Malware Analysis

analyzing-ransomware-network-indicators ajuda a analisar `Zeek conn.log` e `NetFlow` para identificar beaconing de C2, saídas TOR, exfiltração e DNS suspeito em auditorias de segurança e resposta a incidentes.

Guia de extracting-memory-artifacts-with-rekall para analisar imagens de memória do Windows com o Rekall. Aprenda padrões de instalação e uso para encontrar processos ocultos, código injetado, VADs suspeitos, DLLs carregadas e atividade de rede para Forense Digital.

detecting-process-hollowing-technique ajuda a caçar process hollowing (T1055.012) em telemetria do Windows correlacionando execuções suspensas, adulteração de memória, anomalias entre processo pai e filho e evidências de API. Feita para threat hunters, detection engineers e responders que precisam de um detecting-process-hollowing-technique prático para o fluxo de trabalho de Threat Hunting.

detecting-fileless-attacks-on-endpoints ajuda a criar detecções para ataques em memória em endpoints Windows, incluindo abuso de PowerShell, persistência via WMI, reflective loading e injeção de processo. Use este skill para Security Audit, threat hunting e engenharia de detecção com Sysmon, AMSI e logging do PowerShell.

A skill analyzing-windows-amcache-artifacts faz o parsing dos dados do Windows Amcache.hve para recuperar evidências de execução de programas, software instalado, atividade de dispositivos e carregamento de drivers em fluxos de trabalho de DFIR e auditoria de segurança. Ela usa o AmcacheParser e orientações baseadas em regipy para apoiar a extração de artefatos, a correlação por SHA-1 e a revisão de linha do tempo.

Skill de análise de PowerShell Script Block Logging para analisar o Event ID 4104 do Windows PowerShell a partir de arquivos EVTX, reconstruir blocos de script fragmentados e sinalizar comandos ofuscados, payloads codificados, abuso de Invoke-Expression, download cradles e tentativas de bypass do AMSI em trabalhos de auditoria de segurança.

A skill analyzing-network-traffic-of-malware ajuda a inspecionar PCAPs e telemetria de execuções em sandbox ou de resposta a incidentes para encontrar C2, exfiltração, downloads de payload, DNS tunneling e ideias de detecção. É um guia prático de analyzing-network-traffic-of-malware para Security Audit e triagem de malware.

analyzing-malicious-url-with-urlscan ajuda analistas a triagem de links suspeitos com o URLScan.io, inspecionar redirecionamentos, capturas de tela, conteúdo do DOM e chamadas de rede, e transformar os resultados em IOCs e em uma decisão de segurança clara. Use este guia para resposta a phishing, análise de URLs e fluxos de trabalho de Security Audit.

analyzing-heap-spray-exploitation ajuda a analisar exploração por heap spray em memory dumps com Volatility3. Identifica padrões de NOP sled, alocações grandes suspeitas, zonas de pouso de shellcode e evidências de VAD de processo para auditoria de segurança, triagem de malware e validação de exploits.

analyzing-cobalt-strike-beacon-configuration ajuda a extrair e analisar a configuração do Cobalt Strike Beacon a partir de arquivos PE, shellcode e dumps de memória, para identificar infraestrutura de C2, sleep/jitter, user-agent, watermark e detalhes de malleable profile para Security Audit, threat hunting e resposta a incidentes.