Incident Response

exploiting-kerberoasting-with-impacket giúp người kiểm thử được ủy quyền lập kế hoạch Kerberoasting bằng `GetUserSPNs.py` của Impacket, từ liệt kê SPN đến trích xuất ticket TGS, bẻ khóa ngoại tuyến và báo cáo có xét đến khả năng bị phát hiện. Hãy dùng hướng dẫn exploiting-kerberoasting-with-impacket này cho quy trình kiểm thử xâm nhập với ngữ cảnh cài đặt và sử dụng rõ ràng.

detecting-service-account-abuse là một skill săn tìm mối đe doạ để phát hiện việc lạm dụng service account trên dữ liệu telemetry từ Windows, AD, SIEM và EDR. Skill này tập trung vào các đăng nhập tương tác đáng ngờ, leo thang đặc quyền, di chuyển ngang và các bất thường trong truy cập, đồng thời cung cấp mẫu săn tìm, event ID và tham chiếu quy trình để hỗ trợ điều tra lặp lại, nhất quán.

detecting-s3-data-exfiltration-attempts giúp điều tra các khả năng đánh cắp dữ liệu trên AWS S3 bằng cách đối chiếu các sự kiện dữ liệu S3 trong CloudTrail, các finding của GuardDuty, cảnh báo Amazon Macie và mẫu truy cập S3. Hãy dùng skill detecting-s3-data-exfiltration-attempts này cho kiểm toán bảo mật, ứng phó sự cố và phân tích các đợt tải xuống hàng loạt đáng ngờ.

detecting-rdp-brute-force-attacks giúp phân tích Windows Security Event Logs để phát hiện mẫu brute force RDP, bao gồm các lần lỗi 4625 lặp lại, đăng nhập 4624 thành công sau nhiều lần thất bại, logon liên quan đến NLA và mức độ tập trung theo source IP. Hãy dùng skill này cho Security Audit, threat hunting và các cuộc điều tra EVTX có thể lặp lại.

detecting-rootkit-activity là một skill Phân tích Phần mềm độc hại giúp tìm các dấu hiệu rootkit như tiến trình ẩn, system call bị hook, cấu trúc kernel bị sửa đổi, module ẩn và các dấu vết mạng bí mật. Skill này dùng đối chiếu đa nguồn và kiểm tra tính toàn vẹn để hỗ trợ xác thực các máy chủ đáng ngờ khi các công cụ tiêu chuẩn cho kết quả không nhất quán.

analyzing-usb-device-connection-history giúp điều tra lịch sử kết nối thiết bị USB trên Windows bằng các hive registry, event log và `setupapi.dev.log` cho forensic số, điều tra mối đe doạ nội gián và ứng phó sự cố. Skill này hỗ trợ dựng lại timeline, đối chiếu thiết bị và phân tích bằng chứng từ thiết bị lưu trữ rời.

analyzing-browser-forensics-with-hindsight giúp các nhóm Digital Forensics phân tích các artifact của trình duyệt Chromium bằng Hindsight, bao gồm history, downloads, cookies, autofill, bookmarks, metadata thông tin đăng nhập đã lưu, cache và extensions. Dùng nó để tái dựng hoạt động web, xem lại timeline và điều tra các profile của Chrome, Edge, Brave và Opera.

analyzing-bootkit-and-rootkit-samples là một kỹ năng phân tích malware dành cho các cuộc điều tra MBR, VBR, UEFI và rootkit. Hãy dùng nó để kiểm tra boot sector, các mô-đun firmware và các dấu hiệu chống anti-rootkit khi sự xâm nhập vẫn tồn tại bên dưới lớp hệ điều hành. Kỹ năng này phù hợp với nhà phân tích cần một hướng dẫn thực dụng, quy trình rõ ràng và cách phân loại ưu tiên dựa trên bằng chứng cho Malware Analysis.

Kỹ năng detecting-network-anomalies-with-zeek giúp triển khai Zeek để giám sát mạng ở chế độ thụ động, xem lại các log có cấu trúc và xây dựng các phát hiện tùy chỉnh cho beaconing, DNS tunneling và hoạt động giao thức bất thường. Kỹ năng này phù hợp cho threat hunting, ứng phó sự cố, metadata mạng sẵn sàng cho SIEM và quy trình Security Audit — không phải để ngăn chặn inline.

detecting-modbus-command-injection-attacks giúp các nhà phân tích an ninh nhận diện hoạt động ghi Modbus TCP/RTU đáng ngờ, function code bất thường, frame lỗi định dạng và các sai lệch so với baseline trong môi trường ICS và SCADA. Hãy dùng skill này cho phân loại sự cố, giám sát OT và Security Audit khi bạn cần hướng dẫn phát hiện theo ngữ cảnh Modbus, chứ không phải một prompt phát hiện bất thường chung chung.

Skill phát hiện BEC giúp nhà phân tích, đội SOC và người ứng phó sự cố nhận diện các cuộc tấn công Business Email Compromise (BEC) bằng kiểm tra header email, dấu hiệu lừa đảo xã hội, logic phát hiện và quy trình xử lý theo hướng phản ứng. Hãy dùng đây như một hướng dẫn thực hành về phát hiện BEC cho việc triage, xác thực và cô lập sự cố.

detecting-azure-lateral-movement giúp nhà phân tích bảo mật săn tìm hành vi di chuyển ngang trong Azure AD/Entra ID và Microsoft Sentinel bằng cách dùng log kiểm tra Microsoft Graph, telemetry đăng nhập và tương quan KQL. Hãy dùng khi triage sự cố, xây dựng detection, và thực hiện quy trình kiểm toán bảo mật liên quan đến lạm dụng consent, lạm dụng service principal, đánh cắp token và pivot xuyên tenant.

