detecting-fileless-attacks-on-endpoints

bởi mukul975

detecting-fileless-attacks-on-endpoints giúp xây dựng các phát hiện cho những cuộc tấn công chỉ tồn tại trong bộ nhớ trên endpoint Windows, bao gồm lạm dụng PowerShell, duy trì bám trụ qua WMI, reflective loading và tiêm tiến trình. Phù hợp cho Security Audit, săn tìm mối đe dọa và kỹ thuật phát hiện với Sysmon, AMSI và PowerShell logging.

Stars0

Yêu thích0

Bình luận0

Đã thêm9 thg 5, 2026

Danh mụcSecurity Audit

Lệnh cài đặt

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-fileless-attacks-on-endpoints

Điểm tuyển chọn

Skill này đạt 78/100, cho thấy đây là một ứng viên khá vững cho người dùng danh mục cần hướng dẫn phát hiện fileless attack trên endpoint. Repository cung cấp một quy trình thực tế, yêu cầu telemetry cụ thể và các mẫu/script phát hiện có thể tái sử dụng, nên tác nhân có thể kích hoạt và áp dụng với ít phỏng đoán hơn so với một prompt chung chung. Tuy vậy, nó vẫn còn hạn chế ở chỗ không có lệnh cài đặt và một số chi tiết triển khai còn chưa thật mượt, nên người dùng nên kỳ vọng một quy trình thực dụng nhưng chưa hoàn toàn hoàn thiện.

78/100

Điểm mạnh

Nêu rõ tác nhân kích hoạt và phạm vi: malware fileless, tấn công trong bộ nhớ, lạm dụng PowerShell và duy trì bám trụ qua WMI
Nội dung vận hành có đủ phần tiền đề, các bước quy trình, event ID, ví dụ kiểu Sigma/Splunk và mapping MITRE
Tệp hỗ trợ tăng giá trị sử dụng: script quét log, tài liệu tham chiếu và một mẫu telemetry có thể tái dùng

Điểm cần lưu ý

Không có lệnh cài đặt trong SKILL.md, nên việc áp dụng có thể cần thiết lập thủ công và tự diễn giải
Một số đoạn trích nguồn cho thấy chi tiết script/tài liệu bị cắt ngắn hoặc chưa thật chuẩn, có thể gây ma sát nhỏ khi triển khai

Endpoint Security Malware Analysis Powershell Sysmon Microsoft Defender Crowdstrike Sentinel Siem

Tổng quan

Tổng quan về skill detecting-fileless-attacks-on-endpoints

Skill này làm gì

Skill detecting-fileless-attacks-on-endpoints giúp bạn xây dựng các detection cho những cuộc tấn công “sống trong bộ nhớ”, lạm dụng công cụ hợp lệ và để lại rất ít hoặc hầu như không có file bị thả xuống đĩa. Skill này nhắm đến các nhà phòng thủ endpoint cần logic phát hiện thực chiến cho hành vi lạm dụng PowerShell, persistence qua WMI, reflective loading và process injection.

Skill này dành cho ai

Hãy dùng skill detecting-fileless-attacks-on-endpoints cho Security Audit, detection engineering và threat hunting trên endpoint Windows. Đây là lựa chọn phù hợp nếu bạn cần biến telemetry thành rule, chứ không chỉ phân tích malware sau khi sự việc đã xảy ra.

Điểm nổi bật

Giá trị chính của skill này là tính vận hành: nó kết nối các điều kiện tiên quyết về telemetry, mapping kỹ thuật và quy trình detection để bạn đi từ “hành vi đáng ngờ chỉ tồn tại trong bộ nhớ” đến một bộ rule có thể triển khai. Nó mạnh hơn một prompt chung chung khi bạn cần các tín hiệu endpoint như Sysmon, AMSI và PowerShell logging để định hình câu trả lời.

Cách dùng skill detecting-fileless-attacks-on-endpoints

Cài đặt và kích hoạt

Cài skill bằng npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-fileless-attacks-on-endpoints. Sau đó gọi skill với một mục tiêu có nêu rõ môi trường, nguồn log và bề mặt tấn công bạn quan tâm, chẳng hạn PowerShell, WMI hoặc process injection.

