detecting-living-off-the-land-attacks

por mukul975

Skill de detecção de ataques Living off the Land para Auditoria de Segurança, threat hunting e resposta a incidentes. Detecta o abuso de binários legítimos do Windows, como certutil, mshta, rundll32 e regsvr32, usando telemetria de criação de processo, linha de comando e relação entre processo pai e filho. O guia foca em padrões acionáveis de detecção de LOLBins, e não em hardening amplo do Windows.

Estrelas0

Favoritos0

Comentários0

Adicionado9 de mai. de 2026

CategoriaSecurity Audit

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-living-off-the-land-attacks

Pontuação editorial

Esta skill recebe 78/100 e é uma boa opção para o diretório: oferece um fluxo de trabalho real, focado em segurança, para detectar abuso de LOLBins, com nível de detalhe suficiente para um agente atuar sobre telemetria Sysmon/EVTX ou JSONL. A nota indica que vale a pena instalar, embora o usuário deva esperar uma ferramenta voltada a detecção, e não um playbook completo de ponta a ponta totalmente refinado.

78/100

Pontos fortes

Boa acionabilidade para um caso de uso claro: detectar abuso de certutil, mshta, rundll32, regsvr32 e outros LOLBins.
Base operacional sólida, com um agente Python executável e exemplos de CLI para entradas EVTX e JSONL.
Boa utilidade para resposta a incidentes: relaciona binários suspeitos e padrões entre processo pai e filho com técnicas MITRE e níveis de severidade.

Pontos de atenção

Não há comando de instalação no SKILL.md, então pode ser necessário inferir as etapas de setup para a dependência em Python.
O repositório é centrado em detecção e pode exigir telemetria real do Sysmon/endpoint e ajustes finos para ser imediatamente útil em produção.

Cybersecurity Threat Detection Lolbins Mitre Attack Siem Edr Sysmon Powershell

Visão geral

Visão geral do skill detecting-living-off-the-land-attacks

O que este skill faz

O skill detecting-living-off-the-land-attacks ajuda você a detectar abuso de binários legítimos do Windows, especialmente LOLBins como certutil.exe, mshta.exe, rundll32.exe e regsvr32.exe. Ele é mais útil quando você precisa transformar telemetria do Sysmon ou do endpoint em achados acionáveis de atividade suspeita, em vez de apenas lidar com logs brutos e ruidosos.

Para quem ele é indicado

Use o skill detecting-living-off-the-land-attacks em trabalhos de Security Audit, threat hunting, resposta a incidentes e detection engineering. Ele é uma boa opção para analistas que precisam de uma forma prática de identificar abuso de ferramentas embutidas ou fileless em eventos de criação de processo e relações pai-filho, e não de um guia amplo de hardening do Windows.

Por que ele é diferente

O repositório é orientado a padrões concretos de detecção: fragmentos suspeitos de linha de comando, pares de execução pai-filho e sinais de severidade ligados a comportamentos de ataque conhecidos. Isso o torna mais pronto para decisão do que um prompt genérico, porque ele oferece uma lente de detecção, e não apenas um resumo do tema.

Como usar o skill detecting-living-off-the-land-attacks

Instale e abra os arquivos certos

Instale o skill detecting-living-off-the-land-attacks no seu fluxo habitual de skills e, em seguida, leia primeiro SKILL.md, depois references/api-reference.md e scripts/agent.py. Esses três arquivos mostram a lógica de detecção pretendida, exemplos de uso dos comandos e os padrões exatos que o agente está procurando.

Alimente-o com o tipo certo de entrada

Esse skill funciona melhor quando você fornece telemetria de processos e rede do Windows, especialmente dados do Sysmon Event ID 1 e Event ID 3 em formato EVTX, JSON ou JSONL. Se você trouxer apenas uma solicitação vaga como “verifique meus logs”, terá resultados melhores se especificar a origem, a janela de tempo e o ambiente, por exemplo: “Analise este export JSONL do Sysmon em busca de atividade suspeita de LOLBin em uma workstation ingressada no domínio após o alerta de phishing.”

Estruture um prompt forte

Um prompt forte para detecting-living-off-the-land-attacks usage nomeia o ambiente, a fonte dos logs e o resultado que você quer. Exemplo bom: “Use o skill detecting-living-off-the-land-attacks para inspecionar este EVTX do Sysmon em busca de abuso de LOLBin, priorize cadeias críticas pai-filho de apps do Office para binários de script ou download e resuma os eventos mais suspeitos com mapeamento MITRE.” Isso é melhor do que um pedido genérico porque diz ao skill o que deve contar como evidência.

