detecting-modbus-command-injection-attacks

por mukul975

detecting-modbus-command-injection-attacks ajuda analistas de segurança a identificar atividade suspeita de gravação em Modbus TCP/RTU, function codes anômalos, frames malformados e desvios de baseline em ambientes ICS e SCADA. Use-o para triagem de incidentes, monitoramento OT e auditoria de segurança quando você precisar de orientação de detecção com noção de Modbus, e não de um prompt genérico para anomalias.

Estrelas6.1k

Favoritos0

Comentários0

Adicionado9 de mai. de 2026

CategoriaSecurity Audit

Comando de instalação

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-modbus-command-injection-attacks

Pontuação editorial

Esta skill recebe 78/100, o que a torna uma boa candidata para quem precisa de orientação de detecção de injeção de comandos em Modbus/ICS. O repositório traz detalhes suficientes de fluxo de trabalho, contexto de protocolo e exemplos de ferramentas para ajudar um agente a acioná-la e usá-la com menos tentativa e erro do que um prompt genérico, embora ainda seja mais voltada a referência do que a uso pronto.

78/100

Pontos fortes

Foco de uso bem definido para detecção de intrusão em Modbus TCP/RTU, incluindo gravações não autorizadas, function codes anômalos, frames malformados e desvios de baseline.
O suporte operacional é convincente: o repositório inclui um script de detecção, referência de API, exemplos para Zeek/Suricata e trechos de uso na CLI.
Bom valor para decisão de instalação em contextos OT/ICS, porque diz explicitamente quando usar e quando não usar a skill, reduzindo o risco de aplicação inadequada.

Pontos de atenção

Não há comando de instalação no SKILL.md, então o usuário precisa inferir a configuração e a integração em vez de seguir um caminho de instalação em um passo só.
A skill é voltada à detecção e depende de visibilidade de rede e de uma linha de base do comportamento normal do Modbus, portanto não é imediatamente útil em ambientes sem SPAN/TAP ou logs.

Ot Security Ics Modbus Protocol Analysis Ids Scada Threat Detection

Visão geral

Visão geral do skill detecting-modbus-command-injection-attacks

O que este skill faz

O skill detecting-modbus-command-injection-attacks ajuda você a identificar atividades suspeitas de Modbus TCP/RTU que podem indicar injeção de comandos, gravações não autorizadas ou abuso de protocolo em redes ICS e SCADA. Ele é mais útil para analistas de segurança e defensores de OT que precisam transformar telemetria bruta de Modbus em um plano prático de detecção, e não apenas em um texto genérico sobre “anomalia”.

Quem deve instalar

Instale o detecting-modbus-command-injection-attacks skill se você estiver trabalhando com monitoramento de OT, uma auditoria de segurança de ativos intensivos em Modbus ou triagem de incidentes após mudanças inesperadas em PLCs. Ele se encaixa melhor quando você já tem capturas de pacotes, logs do Zeek ou saída de IDS e precisa de ajuda para decidir o que é realmente suspeito.

Por que ele é diferente

Este skill é focado em padrões de abuso específicos de Modbus: funções de escrita perigosas, códigos de função incomuns, masters não autorizados e desvios do comportamento basal de polling. Isso o torna mais acionável do que um prompt amplo de cibersegurança, especialmente quando você precisa de raciocínio ciente de Modbus em vez de detecção genérica de ameaças de rede.

Como usar o skill detecting-modbus-command-injection-attacks

Instale e inspecione o skill

Use o fluxo detecting-modbus-command-injection-attacks install do seu gerenciador de skills ou adicione o repositório diretamente, e então leia SKILL.md primeiro. Neste repositório, os arquivos de apoio mais úteis são references/api-reference.md, para a lógica de detecção, e scripts/agent.py, para entender como a análise é implementada.

Forneça a entrada certa ao skill

O melhor uso de detecting-modbus-command-injection-attacks começa com evidência concreta: trechos de logs de Modbus, detalhes de pcap, IPs conhecidos de PLC/master, códigos de função esperados e a janela de tempo que você quer analisar. Se você perguntar apenas “isso é um ataque?” sem contexto de tráfego, a saída normalmente ficará abstrata demais para agir.

Transforme uma solicitação vaga em um prompt forte

Um bom prompt para detecting-modbus-command-injection-attacks guide diz em que ambiente você está, qual telemetria tem em mãos e que decisão precisa tomar. Por exemplo: “Analise este log de Modbus do Zeek em busca de operações de escrita não autorizadas. Os masters conhecidos são 10.0.0.5 e 10.0.0.6. Aponte qualquer escrita, códigos de função desconhecidos ou acesso a registradores fora da linha de base.” Isso dá ao skill estrutura suficiente para gerar conclusões orientadas à detecção.

Use um fluxo de trabalho prático

Comece confirmando o transporte Modbus, depois estabeleça uma linha de base para polling normal, códigos de função e masters permitidos. Depois disso, revise funções de escrita como 5, 6, 15, 16, 22 e 23, além de diagnósticos ou rajadas de acesso incomuns. Se você estiver usando o script ou as regras do repositório como referência, valide-os contra seu inventário de ativos e janelas de mudança de OT antes de tratar os alertas como maliciosos.