Hướng dẫn cấu hình phát hiện xâm nhập dựa trên host để thiết lập HIDS với Wazuh, OSSEC hoặc AIDE, nhằm giám sát tính toàn vẹn tệp, thay đổi hệ thống và bảo mật endpoint theo hướng tuân thủ cho các workflow Security Audit.

hunting-advanced-persistent-threats là một kỹ năng săn tìm mối đe dọa để phát hiện hoạt động kiểu APT trên telemetry từ endpoint, mạng và bộ nhớ. Kỹ năng này giúp nhà phân tích xây dựng các lượt săn dựa trên giả thuyết, ánh xạ phát hiện với MITRE ATT&CK, và biến threat intel thành các truy vấn cùng bước điều tra thực tế thay vì chỉ tìm kiếm rời rạc, tùy hứng.

extracting-windows-event-logs-artifacts giúp bạn trích xuất, phân tích cú pháp và phân tích Windows Event Logs (EVTX) cho điều tra số, ứng phó sự cố và săn tìm mối đe dọa. Skill này hỗ trợ rà soát có cấu trúc các sự kiện đăng nhập, tạo tiến trình, cài dịch vụ, tác vụ theo lịch, thay đổi đặc quyền và xóa log bằng Chainsaw, Hayabusa và EvtxECmd.

Hướng dẫn extracting-memory-artifacts-with-rekall để phân tích ảnh bộ nhớ Windows bằng Rekall. Tìm hiểu cách cài đặt và các mẫu sử dụng để phát hiện tiến trình ẩn, mã bị chèn, VAD đáng ngờ, DLL đã nạp và hoạt động mạng phục vụ Digital Forensics.

Kỹ năng extracting-credentials-from-memory-dump hỗ trợ phân tích các memory dump của Windows để tìm NTLM hash, LSA secret, dữ liệu Kerberos và token bằng quy trình Volatility 3 và pypykatz. Kỹ năng này phù hợp cho Digital Forensics và ứng phó sự cố khi bạn cần bằng chứng có thể bảo vệ được, đánh giá mức độ ảnh hưởng tới tài khoản và hướng dẫn khắc phục từ một dump hợp lệ.

extracting-browser-history-artifacts là một kỹ năng Digital Forensics dùng để trích xuất lịch sử duyệt web, cookie, cache, lượt tải xuống và dấu trang từ Chrome, Firefox và Edge. Hãy dùng nó để chuyển các tệp hồ sơ trình duyệt thành chứng cứ sẵn sàng cho mốc thời gian, với quy trình hướng dẫn có thể lặp lại và bám sát từng vụ việc.

executing-red-team-exercise là một skill an ninh mạng để lập kế hoạch và theo dõi các bài red team sát thực tế. Skill này hỗ trợ mô phỏng đối thủ trên các giai đoạn trinh sát, chọn kỹ thuật, thực thi và rà soát khoảng trống phát hiện, nên rất hữu ích cho công việc Security Audit và các đánh giá bám sát ATT&CK.

eradicating-malware-from-infected-systems là một kỹ năng ứng phó sự cố an ninh mạng để loại bỏ malware, backdoor và các cơ chế bám trụ sau khi đã cô lập. Kỹ năng này bao gồm hướng dẫn quy trình, các tệp tham chiếu và script cho việc dọn dẹp trên Windows và Linux, xoay vòng thông tin đăng nhập, khắc phục nguyên nhân gốc và xác minh kết quả.

Skill detecting-wmi-persistence giúp các chuyên gia săn tìm mối đe doạ và analyst DFIR phát hiện cơ chế tồn tại bền bỉ qua WMI event subscription trong telemetry Windows bằng Sysmon Event IDs 19, 20 và 21. Dùng nó để nhận diện hoạt động độc hại của EventFilter, EventConsumer và FilterToConsumerBinding, xác thực phát hiện và phân tách persistence của kẻ tấn công với tự động hoá quản trị hợp lệ.

Kỹ năng phát hiện tấn công chuỗi cung ứng trong CI/CD dành cho việc kiểm tra GitHub Actions và cấu hình CI/CD. Kỹ năng này giúp phát hiện action chưa ghim phiên bản, chèn script, nhầm lẫn phụ thuộc, lộ bí mật và quyền hạn rủi ro trong các quy trình Security Audit. Dùng nó để rà soát một repo, file workflow hoặc thay đổi pipeline đáng ngờ, kèm phát hiện và cách khắc phục rõ ràng.

Skill detecting-stuxnet-style-attacks giúp đội phòng thủ phát hiện các mẫu xâm nhập OT và ICS kiểu Stuxnet, bao gồm sửa đổi logic PLC, giả mạo dữ liệu cảm biến, chiếm quyền máy trạm kỹ sư và di chuyển ngang từ IT sang OT. Hãy dùng skill này cho săn lùng mối đe dọa, phân loại sự cố và giám sát tính toàn vẹn quy trình bằng bằng chứng từ giao thức, máy chủ và tiến trình.

detecting-ransomware-encryption-behavior giúp người phòng thủ phát hiện kiểu mã hóa của ransomware bằng phân tích entropy, giám sát I/O tệp và các heuristic hành vi. Skill này phù hợp cho ứng cứu sự cố, tinh chỉnh SOC và kiểm chứng red-team khi bạn cần nhanh chóng phát hiện thay đổi hàng loạt trên tệp, các đợt đổi tên dồn dập và hoạt động đáng ngờ của tiến trình.