Malware

analyzing-bootkit-and-rootkit-samples là một kỹ năng phân tích malware dành cho các cuộc điều tra MBR, VBR, UEFI và rootkit. Hãy dùng nó để kiểm tra boot sector, các mô-đun firmware và các dấu hiệu chống anti-rootkit khi sự xâm nhập vẫn tồn tại bên dưới lớp hệ điều hành. Kỹ năng này phù hợp với nhà phân tích cần một hướng dẫn thực dụng, quy trình rõ ràng và cách phân loại ưu tiên dựa trên bằng chứng cho Malware Analysis.

analyzing-supply-chain-malware-artifacts là một skill phân tích malware dùng để truy vết các bản cập nhật bị cài trojan, dependency bị đầu độc và việc can thiệp vào pipeline build. Hãy dùng nó để so sánh artefact đáng tin cậy và không đáng tin cậy, trích xuất chỉ dấu, đánh giá phạm vi bị xâm nhập, và báo cáo phát hiện với ít phải phỏng đoán hơn.

analyzing-ransomware-payment-wallets là một skill pháp chứng blockchain chỉ đọc, dùng để truy vết ví thanh toán ransomware, theo dõi dòng tiền và gom cụm các địa chỉ liên quan cho kiểm toán bảo mật và ứng phó sự cố. Hãy dùng nó khi bạn có địa chỉ BTC, hash giao dịch hoặc một ví bị nghi ngờ và cần hỗ trợ quy kết có bằng chứng.

Kỹ năng analyzing-ransomware-encryption-mechanisms dành cho phân tích mã độc, tập trung vào việc nhận diện mã hóa ransomware, cách xử lý khóa và khả năng giải mã. Dùng để kiểm tra AES, RSA, ChaCha20, các схем lai (hybrid) và những lỗi triển khai có thể hỗ trợ khôi phục dữ liệu.

analyzing-ransomware-leak-site-intelligence giúp theo dõi các site rò rỉ dữ liệu của ransomware, trích xuất tín hiệu về nạn nhân và nhóm tấn công, đồng thời tạo ra tình báo mối đe dọa có cấu trúc cho ứng phó sự cố, đánh giá rủi ro theo ngành và theo dõi đối thủ.

Hướng dẫn skill extracting-iocs-from-malware-samples cho phân tích malware: trích xuất hash, IP, domain, URL, artifact trên host và tín hiệu xác thực từ mẫu để phục vụ threat intel và phát hiện.

eradicating-malware-from-infected-systems là một kỹ năng ứng phó sự cố an ninh mạng để loại bỏ malware, backdoor và các cơ chế bám trụ sau khi đã cô lập. Kỹ năng này bao gồm hướng dẫn quy trình, các tệp tham chiếu và script cho việc dọn dẹp trên Windows và Linux, xoay vòng thông tin đăng nhập, khắc phục nguyên nhân gốc và xác minh kết quả.

detecting-process-injection-techniques giúp phân tích hoạt động bất thường trong bộ nhớ, xác thực cảnh báo EDR, và nhận diện process hollowing, APC injection, thread hijacking, reflective loading, cùng DLL injection cổ điển cho kiểm toán bảo mật và sàng lọc malware.

analyzing-packed-malware-with-upx-unpacker là một kỹ năng phân tích malware để nhận diện mẫu được đóng gói bằng UPX, xử lý các header UPX đã bị sửa đổi, và khôi phục tệp thực thi gốc để xem xét tĩnh trong Ghidra hoặc IDA. Hãy dùng khi `upx -d` thất bại hoặc khi bạn cần một quy trình kiểm tra packer UPX và giải nén nhanh hơn.

analyzing-memory-dumps-with-volatility là một skill Volatility 3 dành cho phân tích bộ nhớ (memory forensics), sàng lọc mã độc, rà soát process ẩn, injection, hoạt động mạng và thông tin đăng nhập trong RAM dump trên Windows, Linux hoặc macOS. Hãy dùng nó khi bạn cần một hướng dẫn phân tích memory dumps với Volatility có thể lặp lại cho ứng phó sự cố và phân tích mã độc.

analyzing-macro-malware-in-office-documents giúp nhà phân tích mã độc kiểm tra VBA độc hại trong các tệp Word, Excel và PowerPoint, giải mã lớp che giấu, và trích xuất IOC, đường thực thi, cùng logic chuẩn bị payload cho sàng lọc phishing, ứng phó sự cố và phân tích malware tài liệu.