FAQ do skill detecting-modbus-command-injection-attacks

Isso serve só para ataques a Modbus?

Sim, este skill é específico para detectar detecting-modbus-command-injection-attacks em ambientes Modbus TCP/RTU. Se o seu problema for DNP3, detecção de intrusão geral em TI ou varredura de vulnerabilidades em OT, outro skill será mais adequado.

Preciso de capturas de pacotes para usar?

Não. Logs do Zeek, alertas de IDS ou resumos estruturados de tráfego podem ser suficientes para uma triagem inicial. Capturas de pacotes ajudam mais quando você precisa confirmar códigos de função, frames malformados ou o comportamento exato de escrita.

Em que ele difere de um prompt comum?

Um prompt comum pode identificar tráfego suspeito, mas o detecting-modbus-command-injection-attacks skill é ajustado para semântica de Modbus, códigos de função perigosos, desvios de linha de base e contexto de incidentes de OT. Isso reduz a adivinhação na hora de decidir se um evento é uma mudança de processo, uma ação de manutenção ou uma injeção maliciosa de comando.

Ele é amigável para iniciantes?

Ele pode ser usado por iniciantes, mas funciona melhor quando você consegue informar pelo menos três coisas: o master de Modbus, o segmento monitorado e o comportamento esperado do dispositivo. Sem esse contexto, a saída pode estar tecnicamente correta, mas ampla demais para uma Auditoria de Segurança real ou para revisão de incidente.

Como melhorar o skill detecting-modbus-command-injection-attacks

Forneça primeiro o contexto de linha de base

O maior ganho de qualidade vem de entregar ao skill uma linha de base conhecida e boa: masters permitidos, frequência normal de polling, faixas normais de registradores e quais operações de escrita são esperadas durante manutenção. Isso é especialmente importante para trabalhos de detecting-modbus-command-injection-attacks for Security Audit, em que o comportamento permitido precisa ser separado de mudanças suspeitas.

Inclua o artefato exato e o escopo

Se você quer um uso mais forte de detecting-modbus-command-injection-attacks, cole o tipo de artefato e o escopo reais: campos do Zeek, texto do alerta do Suricata, timestamps do pcap ou uma pequena tabela de eventos. Diga se você quer regras de detecção, triagem ou interpretação de causa raiz, porque cada objetivo pede um formato de saída diferente.

Fique atento aos modos de falha mais comuns

O principal modo de falha é tratar escritas legítimas como maliciosas quando janelas de manutenção ou mudanças de engenharia não foram informadas. Outro é deixar de detectar abuso quando o tráfego contém códigos de função Modbus aparentemente válidos, mas vem de um IP de origem não autorizado ou segue um padrão anormal de rajada. Corrija os dois informando operadores esperados, papéis dos dispositivos e atividades de mudança recentes.

Faça iterações com perguntas de acompanhamento mais específicas

Depois da primeira análise, peça um resultado mais estreito: “liste apenas escritas suspeitas”, “separe atividade provavelmente administrativa de atividade hostil” ou “gere uma detecção para Zeek/Suricata com base nesses eventos”. Se a resposta continuar genérica demais, adicione mais detalhes de protocolo em vez de mais narrativa, porque este skill melhora mais quando você fornece evidência Modbus mais clara, e não um histórico mais amplo.

Avaliações e comentários

Ainda não há avaliações

Compartilhe sua avaliação

Faça login para deixar uma nota e um comentário sobre esta skill.

0/10000

Avaliações mais recentes

Salvando...

Mais skills nesta categoria

security-threat-model

por openai

Skill security-threat-model baseada no repositório para threat modeling em AppSec. Ela mapeia fronteiras de confiança, ativos, objetivos do atacante, caminhos de abuso e mitigações em um threat model conciso em Markdown. Use quando precisar de security-threat-model para Threat Modeling em um repositório ou caminho específico, e não de uma revisão genérica de arquitetura ou de uma checagem de código.

Threat Modeling

Favoritos 0GitHub 0

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner é uma skill focada de auditoria de segurança para Solana, voltada para programas nativos em Rust e Anchor. Ela ajuda a revisar lógica de CPI, validação de PDA, verificações de signer e ownership, além de spoofing de sysvar, para identificar seis vulnerabilidades críticas específicas de Solana antes do deploy.

Security Audit

Favoritos 0GitHub 4.9k

azure-ai-contentsafety-ts

por microsoft

azure-ai-contentsafety-ts ajuda a analisar textos e imagens em busca de conteúdo nocivo com o Azure AI Content Safety em TypeScript. Use esta skill para fluxos de moderação, blocklists e verificações de auditoria de segurança para ódio, violência, conteúdo sexual e autoagressão. Ela também cobre a configuração do endpoint e da autenticação no Azure.

