Threat Hunting

detecting-lateral-movement-with-zeek là một skill an ninh mạng dựa trên Zeek dành cho threat hunting và ứng phó sự cố. Skill này giúp phát hiện truy cập SMB admin share, tạo dịch vụ DCE/RPC, NTLM spray, bất thường Kerberos và các lần truyền nội bộ đáng ngờ, dựa trên các log Zeek như `conn.log`, `smb_mapping.log`, `smb_files.log`, `dce_rpc.log`, `ntlm.log` và `kerberos.log`.

analyzing-cobaltstrike-malleable-c2-profiles giúp phân tích Cobalt Strike Malleable C2 profiles thành các chỉ báo C2, đặc tính né tránh và ý tưởng phát hiện cho phân tích mã độc, threat hunting và quy trình Security Audit. Skill này dùng dissect.cobaltstrike và pyMalleableC2 để phân tích profile và beacon config.

exploiting-kerberoasting-with-impacket giúp người kiểm thử được ủy quyền lập kế hoạch Kerberoasting bằng `GetUserSPNs.py` của Impacket, từ liệt kê SPN đến trích xuất ticket TGS, bẻ khóa ngoại tuyến và báo cáo có xét đến khả năng bị phát hiện. Hãy dùng hướng dẫn exploiting-kerberoasting-with-impacket này cho quy trình kiểm thử xâm nhập với ngữ cảnh cài đặt và sử dụng rõ ràng.

detecting-shadow-it-cloud-usage giúp phát hiện việc sử dụng SaaS và dịch vụ cloud trái phép từ proxy logs, DNS queries và netflow. Skill này phân loại domain, đối chiếu với danh sách được phê duyệt, và hỗ trợ quy trình kiểm tra an ninh bằng bằng chứng có cấu trúc từ hướng dẫn của detecting-shadow-it-cloud-usage skill.

detecting-service-account-abuse là một skill săn tìm mối đe doạ để phát hiện việc lạm dụng service account trên dữ liệu telemetry từ Windows, AD, SIEM và EDR. Skill này tập trung vào các đăng nhập tương tác đáng ngờ, leo thang đặc quyền, di chuyển ngang và các bất thường trong truy cập, đồng thời cung cấp mẫu săn tìm, event ID và tham chiếu quy trình để hỗ trợ điều tra lặp lại, nhất quán.

detecting-s3-data-exfiltration-attempts giúp điều tra các khả năng đánh cắp dữ liệu trên AWS S3 bằng cách đối chiếu các sự kiện dữ liệu S3 trong CloudTrail, các finding của GuardDuty, cảnh báo Amazon Macie và mẫu truy cập S3. Hãy dùng skill detecting-s3-data-exfiltration-attempts này cho kiểm toán bảo mật, ứng phó sự cố và phân tích các đợt tải xuống hàng loạt đáng ngờ.

detecting-rdp-brute-force-attacks giúp phân tích Windows Security Event Logs để phát hiện mẫu brute force RDP, bao gồm các lần lỗi 4625 lặp lại, đăng nhập 4624 thành công sau nhiều lần thất bại, logon liên quan đến NLA và mức độ tập trung theo source IP. Hãy dùng skill này cho Security Audit, threat hunting và các cuộc điều tra EVTX có thể lặp lại.

analyzing-usb-device-connection-history giúp điều tra lịch sử kết nối thiết bị USB trên Windows bằng các hive registry, event log và `setupapi.dev.log` cho forensic số, điều tra mối đe doạ nội gián và ứng phó sự cố. Skill này hỗ trợ dựng lại timeline, đối chiếu thiết bị và phân tích bằng chứng từ thiết bị lưu trữ rời.

analyzing-browser-forensics-with-hindsight giúp các nhóm Digital Forensics phân tích các artifact của trình duyệt Chromium bằng Hindsight, bao gồm history, downloads, cookies, autofill, bookmarks, metadata thông tin đăng nhập đã lưu, cache và extensions. Dùng nó để tái dựng hoạt động web, xem lại timeline và điều tra các profile của Chrome, Edge, Brave và Opera.

analyzing-bootkit-and-rootkit-samples là một kỹ năng phân tích malware dành cho các cuộc điều tra MBR, VBR, UEFI và rootkit. Hãy dùng nó để kiểm tra boot sector, các mô-đun firmware và các dấu hiệu chống anti-rootkit khi sự xâm nhập vẫn tồn tại bên dưới lớp hệ điều hành. Kỹ năng này phù hợp với nhà phân tích cần một hướng dẫn thực dụng, quy trình rõ ràng và cách phân loại ưu tiên dựa trên bằng chứng cho Malware Analysis.