Fluxo prático e validações de saída

Comece com detecção ampla e depois refine para os padrões de maior risco: execução de Office para shell, linhas de comando codificadas ou com script remoto, downloads suspeitos via certutil e uso incomum de rundll32 ou regsvr32. Se você estiver usando o agente em Python, valide se o formato da entrada corresponde às expectativas do parser antes de debugar as detecções; uma incompatibilidade de formato vai parecer “nenhum resultado”, mesmo quando a atividade suspeita existe.

Perguntas frequentes sobre o skill detecting-living-off-the-land-attacks

Isso é só para analistas avançados?

Não. O skill detecting-living-off-the-land-attacks é amigável para iniciantes se você já sabe exportar logs do Sysmon ou do endpoint. A principal curva de aprendizado é reconhecer quais binários e padrões de linha de comando são suspeitos, e os exemplos do repositório ajudam nisso.

Como ele se compara a um prompt normal?

Um prompt normal pode gerar conselhos genéricos como “procure PowerShell suspeito”. O skill detecting-living-off-the-land-attacks oferece um modelo de detecção específico centrado em abuso de LOLBin, com padrões e saídas mais repetíveis para casos de Security Audit e triagem.

Quando eu não devo usá-lo?

Não use esse skill se o seu objetivo for análise geral de malware, monitoramento apenas de rede ou bloqueio total de todo LOLBin. Esses binários são ferramentas legítimas de administração, então o skill é mais adequado quando você precisa separar uso administrativo normal de contexto de execução suspeito.

Qual é o melhor tipo de ambiente para ele?

O melhor encaixe é telemetria do Windows, especialmente pipelines de detecção baseados em Sysmon, investigações em EDR e regras de threat hunting. Se seus dados não incluem criação de processo, linhagem pai-filho ou argumentos de linha de comando, o guia detecting-living-off-the-land-attacks será menos útil.

Como melhorar o skill detecting-living-off-the-land-attacks

Dê contexto, não só logs

O maior ganho de qualidade vem de adicionar contexto de usuário, host e incidente. Em vez de colar apenas eventos, diga se o host é workstation ou servidor, se o alerta veio de phishing e se você quer orientação de detecção, triagem ou contenção.

Peça a classe de padrão suspeito

O skill funciona melhor quando você nomeia o padrão que importa para você: execução remota de script, download e execução, abuso de pai-filho, persistência living-off-the-land ou evasão de defesa baseada em LOLBin. Isso ajuda o modelo a focar a parte certa do fluxo de eventos em vez de produzir um resumo amplo e superficial.

Use as assinaturas do repositório como checklist

Ao revisar os resultados, compare-os com os binários e comportamentos de alto risco conhecidos em references/api-reference.md e scripts/agent.py. Uma boa decisão de detecting-living-off-the-land-attacks install ou de uso deve considerar se seus dados incluem esses binários, se o parsing da linha de comando é confiável e se o seu ambiente tem telemetria suficiente para análise pai-filho.

Itere sobre falhas e falsos positivos

Se a primeira passada vier ruidosa, refine excluindo hosts administrativos conhecidos, ferramentas aprovadas de distribuição de software ou janelas de manutenção automatizada. Se a primeira passada vier silenciosa demais, amplie a janela de busca, inclua mais processos pai e peça uma segunda rodada focada em abuso de LOLBin vindo de cadeias do Office, WMI e script host.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

security-threat-model

por openai

Skill security-threat-model baseada no repositório para threat modeling em AppSec. Ela mapeia fronteiras de confiança, ativos, objetivos do atacante, caminhos de abuso e mitigações em um threat model conciso em Markdown. Use quando precisar de security-threat-model para Threat Modeling em um repositório ou caminho específico, e não de uma revisão genérica de arquitetura ou de uma checagem de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner é uma skill focada de auditoria de segurança para Solana, voltada para programas nativos em Rust e Anchor. Ela ajuda a revisar lógica de CPI, validação de PDA, verificações de signer e ownership, além de spoofing de sysvar, para identificar seis vulnerabilidades críticas específicas de Solana antes do deploy.

Security Audit

Favoritos 0GitHub 4.9k

azure-ai-contentsafety-ts

por microsoft

azure-ai-contentsafety-ts ajuda a analisar textos e imagens em busca de conteúdo nocivo com o Azure AI Content Safety em TypeScript. Use esta skill para fluxos de moderação, blocklists e verificações de auditoria de segurança para ódio, violência, conteúdo sexual e autoagressão. Ela também cobre a configuração do endpoint e da autenticação no Azure.