Đưa đầu vào đúng dạng

Để có detecting-fileless-attacks-on-endpoints usage tốt nhất, hãy cung cấp:

loại endpoint và phiên bản OS
telemetry hiện có: Sysmon, PowerShell 4104, AMSI, EDR, SIEM
kỹ thuật hoặc dấu hiệu nghi vấn: encoded PowerShell, reflective DLL injection, WMI event subscription
đầu ra mong muốn: detection logic, hunt query, triage checklist hoặc review khoảng trống telemetry

Prompt mạnh hơn: “Xây dựng kế hoạch detection cho fileless attacks trên endpoint Windows 11 với Sysmon, PowerShell Script Block Logging và Microsoft Defender. Tập trung vào PowerShell download cradle, WMI persistence và encoded commands.”

Đọc các file này trước

Để có luồng detecting-fileless-attacks-on-endpoints install và sử dụng nhanh nhất, hãy đọc SKILL.md trước, rồi đến assets/template.md để xem cấu trúc báo cáo, references/api-reference.md cho event IDs và pattern truy vấn, references/standards.md cho ATT&CK mapping, và references/workflows.md cho quy trình end-to-end. Nếu bạn định tự động hóa hoặc kiểm tra hành vi, hãy xem thêm scripts/agent.py và scripts/process.py để biết skill này thực sự tìm kiếm những chỉ báo nào.

Quy trình cho đầu ra tốt hơn

Hãy dùng skill theo thứ tự này: bật telemetry, xác nhận độ phủ sự kiện, phác thảo detection logic, map từng rule với một technique, rồi tinh chỉnh để giảm nhiễu. Thứ tự đó rất quan trọng vì detection fileless thường thất bại nhất khi log không đầy đủ hoặc khi rule được viết trước khi xác minh telemetry.

Câu hỏi thường gặp về skill detecting-fileless-attacks-on-endpoints

Đây chỉ dành cho fileless malware thôi sao?

Không. Skill detecting-fileless-attacks-on-endpoints cũng bao phủ các kiểu lạm dụng living-off-the-land có thể bắt đầu từ script, launcher hoặc persistence dựa trên registry. Nó được thiết kế cho hành vi tập trung vào bộ nhớ, không phải malware cổ điển thả file xuống đĩa.

Tôi có cần kinh nghiệm detection engineering trước không?

Không nhất thiết. Người mới vẫn có thể dùng skill này nếu đã hiểu stack logging của mình và mô tả được hành vi đáng ngờ. Vướng mắc lớn nhất thường không phải kỹ năng, mà là telemetry thiếu hoặc đầu vào quá mơ hồ.

Nó khác gì một prompt bình thường?

Một prompt bình thường có thể tạo ra các ý tưởng hunting chung chung. detecting-fileless-attacks-on-endpoints skill hữu ích hơn khi bạn cần hỗ trợ quy trình dành riêng cho endpoint: cần log gì, query gì, pattern nào quan trọng, và loại trừ điều gì vì nó nằm ngoài phạm vi fileless.

Khi nào không nên dùng?

Không nên dùng cho phân tích malware dựa trên file, playbook incident response diện rộng, hoặc các tác vụ reverse engineering tập trung vào binary thay vì dấu vết thực thi trên endpoint. Nó cũng là lựa chọn kém nếu môi trường của bạn không có dữ liệu PowerShell, Sysmon hoặc AMSI có thể dùng được.

Cách cải thiện skill detecting-fileless-attacks-on-endpoints

Bắt đầu bằng các факт telemetry cụ thể

Cách cải thiện tốt nhất cho detecting-fileless-attacks-on-endpoints là nêu rõ chính xác những gì đang được bật. “Chúng tôi có EDR” là quá mơ hồ; “Sysmon Event IDs 1, 8, 19, 20, 21 và PowerShell 4104 đã bật, nhưng không có AMSI” sẽ giúp skill tránh đưa ra khuyến nghị phi thực tế.

Gọi tên technique và tiêu chí thành công

Hãy nói rõ bạn muốn detection cho encoded commands, reflective assembly loading, WMI persistence hay Defender tampering. Đồng thời nêu “kết quả tốt” là gì: một SIEM query, bản nháp rule, checklist triage hay đánh giá khoảng trống telemetry. Như vậy đầu ra sẽ hẹp hơn và detecting-fileless-attacks-on-endpoints guide sẽ thực dụng hơn.

Cung cấp ví dụ rồi yêu cầu tinh chỉnh

Nếu bạn có sample alert, một script block đáng ngờ hoặc đoạn log ngắn, hãy đưa vào. Khi đó skill có thể neo rule vào hành vi quan sát được thay vì chỉ dựa trên pattern chung chung. Sau vòng đầu, hãy yêu cầu nó giảm false positives, bổ sung ATT&CK mapping, hoặc tách một rule quá ồn thành hai detection hẹp hơn để dùng cho Security Audit.

