque é orientada a detecção, e não puramente teórica. O repositório inclui orientação de logs/eventos e um helper em Python em scripts/agent.py, então o detecting-fileless-malware-techniques guide pode apoiar tanto a investigação quanto a criação de regras. Isso a torna mais acionável do que um prompt genérico sobre malware fileless.

Como usar a skill detecting-fileless-malware-techniques

Instale e inspecione primeiro os arquivos certos

Use o fluxo detecting-fileless-malware-techniques install com o seu gerenciador de skills e depois leia SKILL.md primeiro para entender o workflow. Em seguida, inspecione references/api-reference.md para ver event IDs, padrões de Sysmon e comandos do Volatility, e revise scripts/agent.py para entender como a skill operacionaliza checagens de LOLBin e PowerShell.

Dê à skill um caso concreto

A skill funciona melhor quando você informa um alvo específico de investigação: nomes de processo, linhas de comando, event IDs, telemetria do host, achados de memória ou uma cadeia suspeita de parent-child. Uma entrada fraca como “analyze fileless malware” é ampla demais. Uma entrada melhor é: “Investigue um host Windows em que powershell.exe iniciado por winword.exe usou -enc, o Event ID 4104 está presente e o Sysmon mostra wmic.exe criando um serviço depois.”

Use um workflow, não uma única pergunta

Um padrão prático de detecting-fileless-malware-techniques usage é:

Comece com o artefato observado.
Peça categorias prováveis de técnica fileless.
Solicite os logs mais relevantes para confirmar ou refutar a hipótese.
Peça uma checklist de hunting ou ideias de regra de detecção.

Essa sequência mantém a resposta ancorada na evidência e reduz conselhos genéricos. Se houver memória envolvida, peça explicitamente passos de triagem com Volatility; se houver suspeita de persistência, peça verificações de WMI, tarefa agendada ou registry.

Estruture os prompts em torno de evidência e restrições

Inclua detalhes do ambiente, como versão do Windows, cobertura de telemetria e se você tem EDR, Sysmon, PowerShell logging ou memory dumps. Também diga o que você quer receber de volta: resumo de triagem, IOCs, lógica de detecção ou um plano de hunting. Por exemplo: “Use apenas a telemetria disponível em Sysmon e PowerShell Operational logs; priorize redução de falso positivo; identifique os 5 eventos mais suspeitos e explique por quê.”

FAQ da skill detecting-fileless-malware-techniques

Isso é só para analistas avançados?

Não. Iniciantes também podem usar, desde que tragam um caso claro e peçam triagem passo a passo. A skill é mais valiosa quando você já tem alguma telemetria de Windows, mas ainda assim ela consegue explicar o que verificar primeiro e quais evidências importam mais.

Como isso é diferente de um prompt comum?

Um prompt comum muitas vezes gera conselhos genéricos sobre malware. A detecting-fileless-malware-techniques skill é mais útil porque se concentra em telemetria específica de Windows, abuso de LOLBins, execução em memória e caminhos de memory forensics. Isso a torna melhor para detecting-fileless-malware-techniques usage em incident response real.

Quando não devo usá-la?

Não use como skill principal para malware comum baseado em arquivo, malware mobile ou casos que não envolvam Windows. Se você já tem uma amostra em disco, análise estática e dinâmica do binário normalmente é o primeiro passo mais adequado. Esta skill é mais forte quando a amostra não existe e o comportamento é a evidência.

E se eu só tiver logs parciais?

Ainda ajuda, mas seja explícito sobre as lacunas. Diga quais fontes de eventos você tem e quais não tem. A skill pode então focar nas verificações de maior valor, como PowerShell 4104, criação de processos via Sysmon ou subscriptions de eventos do WMI, em vez de assumir uma stack completa de telemetria.

Como melhorar a skill detecting-fileless-malware-techniques

Forneça os artefatos de maior sinal

Os melhores resultados vêm de fornecer à skill a árvore de processos exata, linhas de comando suspeitas, event IDs, hashes, timestamps e o papel do host. Para Malware Analysis, inclua também se o comportamento foi observado em memória, via EDR ou em um sandbox. Esses detalhes ajudam o modelo a distinguir abuso de LOLBin de atividade administrativa legítima.