Security Audit

Favoritos 0GitHub 2.3k

sharp-edges

por trailofbits

A skill sharp-edges ajuda você a encontrar APIs, configurações e interfaces em que o caminho mais fácil leva a um uso inseguro. Use-a para revisar fluxos de autenticação, wrappers criptográficos, padrões perigosos de default, semântica de null ou zero e escolhas de design propensas a uso indevido. É uma ótima opção para trabalhos de sharp-edges em Auditoria de Segurança quando você precisa de armadilhas concretas, não de palpites genéricos sobre segurança.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Use a skill security-review para revisar autenticação, entrada de usuário, segredos, APIs, pagamentos, uploads e outros fluxos sensíveis. Ela oferece um guia prático de revisão de segurança com checks claros de aprovação/reprovação, exemplos de padrões arriscados e um processo focado para identificar problemas comuns antes do lançamento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security é um guia prático para fortalecer apps Django com autenticação, autorização, proteção contra CSRF e XSS, prevenção de SQL injection, cookies seguros e configurações de produção. Ele ajuda desenvolvedores e revisores a conduzir uma Security Audit focada, identificar rapidamente configurações arriscadas e aplicar correções concretas antes do deploy.

Security Audit

Favoritos 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

por mukul975

A skill de exploração de armazenamento inseguro em mobile ajuda a avaliar e extrair evidências de armazenamento local inseguro em apps Android e iOS. Ela cobre SharedPreferences, bancos SQLite, arquivos plist, arquivos legíveis por todos, exposição por backup e tratamento fraco de keychain/keystore, apoiando fluxos de mobile pentesting e Security Audit.

Security Audit

Favoritos 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

por mukul975

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

Security Audit

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

O building-incident-response-playbook ajuda equipes de segurança a criar playbooks de resposta a incidentes reutilizáveis, com fases passo a passo, árvores de decisão, critérios de escalonamento, definição de responsabilidades em RACI e estrutura pronta para SOAR. Ele foi pensado para documentação de procedimentos de resposta a incidentes, fluxos de triagem e planos operacionais de resposta com foco em auditoria.

Incident Triage

Favoritos 0GitHub 6.1k

building-patch-tuesday-response-process

por mukul975

building-patch-tuesday-response-process ajuda equipes a criar um processo repetível para Microsoft Patch Tuesday, com triagem de advisories, priorização de risco, testes de patches, aprovação de rollout e acompanhamento de conformidade. É útil para operações de segurança, gestão de vulnerabilidades e para building-patch-tuesday-response-process em gestão de projetos.

Project Management

Favoritos 0GitHub 6.1k

ossfuzz

por trailofbits

Aprenda a skill ossfuzz para configuração de fuzzing contínuo, inscrição de projetos, planejamento de harnesses e revisão do fluxo de build. Este guia ajuda engenheiros de segurança e mantenedores a avaliar a prontidão, identificar bloqueios de build e preparar um caminho prático do código-fonte até o OSS-Fuzz ou uma infraestrutura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

O skill codeql ajuda você a usar o CodeQL com menos pontos cegos durante uma auditoria de segurança. Ele foca na qualidade do banco de dados, na seleção de suites, em extensões de dados e na revisão de SARIF, para que você possa usar o codeql de forma mais confiável entre as linguagens compatíveis. Use-o para seguir etapas repetíveis do guia codeql ao analisar repositórios reais.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

O semgrep-rule-creator cria regras do Semgrep com qualidade de produção para vulnerabilidades de segurança, padrões de bugs, detecções de taint-flow e padrões de codificação. Use o skill semgrep-rule-creator para trabalho de Auditoria de Segurança quando precisar de regras precisas, casos de teste e validação, em vez de um rascunho genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

A skill insecure-defaults ajuda a identificar padrões de configuração fail-open que fazem o software continuar executando com definições inseguras em vez de parar. Use em uma Security Audit de código em produção, configurações de deployment e lógica de tratamento de secrets para detectar autenticação fraca, secrets hardcoded e defaults permissivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis é uma skill de auditoria de segurança para encontrar riscos de side-channel de tempo em código criptográfico antes que virem bugs exploráveis. Use-a para revisar matemática, branches, comparações e saída compilada dependentes de segredo ao analisar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python ou Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide orienta um fluxo de trabalho de segurança em 5 etapas para Solidity: triagem com Slither, checagens específicas por recurso, inspeção visual, anotações de propriedades de segurança e revisão manual. Foi feito para equipes de smart contracts, auditores e builders que querem um guia repeatable de secure-workflow-guide antes do deploy ou do release.

Security Audit

Favoritos 0GitHub 4.9k