Đánh giá & nhận xét

Chưa có đánh giá nào

Chia sẻ nhận xét của bạn

Đăng nhập để chấm điểm và để lại nhận xét cho skill này.

0/10000

Nhận xét mới nhất

Đang lưu...

Thêm skill trong danh mục này

security-threat-model

bởi openai

Skill security-threat-model bám theo repository để hỗ trợ mô hình hóa mối đe dọa trong AppSec. Skill này giúp chuyển các ranh giới tin cậy, tài sản, mục tiêu của kẻ tấn công, đường đi lạm dụng và biện pháp giảm thiểu thành một threat model Markdown ngắn gọn. Hãy dùng khi bạn cần security-threat-model cho Threat Modeling trên một repo hoặc đường dẫn cụ thể, không phải để review kiến trúc chung hay kiểm tra code.

Threat Modeling

Yêu thích 0GitHub 0

solana-vulnerability-scanner

bởi trailofbits

solana-vulnerability-scanner là một skill kiểm toán bảo mật Solana chuyên sâu dành cho các chương trình native Rust và Anchor. Skill này hỗ trợ rà soát logic CPI, xác thực PDA, kiểm tra signer và quyền sở hữu, cùng nguy cơ giả mạo sysvar để phát hiện sáu lỗ hổng nghiêm trọng đặc thù Solana trước khi triển khai.

Security Audit

Yêu thích 0GitHub 4.9k

azure-ai-contentsafety-ts

bởi microsoft

azure-ai-contentsafety-ts giúp phân tích văn bản và hình ảnh để phát hiện nội dung có hại bằng Azure AI Content Safety trong TypeScript. Dùng skill này cho quy trình kiểm duyệt, blocklist và kiểm tra an toàn để rà soát nội dung thù ghét, bạo lực, tình dục và tự làm hại bản thân. Skill cũng bao gồm phần thiết lập Azure endpoint và xác thực.

Security Audit

Yêu thích 0GitHub 2.3k

sharp-edges

bởi trailofbits

Kỹ năng sharp-edges giúp bạn tìm ra các API, cấu hình và giao diện mà “đi theo đường dễ nhất” lại dẫn tới việc sử dụng không an toàn. Hãy dùng nó để rà soát luồng xác thực, các lớp bao bọc mật mã, mặc định nguy hiểm, ngữ nghĩa null hoặc zero, và những lựa chọn thiết kế dễ bị dùng sai. Đây là lựa chọn rất phù hợp cho công việc sharp-edges trong Security Audit khi bạn cần các điểm dễ “vấp” cụ thể, chứ không phải những phỏng đoán bảo mật chung chung.

Security Audit

Yêu thích 0GitHub 5k

security-review

bởi affaan-m

Dùng skill security-review để rà soát auth, đầu vào người dùng, secrets, APIs, thanh toán, uploads và các luồng nhạy cảm khác. Skill này cung cấp một hướng dẫn security-review thực tế với các kiểm tra pass/fail rõ ràng, ví dụ về mẫu thiết kế rủi ro, và quy trình tập trung để phát hiện các lỗi phổ biến trước khi phát hành.

Security Audit

Yêu thích 0GitHub 156.3k

django-security

bởi affaan-m

django-security là một hướng dẫn thực hành để tăng cường bảo mật cho các ứng dụng Django với xác thực, phân quyền, ngăn CSRF, XSS, SQL injection, cookie an toàn và thiết lập production. Skill này giúp lập trình viên và người rà soát thực hiện một Security Audit tập trung, nhanh chóng phát hiện cấu hình rủi ro và áp dụng các bản sửa cụ thể trước khi triển khai.

Security Audit

Yêu thích 0GitHub 156.1k

exploiting-insecure-data-storage-in-mobile

bởi mukul975

Kỹ năng khai thác lưu trữ dữ liệu không an toàn trên mobile giúp đánh giá và trích xuất bằng chứng từ bộ nhớ cục bộ kém an toàn trong ứng dụng Android và iOS. Kỹ năng này bao phủ SharedPreferences, cơ sở dữ liệu SQLite, file plist, file có thể đọc công khai, rò rỉ qua bản sao lưu, và cách xử lý yếu keychain/keystore trong các workflow pentest mobile và Security Audit.

Security Audit

Yêu thích 0GitHub 6.2k

detecting-s3-data-exfiltration-attempts

bởi mukul975

detecting-s3-data-exfiltration-attempts giúp điều tra các khả năng đánh cắp dữ liệu trên AWS S3 bằng cách đối chiếu các sự kiện dữ liệu S3 trong CloudTrail, các finding của GuardDuty, cảnh báo Amazon Macie và mẫu truy cập S3. Hãy dùng skill detecting-s3-data-exfiltration-attempts này cho kiểm toán bảo mật, ứng phó sự cố và phân tích các đợt tải xuống hàng loạt đáng ngờ.