Peça a próxima decisão, não uma explicação ampla

Se a primeira resposta vier genérica demais, refine o follow-up. Boas próximas perguntas são: “Qual artefato sustenta mais fortemente a execução fileless?”, “O que devo investigar em seguida no endpoint?” ou “Transforme isso em uma hipótese de regra de detecção.” Isso gera uma saída melhor de detecting-fileless-malware-techniques guide do que pedir outro resumo amplo.

Verifique falhas comuns

Os erros mais comuns são superestimar ferramentas administrativas benignas, ignorar indicadores de encoding no PowerShell e desconsiderar persistência fora da árvore de processos. Se a resposta não mencionar limites de cobertura de logs, event IDs ou evidência de memória, peça para reordenar os achados por nível de confiança e mostrar o que confirmaria cada afirmação.

Itere com refinamento baseado em evidência

Use a primeira resposta para montar um segundo prompt mais estreito: adicione os eventos exatos encontrados, remova hipóteses refutadas e peça um plano de hunting ou contenção mais focado. Essa é a forma mais rápida de transformar a saída da detecting-fileless-malware-techniques skill em algo realmente útil operacionalmente, sem se perder em conselhos genéricos de análise de malware.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

conducting-malware-incident-response

por mukul975

conducting-malware-incident-response ajuda equipes de IR a triar suspeitas de malware, confirmar infecções, dimensionar a propagação, conter endpoints e apoiar a erradicação e a recuperação. Ele foi projetado para conducting-malware-incident-response em fluxos de trabalho de Resposta a Incidentes, com etapas baseadas em evidências, decisões orientadas por telemetria e orientação prática de contenção.

Incident Response

Favoritos 0GitHub 0

analyzing-bootkit-and-rootkit-samples

por mukul975

analyzing-bootkit-and-rootkit-samples é uma skill de análise de malware para investigações de MBR, VBR, UEFI e rootkits. Use-a para inspecionar setores de inicialização, módulos de firmware e indicadores anti-rootkit quando a compromissão persiste abaixo da camada do sistema operacional. É indicada para analistas que precisam de um guia prático, um fluxo de trabalho claro e triagem baseada em evidências para Malware Analysis.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-ransomware-encryption-behavior

por mukul975

detecting-ransomware-encryption-behavior ajuda equipes defensivas a identificar criptografia no estilo ransomware usando análise de entropia, monitoramento de I/O de arquivos e heurísticas comportamentais. É indicado para resposta a incidentes, ajuste de SOC e validação em red team quando você precisa detectar rapidamente alterações em massa de arquivos, explosões de renomeação e atividade suspeita de processos.

Incident Response

Favoritos 0GitHub 0

deobfuscating-javascript-malware

por mukul975

A skill de deobfuscating-javascript-malware ajuda analistas a transformar JavaScript malicioso fortemente ofuscado em código legível para análise de malware, páginas de phishing, skimmers web, droppers e payloads entregues pelo navegador. Use esta skill de deobfuscating-javascript-malware para deobfuscação estruturada, rastreamento de decodificação e revisão controlada quando o problema não é apenas minificação simples.

Malware Analysis

Favoritos 0GitHub 0

analyzing-powershell-empire-artifacts

por mukul975

A skill analyzing-powershell-empire-artifacts ajuda equipes de Auditoria de Segurança a detectar artefatos do PowerShell Empire em logs do Windows usando Script Block Logging, padrões de launcher em Base64, IOCs de stagers, assinaturas de módulos e referências de detecção para triagem e criação de regras.

Security Audit

Favoritos 0GitHub 0

detecting-process-injection-techniques

por mukul975

detecting-process-injection-techniques ajuda a analisar atividades suspeitas em memória, validar alertas de EDR e identificar process hollowing, APC injection, thread hijacking, reflective loading e DLL injection clássica para Security Audit e triagem de malware.

Security Audit

Favoritos 0GitHub 0

analyzing-macro-malware-in-office-documents

por mukul975

analyzing-macro-malware-in-office-documents ajuda analistas de malware a inspecionar VBA malicioso em arquivos do Word, Excel e PowerPoint, decodificar ofuscação e extrair IOCs, caminhos de execução e a lógica de preparação de payloads para triagem de phishing, resposta a incidentes e análise de malware em documentos.

