Malware Analysis

detecting-rootkit-activity là một skill Phân tích Phần mềm độc hại giúp tìm các dấu hiệu rootkit như tiến trình ẩn, system call bị hook, cấu trúc kernel bị sửa đổi, module ẩn và các dấu vết mạng bí mật. Skill này dùng đối chiếu đa nguồn và kiểm tra tính toàn vẹn để hỗ trợ xác thực các máy chủ đáng ngờ khi các công cụ tiêu chuẩn cho kết quả không nhất quán.

analyzing-bootkit-and-rootkit-samples là một kỹ năng phân tích malware dành cho các cuộc điều tra MBR, VBR, UEFI và rootkit. Hãy dùng nó để kiểm tra boot sector, các mô-đun firmware và các dấu hiệu chống anti-rootkit khi sự xâm nhập vẫn tồn tại bên dưới lớp hệ điều hành. Kỹ năng này phù hợp với nhà phân tích cần một hướng dẫn thực dụng, quy trình rõ ràng và cách phân loại ưu tiên dựa trên bằng chứng cho Malware Analysis.

Kỹ năng phát hiện hành vi mã độc di động phân tích các ứng dụng Android và iOS đáng ngờ để tìm lạm dụng quyền, hoạt động lúc chạy, chỉ dấu mạng và các mẫu hành vi giống malware. Hãy dùng kỹ năng này cho khâu sàng lọc, ứng phó sự cố và phát hiện hành vi mã độc di động trong quy trình Security Audit, với phân tích có bằng chứng cho thiết bị di động.

analyzing-supply-chain-malware-artifacts là một skill phân tích malware dùng để truy vết các bản cập nhật bị cài trojan, dependency bị đầu độc và việc can thiệp vào pipeline build. Hãy dùng nó để so sánh artefact đáng tin cậy và không đáng tin cậy, trích xuất chỉ dấu, đánh giá phạm vi bị xâm nhập, và báo cáo phát hiện với ít phải phỏng đoán hơn.

analyzing-ransomware-payment-wallets là một skill pháp chứng blockchain chỉ đọc, dùng để truy vết ví thanh toán ransomware, theo dõi dòng tiền và gom cụm các địa chỉ liên quan cho kiểm toán bảo mật và ứng phó sự cố. Hãy dùng nó khi bạn có địa chỉ BTC, hash giao dịch hoặc một ví bị nghi ngờ và cần hỗ trợ quy kết có bằng chứng.

Kỹ năng analyzing-ransomware-encryption-mechanisms dành cho phân tích mã độc, tập trung vào việc nhận diện mã hóa ransomware, cách xử lý khóa và khả năng giải mã. Dùng để kiểm tra AES, RSA, ChaCha20, các схем lai (hybrid) và những lỗi triển khai có thể hỗ trợ khôi phục dữ liệu.

analyzing-ransomware-leak-site-intelligence giúp theo dõi các site rò rỉ dữ liệu của ransomware, trích xuất tín hiệu về nạn nhân và nhóm tấn công, đồng thời tạo ra tình báo mối đe dọa có cấu trúc cho ứng phó sự cố, đánh giá rủi ro theo ngành và theo dõi đối thủ.

Hướng dẫn skill extracting-iocs-from-malware-samples cho phân tích malware: trích xuất hash, IP, domain, URL, artifact trên host và tín hiệu xác thực từ mẫu để phục vụ threat intel và phát hiện.

Kỹ năng extracting-config-from-agent-tesla-rat dành cho Phân tích mã độc: trích xuất cấu hình Agent Tesla .NET, thông tin đăng nhập SMTP/FTP/Telegram, thiết lập keylogger và các endpoint C2 theo quy trình có thể lặp lại.

eradicating-malware-from-infected-systems là một kỹ năng ứng phó sự cố an ninh mạng để loại bỏ malware, backdoor và các cơ chế bám trụ sau khi đã cô lập. Kỹ năng này bao gồm hướng dẫn quy trình, các tệp tham chiếu và script cho việc dọn dẹp trên Windows và Linux, xoay vòng thông tin đăng nhập, khắc phục nguyên nhân gốc và xác minh kết quả.

Skill detecting-stuxnet-style-attacks giúp đội phòng thủ phát hiện các mẫu xâm nhập OT và ICS kiểu Stuxnet, bao gồm sửa đổi logic PLC, giả mạo dữ liệu cảm biến, chiếm quyền máy trạm kỹ sư và di chuyển ngang từ IT sang OT. Hãy dùng skill này cho săn lùng mối đe dọa, phân loại sự cố và giám sát tính toàn vẹn quy trình bằng bằng chứng từ giao thức, máy chủ và tiến trình.

detecting-ransomware-encryption-behavior giúp người phòng thủ phát hiện kiểu mã hóa của ransomware bằng phân tích entropy, giám sát I/O tệp và các heuristic hành vi. Skill này phù hợp cho ứng cứu sự cố, tinh chỉnh SOC và kiểm chứng red-team khi bạn cần nhanh chóng phát hiện thay đổi hàng loạt trên tệp, các đợt đổi tên dồn dập và hoạt động đáng ngờ của tiến trình.

