analyzing-cobaltstrike-malleable-c2-profiles
使用 dissect.cobaltstrike 和 pyMalleableC2 解析分析 Cobalt Strike Malleable C2 配置文件,提取 C2 指标、检测规避技术并生成网络检测签名。
Best use case
analyzing-cobaltstrike-malleable-c2-profiles is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
使用 dissect.cobaltstrike 和 pyMalleableC2 解析分析 Cobalt Strike Malleable C2 配置文件,提取 C2 指标、检测规避技术并生成网络检测签名。
Teams using analyzing-cobaltstrike-malleable-c2-profiles should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/analyzing-cobaltstrike-malleable-c2-profiles/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How analyzing-cobaltstrike-malleable-c2-profiles Compares
| Feature / Agent | analyzing-cobaltstrike-malleable-c2-profiles | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
使用 dissect.cobaltstrike 和 pyMalleableC2 解析分析 Cobalt Strike Malleable C2 配置文件,提取 C2 指标、检测规避技术并生成网络检测签名。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 分析 CobaltStrike Malleable C2 配置文件
## 概述
Cobalt Strike Malleable C2 配置文件是领域专用语言脚本,用于定制 Beacon 与团队服务器的通信方式,包括 HTTP 请求/响应转换、休眠间隔、抖动值、User Agent、URI 路径和进程注入行为。威胁行为者使用 Malleable C2 配置文件将 C2 流量伪装成合法服务(Amazon、Google、Slack)。分析这些配置文件可揭示用于检测的网络指标:URI 模式、HTTP 请求头、POST/GET 转换、DNS 设置和进程注入技术。`dissect.cobaltstrike` 库可解析配置文件并从 beacon 载荷中提取配置,而 `pyMalleableC2` 使用 Lark 语法提供基于 AST 的解析,用于程序化配置文件操作和验证。
## 前置条件
- Python 3.9+,安装 `dissect.cobaltstrike` 和/或 `pyMalleableC2`
- 示例 Malleable C2 配置文件(可从公开仓库获取)
- 了解 HTTP 协议和 Cobalt Strike beacon 通信模型
- 网络监控工具(Suricata/Snort)用于部署签名
- PCAP 分析工具用于流量验证
## 工作流程
1. 安装库:`pip install dissect.cobaltstrike` 或 `pip install pyMalleableC2`
2. 使用 `C2Profile.from_path("profile.profile")` 解析配置文件
3. 提取 HTTP GET/POST 块配置(URI、请求头、参数)
4. 识别 User Agent 字符串和伪装目标
5. 提取休眠时间、抖动百分比和 DNS beacon 设置
6. 分析进程注入设置(注入目标进程、分配技术)
7. 从提取的网络指标生成 Suricata/Snort 签名
8. 将配置文件与已知威胁行为者配置文件集合对比
9. 提取分段 URI 和载荷投递机制
10. 生成包含 IOC 和推荐网络签名的检测报告
## 输出格式
JSON 报告,包含提取的 C2 URI、HTTP 请求头、User Agent、休眠/抖动设置、进程注入配置、注入目标进程路径、DNS 设置和生成的 Suricata 兼容检测规则。Related Skills
analyzing-windows-shellbag-artifacts
分析 Windows ShellBag 注册表取证痕迹,使用 SBECmd 和 ShellBags Explorer 重建文件夹浏览活动,检测对可移动介质和网络共享的访问,并在删除后仍能确认用户与目录的交互行为。
analyzing-windows-registry-for-artifacts
提取并分析 Windows 注册表配置单元,以发现用户活动、已安装软件、自启动条目及系统入侵证据。
analyzing-windows-prefetch-with-python
使用 windowsprefetch Python 库解析 Windows Prefetch 文件,重建应用程序执行历史,检测重命名或伪装的二进制文件,并识别可疑的程序执行模式。
analyzing-windows-lnk-files-for-artifacts
解析 Windows LNK 快捷方式文件,提取目标路径、时间戳、卷信息和机器标识符,用于取证时间线重建。
analyzing-windows-event-logs-in-splunk
在 Splunk 中分析 Windows Security、System 和 Sysmon 事件日志,使用映射到 MITRE ATT&CK 技术的 SPL 查询检测身份验证攻击、权限提升(Privilege Escalation)、持久化(Persistence)机制和横向移动 (Lateral Movement)。适用于 SOC 分析师调查基于 Windows 的威胁、构建检测查询,或对 Windows 终端和域控制器执行取证时间线分析。
analyzing-windows-amcache-artifacts
解析并分析 Windows Amcache.hve 注册表配置单元(Registry Hive),提取程序执行证据、文件元数据、 SHA-1 哈希及设备连接历史,用于数字取证(Digital Forensics)和事件响应(Incident Response)调查。
analyzing-web-server-logs-for-intrusion
解析 Apache 和 Nginx 访问日志,检测 SQL 注入(SQL Injection)尝试、本地文件包含(Local File Inclusion)、 目录遍历(Directory Traversal)、Web 扫描器指纹及暴力破解(Brute Force)模式。 使用基于正则表达式的模式匹配对照 OWASP 攻击签名、GeoIP 富化进行来源溯源, 以及针对请求频率和响应大小异常值的统计异常检测。
analyzing-usb-device-connection-history
从 Windows 注册表、事件日志和 setupapi 日志调查 USB 设备连接历史,以追踪可移动存储设备的使用情况和潜在的数据外泄行为。
analyzing-typosquatting-domains-with-dnstwist
使用 dnstwist 生成域名置换变体并识别针对您所在组织已注册的仿冒域名,从而检测域名抢注(Typosquatting)、同形字符钓鱼和品牌冒充域名。
analyzing-tls-certificate-transparency-logs
通过 crt.sh 和 pycrtsh 查询证书透明度(Certificate Transparency)日志,检测钓鱼域名、未授权证书签发和影子 IT。使用 Levenshtein 距离监控新签发证书中的仿域名和品牌仿冒行为。适用于主动检测钓鱼域名和证书监控。
analyzing-threat-landscape-with-misp
使用 MISP(恶意软件信息共享平台)通过查询事件统计、属性分布、威胁行为者 galaxy 集群和标签趋势来分析威胁态势。使用 PyMISP 拉取事件数据、计算 IOC 类型分布、识别顶级威胁行为者和恶意软件家族,并生成含时序趋势的威胁态势报告。
analyzing-threat-intelligence-feeds
分析结构化和非结构化威胁情报(CTI)推送,提取可操作的指标、对手战术和攻击活动上下文。适用于导入商业或开源 CTI 情报、评估情报质量、将数据规范化为 STIX 2.1 格式,或使用攻击活动溯源归因富化现有 IOC 时使用。