Kỹ năng detecting-network-anomalies-with-zeek giúp triển khai Zeek để giám sát mạng ở chế độ thụ động, xem lại các log có cấu trúc và xây dựng các phát hiện tùy chỉnh cho beaconing, DNS tunneling và hoạt động giao thức bất thường. Kỹ năng này phù hợp cho threat hunting, ứng phó sự cố, metadata mạng sẵn sàng cho SIEM và quy trình Security Audit — không phải để ngăn chặn inline.

detecting-modbus-protocol-anomalies giúp phát hiện hành vi đáng ngờ của Modbus/TCP và Modbus RTU trong mạng OT và ICS, bao gồm function code không hợp lệ, truy cập register ngoài phạm vi, thời gian polling bất thường, ghi trái phép và frame bị lỗi định dạng. Hữu ích cho Security Audit và triage dựa trên bằng chứng.

detecting-typosquatting-packages-in-npm-pypi giúp nhận diện các package npm và PyPI đáng ngờ bằng cách so sánh độ tương đồng tên, độ mới khi phát hành và các bất thường về lượt tải. Hãy dùng nó cho quy trình audit bảo mật, rà soát dependency và sàng lọc rủi ro chuỗi cung ứng ở bước đầu, với quy trình kiểm tra registry có thể tái lập.

Kỹ năng detecting-t1003-credential-dumping-with-edr dành cho threat hunting với EDR, Sysmon và đối chiếu sự kiện Windows để phát hiện việc đánh cắp thông tin xác thực từ LSASS, SAM, NTDS.dit, LSA secrets và credential đã lưu trong cache. Hãy dùng kỹ năng này để xác thực cảnh báo, khoanh vùng sự cố và giảm false positive bằng quy trình thực hành rõ ràng.

detecting-dcsync-attack-in-active-directory là một skill săn tìm mối đe dọa để phát hiện lạm dụng DCSync trong Active Directory bằng cách đối chiếu các sự kiện 4662, GUID sao chép và các tài khoản DC hợp lệ. Hãy dùng skill này để xác nhận, phân loại ưu tiên và ghi lại hoạt động đánh cắp thông tin xác thực với Splunk, KQL và các script phân tích.

detecting-container-escape-with-falco-rules giúp phát hiện các nỗ lực thoát khỏi container bằng các quy tắc bảo mật runtime Falco. Nội dung tập trung vào tín hiệu syscall, container đặc quyền, lạm dụng đường dẫn của host, khâu xác thực và quy trình ứng phó sự cố cho môi trường Kubernetes và container Linux.

skill detecting-bluetooth-low-energy-attacks dành cho kiểm thử an ninh BLE có ủy quyền. Skill này giúp đánh giá mức độ lộ lọt khi sniffing, rủi ro replay, hành vi lạm dụng liệt kê GATT, giả mạo quảng bá và các dấu hiệu Man-in-the-Middle bằng công cụ BLE thực tế cùng hướng dẫn quy trình làm việc.

Kỹ năng configuring-snort-ids-for-intrusion-detection dành cho việc cài đặt, cấu hình, kiểm tra và tinh chỉnh Snort 3 IDS trên các phân đoạn mạng được ủy quyền. Bao gồm cách sử dụng thực tế, nạp rule, kiểm tra qua CLI, giảm cảnh báo giả và quy trình Security Audit.

analyzing-malware-sandbox-evasion-techniques giúp nhà phân tích mã độc rà soát hành vi trên Cuckoo và AnyRun để tìm các kiểm tra thời gian, truy vấn dấu vết VM, cơ chế chặn tương tác người dùng và sleep inflation. Đây là kỹ năng được xây dựng cho quy trình analyzing-malware-sandbox-evasion-techniques trong phân tích mã độc, nhằm sàng lọc xem một mẫu có đang ẩn mình khỏi sandbox hay không.

analyzing-malware-persistence-with-autoruns là một skill Sysinternals Autoruns dành cho phân tích mã độc. Skill này giúp bạn kiểm tra cơ chế bám trụ trên Windows như Run keys, services, scheduled tasks, Winlogon, drivers và WMI bằng một quy trình lặp lại được, gồm xuất CSV, rà soát các mục đáng ngờ và tạo phát hiện sẵn sàng cho báo cáo.

hunting-advanced-persistent-threats là một kỹ năng săn tìm mối đe dọa để phát hiện hoạt động kiểu APT trên telemetry từ endpoint, mạng và bộ nhớ. Kỹ năng này giúp nhà phân tích xây dựng các lượt săn dựa trên giả thuyết, ánh xạ phát hiện với MITRE ATT&CK, và biến threat intel thành các truy vấn cùng bước điều tra thực tế thay vì chỉ tìm kiếm rời rạc, tùy hứng.

extracting-windows-event-logs-artifacts giúp bạn trích xuất, phân tích cú pháp và phân tích Windows Event Logs (EVTX) cho điều tra số, ứng phó sự cố và săn tìm mối đe dọa. Skill này hỗ trợ rà soát có cấu trúc các sự kiện đăng nhập, tạo tiến trình, cài dịch vụ, tác vụ theo lịch, thay đổi đặc quyền và xóa log bằng Chainsaw, Hayabusa và EvtxECmd.

Hướng dẫn extracting-memory-artifacts-with-rekall để phân tích ảnh bộ nhớ Windows bằng Rekall. Tìm hiểu cách cài đặt và các mẫu sử dụng để phát hiện tiến trình ẩn, mã bị chèn, VAD đáng ngờ, DLL đã nạp và hoạt động mạng phục vụ Digital Forensics.

Hướng dẫn skill extracting-iocs-from-malware-samples cho phân tích malware: trích xuất hash, IP, domain, URL, artifact trên host và tín hiệu xác thực từ mẫu để phục vụ threat intel và phát hiện.