detecting-process-injection-techniques giúp phân tích hoạt động bất thường trong bộ nhớ, xác thực cảnh báo EDR, và nhận diện process hollowing, APC injection, thread hijacking, reflective loading, cùng DLL injection cổ điển cho kiểm toán bảo mật và sàng lọc malware.

analyzing-packed-malware-with-upx-unpacker là một kỹ năng phân tích malware để nhận diện mẫu được đóng gói bằng UPX, xử lý các header UPX đã bị sửa đổi, và khôi phục tệp thực thi gốc để xem xét tĩnh trong Ghidra hoặc IDA. Hãy dùng khi `upx -d` thất bại hoặc khi bạn cần một quy trình kiểm tra packer UPX và giải nén nhanh hơn.

analyzing-memory-dumps-with-volatility là một skill Volatility 3 dành cho phân tích bộ nhớ (memory forensics), sàng lọc mã độc, rà soát process ẩn, injection, hoạt động mạng và thông tin đăng nhập trong RAM dump trên Windows, Linux hoặc macOS. Hãy dùng nó khi bạn cần một hướng dẫn phân tích memory dumps với Volatility có thể lặp lại cho ứng phó sự cố và phân tích mã độc.

analyzing-malicious-pdf-with-peepdf là một kỹ năng phân tích mã độc tĩnh dành cho các tệp PDF đáng ngờ. Dùng peepdf, pdfid và pdf-parser để sàng lọc tệp đính kèm phishing, kiểm tra các đối tượng, trích xuất JavaScript hoặc shellcode nhúng, và xem xét an toàn các luồng dữ liệu đáng ngờ mà không cần thực thi.

analyzing-macro-malware-in-office-documents giúp nhà phân tích mã độc kiểm tra VBA độc hại trong các tệp Word, Excel và PowerPoint, giải mã lớp che giấu, và trích xuất IOC, đường thực thi, cùng logic chuẩn bị payload cho sàng lọc phishing, ứng phó sự cố và phân tích malware tài liệu.

analyzing-linux-kernel-rootkits giúp các quy trình DFIR và săn lùng mối đe dọa phát hiện rootkit kernel Linux bằng các kiểm tra cross-view với Volatility3, quét rkhunter, và phân tích /proc so với /sys để tìm module ẩn, syscall bị hook, và cấu trúc kernel bị can thiệp. Đây là một hướng dẫn phân tích analyzing-linux-kernel-rootkits thực dụng cho sàng lọc pháp chứng ban đầu.

analyzing-golang-malware-with-ghidra giúp nhà phân tích reverse engineer malware biên dịch bằng Go trong Ghidra, với các quy trình khôi phục hàm, trích xuất chuỗi, đọc metadata bản dựng và ánh xạ phụ thuộc. Skill analyzing-golang-malware-with-ghidra hữu ích cho triage malware, ứng phó sự cố và các tác vụ Security Audit cần bước phân tích thực tế, đặc thù cho Go.

analyzing-linux-elf-malware giúp phân tích các tệp nhị phân ELF Linux đáng ngờ phục vụ phân tích mã độc, với hướng dẫn kiểm tra kiến trúc, strings, imports, sàng lọc tĩnh và nhận diện sớm các dấu hiệu botnet, miner, rootkit, ransomware và mối đe dọa trong container.

detecting-mimikatz-execution-patterns giúp nhà phân tích phát hiện việc thực thi Mimikatz bằng các mẫu dòng lệnh, tín hiệu truy cập LSASS, chỉ báo nhị phân và dấu vết bộ nhớ. Hãy dùng skill detecting-mimikatz-execution-patterns để cài đặt cho Security Audit, hunting và ứng phó sự cố, với mẫu, tài liệu tham khảo và hướng dẫn quy trình đi kèm.

Kỹ năng detecting-fileless-malware-techniques hỗ trợ các quy trình Malware Analysis để điều tra mã độc fileless chạy trong bộ nhớ qua PowerShell, WMI, .NET reflection, payload nằm trong registry và LOLBins. Hãy dùng kỹ năng này để chuyển từ các cảnh báo đáng ngờ sang bước sàng lọc có bằng chứng, ý tưởng phát hiện và truy tìm tiếp theo.

detecting-dll-sideloading-attacks giúp các nhóm Security Audit, threat hunting và ứng phó sự cố phát hiện DLL side-loading bằng Sysmon, EDR, MDE và Splunk. Hướng dẫn detecting-dll-sideloading-attacks này bao gồm ghi chú quy trình, mẫu hunt, ánh xạ tiêu chuẩn và các script để biến những lần nạp DLL đáng ngờ thành các phát hiện có thể lặp lại.

deobfuscating-javascript-malware giúp nhà phân tích biến JavaScript độc hại bị làm rối nặng thành mã dễ đọc để phục vụ phân tích malware, trang phishing, web skimmer, dropper và payload phân phối qua trình duyệt. Hãy dùng skill deobfuscating-javascript-malware khi cần deobfuscation có cấu trúc, theo dõi bước giải mã và xem xét có kiểm soát, chứ không phải chỉ xử lý mã bị minify đơn giản.