analyzing-cobalt-strike-malleable-profiles

使用 pyMalleableC2 解析 Cobalt Strike 可延展 C2 配置文件,提取 Beacon 配置、HTTP 通信模式以及休眠/抖动设置。结合 JARM TLS 指纹识别在网络上检测 C2 服务器。适用于调查疑似 Cobalt Strike 基础设施或为 C2 流量构建检测签名。

9 stars

Best use case

analyzing-cobalt-strike-malleable-profiles is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用 pyMalleableC2 解析 Cobalt Strike 可延展 C2 配置文件,提取 Beacon 配置、HTTP 通信模式以及休眠/抖动设置。结合 JARM TLS 指纹识别在网络上检测 C2 服务器。适用于调查疑似 Cobalt Strike 基础设施或为 C2 流量构建检测签名。

Teams using analyzing-cobalt-strike-malleable-profiles should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/analyzing-cobalt-strike-malleable-profiles/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/analyzing-cobalt-strike-malleable-profiles/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/analyzing-cobalt-strike-malleable-profiles/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How analyzing-cobalt-strike-malleable-profiles Compares

Feature / Agentanalyzing-cobalt-strike-malleable-profilesStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用 pyMalleableC2 解析 Cobalt Strike 可延展 C2 配置文件,提取 Beacon 配置、HTTP 通信模式以及休眠/抖动设置。结合 JARM TLS 指纹识别在网络上检测 C2 服务器。适用于调查疑似 Cobalt Strike 基础设施或为 C2 流量构建检测签名。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 分析 Cobalt Strike 可延展配置文件

## 使用说明

使用 pyMalleableC2 库解析可延展 C2 配置文件,提取失陷指标(IOC)和检测机会。结合 JARM 指纹识别来识别 C2 服务器。

```python
from malleablec2 import Profile

# 从文件解析可延展配置文件
profile = Profile.from_file("amazon.profile")

# 提取全局选项(休眠时间、抖动、User-Agent)
print(profile.ast.pretty())

# 获取 HTTP-GET 块的 URI 和 Headers,用于构建网络签名
# 获取 HTTP-POST 块中的数据外泄模式
# 对已知 C2 基础设施生成 JARM 指纹
```

关键分析步骤:
1. 解析可延展配置文件,提取 HTTP-GET/POST URI 模式
2. 提取 User-Agent 字符串和自定义 Headers,用于 IDS 签名
3. 识别休眠时间和抖动,用于设置 Beacon 检测阈值
4. 使用 JARM 扫描可疑 IP,与已知 C2 指纹哈希进行匹配
5. 将提取的 IOC 与网络流量日志进行交叉参考

## 示例

```python
# 解析配置文件并提取检测指标
from malleablec2 import Profile
p = Profile.from_file("cobaltstrike.profile")
print(p)  # 重建的源码

# 对可疑 C2 服务器进行 JARM 扫描
import subprocess
result = subprocess.run(
    ["python3", "jarm.py", "suspect-server.com"],
    capture_output=True, text=True
)
print(result.stdout)
# 将指纹与已知 CS JARM 哈希进行比对
```

Related Skills

hunting-for-cobalt-strike-beacons

9
from killvxk/cybersecurity-skills-zh

使用默认 TLS 证书签名(序列号 8BB00EE)、JA3/JA3S/JARM 指纹、HTTP C2 配置文件模式匹配、信标抖动分析和命名管道检测,通过 Zeek、Suricata 和 Python PCAP 分析检测 Cobalt Strike 信标网络活动。

deploying-edr-agent-with-crowdstrike

9
from killvxk/cybersecurity-skills-zh

在企业端点上部署和配置 CrowdStrike Falcon EDR 代理,实现实时威胁检测、行为分析和自动化响应。 适用于将端点接入 EDR 覆盖范围、配置检测策略,或将 Falcon 遥测数据与 SIEM 平台集成的场景。

analyzing-windows-shellbag-artifacts

9
from killvxk/cybersecurity-skills-zh

分析 Windows ShellBag 注册表取证痕迹,使用 SBECmd 和 ShellBags Explorer 重建文件夹浏览活动,检测对可移动介质和网络共享的访问,并在删除后仍能确认用户与目录的交互行为。

analyzing-windows-registry-for-artifacts

9
from killvxk/cybersecurity-skills-zh

提取并分析 Windows 注册表配置单元,以发现用户活动、已安装软件、自启动条目及系统入侵证据。

analyzing-windows-prefetch-with-python

9
from killvxk/cybersecurity-skills-zh

使用 windowsprefetch Python 库解析 Windows Prefetch 文件,重建应用程序执行历史,检测重命名或伪装的二进制文件,并识别可疑的程序执行模式。

analyzing-windows-lnk-files-for-artifacts

9
from killvxk/cybersecurity-skills-zh

解析 Windows LNK 快捷方式文件,提取目标路径、时间戳、卷信息和机器标识符,用于取证时间线重建。

analyzing-windows-event-logs-in-splunk

9
from killvxk/cybersecurity-skills-zh

在 Splunk 中分析 Windows Security、System 和 Sysmon 事件日志,使用映射到 MITRE ATT&CK 技术的 SPL 查询检测身份验证攻击、权限提升(Privilege Escalation)、持久化(Persistence)机制和横向移动 (Lateral Movement)。适用于 SOC 分析师调查基于 Windows 的威胁、构建检测查询,或对 Windows 终端和域控制器执行取证时间线分析。

analyzing-windows-amcache-artifacts

9
from killvxk/cybersecurity-skills-zh

解析并分析 Windows Amcache.hve 注册表配置单元(Registry Hive),提取程序执行证据、文件元数据、 SHA-1 哈希及设备连接历史,用于数字取证(Digital Forensics)和事件响应(Incident Response)调查。

analyzing-web-server-logs-for-intrusion

9
from killvxk/cybersecurity-skills-zh

解析 Apache 和 Nginx 访问日志,检测 SQL 注入(SQL Injection)尝试、本地文件包含(Local File Inclusion)、 目录遍历(Directory Traversal)、Web 扫描器指纹及暴力破解(Brute Force)模式。 使用基于正则表达式的模式匹配对照 OWASP 攻击签名、GeoIP 富化进行来源溯源, 以及针对请求频率和响应大小异常值的统计异常检测。

analyzing-usb-device-connection-history

9
from killvxk/cybersecurity-skills-zh

从 Windows 注册表、事件日志和 setupapi 日志调查 USB 设备连接历史,以追踪可移动存储设备的使用情况和潜在的数据外泄行为。

analyzing-typosquatting-domains-with-dnstwist

9
from killvxk/cybersecurity-skills-zh

使用 dnstwist 生成域名置换变体并识别针对您所在组织已注册的仿冒域名,从而检测域名抢注(Typosquatting)、同形字符钓鱼和品牌冒充域名。

analyzing-tls-certificate-transparency-logs

9
from killvxk/cybersecurity-skills-zh

通过 crt.sh 和 pycrtsh 查询证书透明度(Certificate Transparency)日志,检测钓鱼域名、未授权证书签发和影子 IT。使用 Levenshtein 距离监控新签发证书中的仿域名和品牌仿冒行为。适用于主动检测钓鱼域名和证书监控。