Malware Analysis

Favoritos 0GitHub 0

analyzing-golang-malware-with-ghidra

por mukul975

analyzing-golang-malware-with-ghidra ajuda analistas a fazer engenharia reversa de malware compilado em Go no Ghidra, com fluxos de trabalho para recuperação de funções, extração de strings, metadados de build e mapeamento de dependências. A skill analyzing-golang-malware-with-ghidra é útil para triagem de malware, resposta a incidentes e tarefas de Auditoria de Segurança que exigem passos práticos e específicos para Go.

Security Audit

Favoritos 0GitHub 0

analyzing-supply-chain-malware-artifacts

por mukul975

analyzing-supply-chain-malware-artifacts é uma skill de análise de malware voltada a rastrear atualizações trojanizadas, dependências contaminadas e adulteração em pipelines de build. Use-a para comparar artefatos confiáveis e não confiáveis, extrair indicadores, avaliar a extensão da comprometimento e relatar as descobertas com menos achismos.

Malware Analysis

Favoritos 0GitHub 6.1k

analyzing-linux-kernel-rootkits

por mukul975

analyzing-linux-kernel-rootkits ajuda fluxos de trabalho de DFIR e threat hunting a detectar rootkits no kernel Linux com checagens cross-view do Volatility3, varreduras com rkhunter e análise de /proc versus /sys para identificar módulos ocultos, syscalls com hook e estruturas do kernel adulteradas. É um guia prático de analyzing-linux-kernel-rootkits para triagem forense.

Digital Forensics

Favoritos 0GitHub 0

detecting-mimikatz-execution-patterns

por mukul975

detecting-mimikatz-execution-patterns ajuda analistas a detectar a execução do Mimikatz por meio de padrões de linha de comando, sinais de acesso ao LSASS, indicadores binários e artefatos de memória. Use esta instalação da skill detecting-mimikatz-execution-patterns para Auditoria de Segurança, hunting e resposta a incidentes, com modelos, referências e orientação de workflow.

Security Audit

Favoritos 0GitHub 0

detecting-rootkit-activity

por mukul975

detecting-rootkit-activity é uma skill de Malware Analysis para identificar indícios de rootkit, como processos ocultos, system calls interceptadas, estruturas do kernel alteradas, módulos escondidos e artefatos de rede encobertos. Ela usa comparação entre visões e checagens de integridade para ajudar a validar hosts suspeitos quando as ferramentas padrão não concordam.

Malware Analysis

Favoritos 0GitHub 6.2k

detecting-mobile-malware-behavior

por mukul975

A skill de detecção de comportamento de malware móvel analisa apps suspeitos para Android e iOS em busca de abuso de permissões, atividade em tempo de execução, indicadores de rede e padrões semelhantes aos de malware. Use-a para triagem, resposta a incidentes e detecção de comportamento de malware móvel em fluxos de trabalho de Security Audit, com análise móvel apoiada por evidências.

Security Audit

Favoritos 0GitHub 6.1k

analyzing-ransomware-payment-wallets

por mukul975

analyzing-ransomware-payment-wallets é uma habilidade de forense em blockchain, em modo somente leitura, para rastrear carteiras de pagamento de ransomware, acompanhar o movimento dos fundos e agrupar endereços relacionados para auditoria de segurança e resposta a incidentes. Use-a quando você tiver um endereço BTC, um hash de transação ou uma carteira suspeita e precisar de suporte à atribuição com base em evidências.

Security Audit

Favoritos 0GitHub 6.1k

analyzing-ransomware-encryption-mechanisms

por mukul975

Skill de analyzing-ransomware-encryption-mechanisms para análise de malware, com foco em identificar criptografia de ransomware, tratamento de chaves e viabilidade de descriptografia. Use-o para inspecionar AES, RSA, ChaCha20, esquemas híbridos e falhas de implementação que podem ajudar na recuperação.

Malware Analysis

Favoritos 0GitHub 6.1k

extracting-iocs-from-malware-samples

por mukul975

Guia da skill extracting-iocs-from-malware-samples para análise de malware: extraia hashes, IPs, domínios, URLs, artefatos de host e sinais de validação de amostras para threat intel e detecção.

Malware Analysis

Favoritos 0GitHub 0