analyzing-golang-malware-with-ghidra giúp nhà phân tích reverse engineer malware biên dịch bằng Go trong Ghidra, với các quy trình khôi phục hàm, trích xuất chuỗi, đọc metadata bản dựng và ánh xạ phụ thuộc. Skill analyzing-golang-malware-with-ghidra hữu ích cho triage malware, ứng phó sự cố và các tác vụ Security Audit cần bước phân tích thực tế, đặc thù cho Go.

analyzing-linux-elf-malware giúp phân tích các tệp nhị phân ELF Linux đáng ngờ phục vụ phân tích mã độc, với hướng dẫn kiểm tra kiến trúc, strings, imports, sàng lọc tĩnh và nhận diện sớm các dấu hiệu botnet, miner, rootkit, ransomware và mối đe dọa trong container.

Kỹ năng detecting-fileless-malware-techniques hỗ trợ các quy trình Malware Analysis để điều tra mã độc fileless chạy trong bộ nhớ qua PowerShell, WMI, .NET reflection, payload nằm trong registry và LOLBins. Hãy dùng kỹ năng này để chuyển từ các cảnh báo đáng ngờ sang bước sàng lọc có bằng chứng, ý tưởng phát hiện và truy tìm tiếp theo.

deobfuscating-javascript-malware giúp nhà phân tích biến JavaScript độc hại bị làm rối nặng thành mã dễ đọc để phục vụ phân tích malware, trang phishing, web skimmer, dropper và payload phân phối qua trình duyệt. Hãy dùng skill deobfuscating-javascript-malware khi cần deobfuscation có cấu trúc, theo dõi bước giải mã và xem xét có kiểm soát, chứ không phải chỉ xử lý mã bị minify đơn giản.

conducting-malware-incident-response giúp các nhóm IR sàng lọc nghi ngờ nhiễm mã độc, xác nhận lây nhiễm, khoanh vùng mức độ lan rộng, cô lập endpoint và hỗ trợ loại bỏ cùng khôi phục. Skill này được thiết kế cho conducting-malware-incident-response trong quy trình Incident Response, với các bước dựa trên bằng chứng, quyết định dựa trên telemetry và hướng dẫn cô lập thực tế.

building-c2-infrastructure-with-sliver-framework giúp các nhóm red team được ủy quyền và công việc kiểm tra an ninh lập kế hoạch, cài đặt và sử dụng hạ tầng C2 dựa trên Sliver với redirector, listener HTTPS, quyền truy cập cho operator và các kiểm tra độ bền. Nội dung bao gồm một hướng dẫn thực hành, các tệp workflow và script trong repo để triển khai và xác thực.

analyzing-windows-registry-for-artifacts giúp nhà phân tích trích xuất bằng chứng từ các hive của Windows Registry để xác định hoạt động người dùng, phần mềm đã cài, autoruns, lịch sử USB và các chỉ dấu xâm nhập phục vụ quy trình điều tra sự cố hoặc Security Audit.

Phân tích bức tranh mối đe dọa bằng MISP với kỹ năng analyzing-threat-landscape-with-misp. Kỹ năng này tóm tắt thống kê sự kiện, phân bố IoC, xu hướng nhóm đe dọa và mã độc, cùng các thay đổi theo thời gian để hỗ trợ báo cáo Threat Intelligence, briefing cho SOC và ưu tiên hunting.

analyzing-pdf-malware-with-pdfid là một kỹ năng sàng lọc mã độc PDF để phát hiện JavaScript nhúng, dấu hiệu khai thác, object stream, tệp đính kèm và các hành vi đáng ngờ trước khi mở file. Kỹ năng này hỗ trợ phân tích tĩnh cho điều tra PDF độc hại, ứng phó sự cố và quy trình bảo mật/audit với analyzing-pdf-malware-with-pdfid.

analyzing-network-traffic-of-malware giúp kiểm tra PCAP và dữ liệu telemetry từ các lần chạy sandbox hoặc điều tra sự cố để tìm C2, exfiltration, tải payload, DNS tunneling và ý tưởng phát hiện. Đây là hướng dẫn thực tế về analyzing-network-traffic-of-malware dành cho Security Audit và phân loại nhanh malware.

analyzing-command-and-control-communication giúp phân tích lưu lượng C2 của malware để nhận diện beaconing, giải mã lệnh, ánh xạ hạ tầng và hỗ trợ Security Audit, threat hunting, cũng như phân loại malware bằng bằng chứng dựa trên PCAP và hướng dẫn quy trình thực tế.