Security Audit

Yêu thích 0GitHub 6.2k

building-incident-response-playbook

bởi mukul975

building-incident-response-playbook giúp các đội ngũ bảo mật tạo playbook ứng phó sự cố có thể tái sử dụng, với các giai đoạn từng bước, cây quyết định, tiêu chí leo thang, phân công RACI và cấu trúc sẵn sàng cho SOAR. Công cụ này được thiết kế cho tài liệu quy trình ứng phó sự cố, luồng triage sự cố và các kế hoạch phản ứng vận hành thân thiện với kiểm toán.

Incident Triage

Yêu thích 0GitHub 6.1k

building-patch-tuesday-response-process

bởi mukul975

building-patch-tuesday-response-process giúp các nhóm xây dựng quy trình Microsoft Patch Tuesday có thể lặp lại để phân loại khuyến nghị bảo mật, ưu tiên rủi ro, kiểm thử bản vá, phê duyệt triển khai và theo dõi tuân thủ. Hữu ích cho vận hành an ninh, quản lý lỗ hổng và building-patch-tuesday-response-process trong Quản lý dự án.

Project Management

Yêu thích 0GitHub 6.1k

ossfuzz

bởi trailofbits

Tìm hiểu kỹ năng ossfuzz cho thiết lập fuzzing liên tục, đăng ký dự án, lập kế hoạch harness và rà soát quy trình build. Hướng dẫn này giúp kỹ sư bảo mật và người duy trì đánh giá mức độ sẵn sàng, phát hiện điểm nghẽn khi build, và chuẩn bị lộ trình thực tế từ cây mã nguồn đến OSS-Fuzz hoặc hạ tầng fuzzing riêng.

Security Audit

Yêu thích 0GitHub 5k

codeql

bởi trailofbits

Skill codeql giúp bạn chạy CodeQL với ít điểm mù hơn trong quá trình kiểm toán bảo mật. Nó tập trung vào chất lượng cơ sở dữ liệu, lựa chọn bộ suite, data extensions và rà soát SARIF để bạn có thể dùng codeql một cách đáng tin cậy hơn trên các ngôn ngữ được hỗ trợ. Hãy dùng nó cho các bước hướng dẫn codeql lặp lại khi phân tích kho mã nguồn thực tế.

Security Audit

Yêu thích 0GitHub 5k

semgrep-rule-creator

bởi trailofbits

semgrep-rule-creator tạo các quy tắc Semgrep chất lượng sản xuất cho lỗ hổng bảo mật, mẫu lỗi, phát hiện taint-flow và tiêu chuẩn mã hóa. Hãy dùng skill semgrep-rule-creator cho công việc Security Audit khi bạn cần quy tắc chính xác, test case và bước xác thực thay vì một bản nháp chung chung.

Security Audit

Yêu thích 0GitHub 5k

insecure-defaults

bởi trailofbits

Skill insecure-defaults giúp phát hiện các mẫu cấu hình fail-open, tức phần mềm vẫn chạy với thiết lập không an toàn thay vì dừng lại. Hãy dùng nó cho Security Audit mã production, cấu hình triển khai và logic xử lý secret để bắt các lỗi như xác thực yếu, secret hardcoded và default quá rộng.

Security Audit

Yêu thích 0GitHub 5k

constant-time-analysis

bởi trailofbits

constant-time-analysis là một kỹ năng kiểm toán bảo mật để phát hiện rủi ro kênh kề thời gian trong mã mật mã trước khi chúng biến thành lỗi có thể khai thác. Hãy dùng nó để rà soát các phép toán phụ thuộc bí mật, nhánh rẽ, phép so sánh và đầu ra sau biên dịch khi kiểm tra C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python hoặc Ruby.

Security Audit

Yêu thích 0GitHub 5k

secure-workflow-guide

bởi trailofbits

secure-workflow-guide hướng dẫn quy trình bảo mật Solidity gồm 5 bước: sàng lọc bằng Slither, kiểm tra theo từng tính năng, rà soát trực quan, ghi chú thuộc tính bảo mật và review thủ công. Đây là bộ hướng dẫn dành cho đội ngũ smart contract, auditor và builder muốn có một quy trình secure-workflow-guide lặp lại được trước khi triển khai hoặc phát hành.

Security Audit

Yêu thích 0GitHub 4.9k