Malware Analysis

analyzing-ransomware-network-indicators giúp phân tích `Zeek conn.log` và `NetFlow` để phát hiện beaconing C2, TOR exit, exfiltration và DNS đáng ngờ cho kiểm toán bảo mật và ứng phó sự cố.

Hướng dẫn extracting-memory-artifacts-with-rekall để phân tích ảnh bộ nhớ Windows bằng Rekall. Tìm hiểu cách cài đặt và các mẫu sử dụng để phát hiện tiến trình ẩn, mã bị chèn, VAD đáng ngờ, DLL đã nạp và hoạt động mạng phục vụ Digital Forensics.

detecting-process-hollowing-technique giúp săn lùng process hollowing (T1055.012) trong telemetry Windows bằng cách tương quan các lần khởi chạy ở trạng thái treo, hành vi can thiệp bộ nhớ, bất thường quan hệ cha-con và dấu vết API. Được xây dựng cho threat hunter, detection engineer và responder cần một quy trình detecting-process-hollowing-technique thực dụng cho workflow Threat Hunting.

detecting-fileless-attacks-on-endpoints giúp xây dựng các phát hiện cho những cuộc tấn công chỉ tồn tại trong bộ nhớ trên endpoint Windows, bao gồm lạm dụng PowerShell, duy trì bám trụ qua WMI, reflective loading và tiêm tiến trình. Phù hợp cho Security Audit, săn tìm mối đe dọa và kỹ thuật phát hiện với Sysmon, AMSI và PowerShell logging.

Kỹ năng analyzing-windows-amcache-artifacts phân tích dữ liệu Windows Amcache.hve để truy xuất bằng chứng về việc chương trình đã chạy, phần mềm đã cài đặt, hoạt động của thiết bị và việc nạp driver cho quy trình DFIR và kiểm tra bảo mật. Kỹ năng này dùng hướng dẫn dựa trên AmcacheParser và regipy để hỗ trợ trích xuất artifact, đối chiếu SHA-1 và rà soát dòng thời gian.

Kỹ năng analyzing-powershell-script-block-logging dùng để phân tích Windows PowerShell Script Block Logging Event ID 4104 từ file EVTX, tái tạo các script block bị chia nhỏ, và phát hiện lệnh bị làm rối, payload mã hóa, lạm dụng `Invoke-Expression`, download cradle, cùng các nỗ lực vượt qua AMSI cho công việc Security Audit.

analyzing-network-traffic-of-malware giúp kiểm tra PCAP và dữ liệu telemetry từ các lần chạy sandbox hoặc điều tra sự cố để tìm C2, exfiltration, tải payload, DNS tunneling và ý tưởng phát hiện. Đây là hướng dẫn thực tế về analyzing-network-traffic-of-malware dành cho Security Audit và phân loại nhanh malware.

analyzing-malicious-url-with-urlscan giúp nhà phân tích triage các liên kết đáng ngờ bằng URLScan.io, kiểm tra chuyển hướng, ảnh chụp màn hình, nội dung DOM và các lời gọi mạng, rồi chuyển kết quả thành IOC và một quyết định bảo mật rõ ràng. Hãy dùng hướng dẫn này cho phản ứng với phishing, phân tích URL và quy trình Security Audit.

analyzing-heap-spray-exploitation giúp phân tích khai thác heap spray trong memory dump bằng Volatility3. Skill này nhận diện mẫu NOP sled, các vùng cấp phát lớn đáng ngờ, vùng đáp của shellcode và bằng chứng VAD của tiến trình, phù hợp cho Security Audit, sàng lọc malware và xác thực exploit.

analyzing-cobalt-strike-beacon-configuration giúp trích xuất và phân tích cấu hình Cobalt Strike Beacon từ file PE, shellcode và memory dump để xác định hạ tầng C2, sleep/jitter, user-agent, watermark và các chi tiết malleable profile phục vụ Security Audit, threat hunting và incident response.