analyzing-ransomware-network-indicators

通过 Zeek conn.log 和 NetFlow 分析,识别勒索软件网络指标,包括 C2 信标模式、TOR 出口节点连接、数据外泄流量和加密密钥交换

9 stars

Best use case

analyzing-ransomware-network-indicators is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

通过 Zeek conn.log 和 NetFlow 分析,识别勒索软件网络指标,包括 C2 信标模式、TOR 出口节点连接、数据外泄流量和加密密钥交换

Teams using analyzing-ransomware-network-indicators should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/analyzing-ransomware-network-indicators/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/analyzing-ransomware-network-indicators/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/analyzing-ransomware-network-indicators/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How analyzing-ransomware-network-indicators Compares

Feature / Agentanalyzing-ransomware-network-indicatorsStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

通过 Zeek conn.log 和 NetFlow 分析,识别勒索软件网络指标,包括 C2 信标模式、TOR 出口节点连接、数据外泄流量和加密密钥交换

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 分析勒索软件网络指标

## 概述

在勒索软件(Ransomware)执行之前和期间,攻击者会建立 C2 通道、外泄数据并下载加密密钥。本技能分析 Zeek conn.log 和 NetFlow 数据,检测信标(Beaconing)模式(定期回调)、连接到已知 TOR 出口节点的行为、大量向外传输数据以及与勒索软件家族相关的可疑 DNS 活动。

## 前置条件

- Zeek conn.log 文件或 NetFlow CSV/JSON 导出
- Python 3.8+ 及标准库
- TOR 出口节点列表(从 Tor Project 或威胁情报(Threat Intelligence)feeds 获取)
- 可选:已知勒索软件 C2 的 IOC 列表

## 步骤

1. **解析连接日志** — 将 Zeek conn.log(TSV)或 NetFlow 记录导入结构化格式
2. **检测信标模式** — 计算连接间隔统计数据(均值、标准差、变异系数)以识别周期性回调
3. **检查 TOR 出口节点连接** — 将目标 IP 与当前 TOR 出口节点列表交叉比对
4. **识别数据外泄(Exfiltration)** — 标记向外部 IP 发送异常高出站字节比率的连接
5. **分析 DNS 模式** — 检测 DGA 类域名查询和高熵子域名
6. **评分与关联** — 对所有指标类型应用综合风险评分
7. **生成报告** — 生成包含时间线和 MITRE ATT&CK 映射的结构化报告

## 预期输出

- 包含信标检测和间隔统计的 JSON 报告
- TOR 出口节点连接告警
- 数据外泄流量分析
- 带 MITRE 映射的综合勒索软件风险评分(T1071、T1573、T1041)

Related Skills

scanning-network-with-nmap-advanced

9
from killvxk/cybersecurity-skills-zh

使用 Nmap 的脚本引擎、时序控制、规避技术和输出解析,对授权目标网络执行高级网络侦察, 发现主机、枚举服务、检测漏洞并识别操作系统。

reverse-engineering-ransomware-encryption-routine

9
from killvxk/cybersecurity-skills-zh

对勒索软件加密例程进行逆向工程,以识别密码学算法、密钥生成缺陷,以及通过静态和动态分析挖掘潜在的解密机会。

recovering-from-ransomware-attack

9
from killvxk/cybersecurity-skills-zh

按照 NIST 和 CISA 框架执行结构化勒索软件事件恢复,包括环境隔离、取证证据保全、 干净基础设施重建、从已验证备份优先还原系统、凭据重置,以及针对再感染的验证。 涵盖 Active Directory 恢复、数据库还原和按依赖顺序重建应用栈。

performing-wireless-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。

performing-ransomware-tabletop-exercise

9
from killvxk/cybersecurity-skills-zh

规划并主持模拟勒索软件(Ransomware)事件的桌面推演,以测试组织的应急准备、决策能力和通信流程。基于当前勒索软件威胁行为者(LockBit、ALPHV/BlackCat、Cl0p)设计真实场景,涵盖双重勒索(Double Extortion)、备份销毁和法规通知要求等注入内容。依据 NIST CSF 和 CISA 指南评估参与者响应。适用于勒索软件桌面推演、事件响应演练或勒索软件应急准备演习等请求。

performing-ransomware-response

9
from killvxk/cybersecurity-skills-zh

执行结构化的勒索软件事件响应,从初始检测到遏制、取证分析、解密评估、恢复和事后加固。 处理勒索谈判考量、备份完整性验证和法规通知要求。适用于勒索软件响应、 勒索软件恢复、加密勒索软件、数据加密攻击、赎金支付决策或勒索软件遏制等请求场景。

performing-ransomware-incident-response

9
from killvxk/cybersecurity-skills-zh

执行结构化的勒索软件事件响应,包括遏制、解密评估、从备份恢复以及根除勒索软件持久化机制。

performing-ot-network-security-assessment

9
from killvxk/cybersecurity-skills-zh

本技能涵盖对运营技术(OT)网络(包括SCADA系统、DCS架构和工业控制系统通信路径)进行全面安全评估。内容涉及Purdue参考模型各层、识别IT/OT融合风险、评估区域间防火墙规则,以及映射工业协议流量(Modbus、DNP3、OPC UA、EtherNet/IP),以检测关键基础设施中的错误配置、未授权连接和攻击面。

performing-network-traffic-analysis-with-zeek

9
from killvxk/cybersecurity-skills-zh

部署 Zeek 网络安全监控器,捕获、解析和分析网络流量元数据,用于威胁检测、异常识别和取证调查。

performing-network-traffic-analysis-with-tshark

9
from killvxk/cybersecurity-skills-zh

使用 tshark 和 pyshark 自动化网络流量分析,进行协议统计、可疑流量检测、DNS 异常识别以及从 PCAP 文件中提取威胁指标(IOC)

performing-network-packet-capture-analysis

9
from killvxk/cybersecurity-skills-zh

使用 Wireshark、tshark 和 tcpdump 对网络数据包捕获(PCAP/PCAPNG)进行取证分析,重建网络通信、提取传输文件、识别恶意流量,并建立数据渗出或命令与控制活动的证据。

performing-network-forensics-with-wireshark

9
from killvxk/cybersecurity-skills-zh

使用 Wireshark 和 tshark 捕获并分析网络流量,重建网络事件、提取制品并识别恶意通信。