Security Audit

Favoritos 0GitHub 2.3k

sharp-edges

por trailofbits

A skill sharp-edges ajuda você a encontrar APIs, configurações e interfaces em que o caminho mais fácil leva a um uso inseguro. Use-a para revisar fluxos de autenticação, wrappers criptográficos, padrões perigosos de default, semântica de null ou zero e escolhas de design propensas a uso indevido. É uma ótima opção para trabalhos de sharp-edges em Auditoria de Segurança quando você precisa de armadilhas concretas, não de palpites genéricos sobre segurança.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Use a skill security-review para revisar autenticação, entrada de usuário, segredos, APIs, pagamentos, uploads e outros fluxos sensíveis. Ela oferece um guia prático de revisão de segurança com checks claros de aprovação/reprovação, exemplos de padrões arriscados e um processo focado para identificar problemas comuns antes do lançamento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security é um guia prático para fortalecer apps Django com autenticação, autorização, proteção contra CSRF e XSS, prevenção de SQL injection, cookies seguros e configurações de produção. Ele ajuda desenvolvedores e revisores a conduzir uma Security Audit focada, identificar rapidamente configurações arriscadas e aplicar correções concretas antes do deploy.

Security Audit

Favoritos 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

por mukul975

A skill de exploração de armazenamento inseguro em mobile ajuda a avaliar e extrair evidências de armazenamento local inseguro em apps Android e iOS. Ela cobre SharedPreferences, bancos SQLite, arquivos plist, arquivos legíveis por todos, exposição por backup e tratamento fraco de keychain/keystore, apoiando fluxos de mobile pentesting e Security Audit.

Security Audit

Favoritos 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

por mukul975

A skill detecting-s3-data-exfiltration-attempts ajuda a investigar possíveis roubos de dados no AWS S3 correlacionando eventos de dados do S3 no CloudTrail, findings do GuardDuty, alertas do Amazon Macie e padrões de acesso ao S3. Use esta skill detecting-s3-data-exfiltration-attempts para auditoria de segurança, resposta a incidentes e análise de downloads em massa suspeitos.

Security Audit

Favoritos 0GitHub 6.2k

building-incident-response-playbook

por mukul975

O building-incident-response-playbook ajuda equipes de segurança a criar playbooks de resposta a incidentes reutilizáveis, com fases passo a passo, árvores de decisão, critérios de escalonamento, definição de responsabilidades em RACI e estrutura pronta para SOAR. Ele foi pensado para documentação de procedimentos de resposta a incidentes, fluxos de triagem e planos operacionais de resposta com foco em auditoria.

Incident Triage

Favoritos 0GitHub 6.1k

building-patch-tuesday-response-process

por mukul975

building-patch-tuesday-response-process ajuda equipes a criar um processo repetível para Microsoft Patch Tuesday, com triagem de advisories, priorização de risco, testes de patches, aprovação de rollout e acompanhamento de conformidade. É útil para operações de segurança, gestão de vulnerabilidades e para building-patch-tuesday-response-process em gestão de projetos.

Project Management

Favoritos 0GitHub 6.1k

ossfuzz

por trailofbits

Aprenda a skill ossfuzz para configuração de fuzzing contínuo, inscrição de projetos, planejamento de harnesses e revisão do fluxo de build. Este guia ajuda engenheiros de segurança e mantenedores a avaliar a prontidão, identificar bloqueios de build e preparar um caminho prático do código-fonte até o OSS-Fuzz ou uma infraestrutura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

O skill codeql ajuda você a usar o CodeQL com menos pontos cegos durante uma auditoria de segurança. Ele foca na qualidade do banco de dados, na seleção de suites, em extensões de dados e na revisão de SARIF, para que você possa usar o codeql de forma mais confiável entre as linguagens compatíveis. Use-o para seguir etapas repetíveis do guia codeql ao analisar repositórios reais.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

O semgrep-rule-creator cria regras do Semgrep com qualidade de produção para vulnerabilidades de segurança, padrões de bugs, detecções de taint-flow e padrões de codificação. Use o skill semgrep-rule-creator para trabalho de Auditoria de Segurança quando precisar de regras precisas, casos de teste e validação, em vez de um rascunho genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

A skill insecure-defaults ajuda a identificar padrões de configuração fail-open que fazem o software continuar executando com definições inseguras em vez de parar. Use em uma Security Audit de código em produção, configurações de deployment e lógica de tratamento de secrets para detectar autenticação fraca, secrets hardcoded e defaults permissivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis é uma skill de auditoria de segurança para encontrar riscos de side-channel de tempo em código criptográfico antes que virem bugs exploráveis. Use-a para revisar matemática, branches, comparações e saída compilada dependentes de segredo ao analisar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python ou Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide orienta um fluxo de trabalho de segurança em 5 etapas para Solidity: triagem com Slither, checagens específicas por recurso, inspeção visual, anotações de propriedades de segurança e revisão manual. Foi feito para equipes de smart contracts, auditores e builders que querem um guia repeatable de secure-workflow-guide antes do deploy ou do release.

Security Audit

Favoritos 0GitHub 4.9k