analyzing-ransomware-network-indicators
通过 Zeek conn.log 和 NetFlow 分析,识别勒索软件网络指标,包括 C2 信标模式、TOR 出口节点连接、数据外泄流量和加密密钥交换
Best use case
analyzing-ransomware-network-indicators is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
通过 Zeek conn.log 和 NetFlow 分析,识别勒索软件网络指标,包括 C2 信标模式、TOR 出口节点连接、数据外泄流量和加密密钥交换
Teams using analyzing-ransomware-network-indicators should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/analyzing-ransomware-network-indicators/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How analyzing-ransomware-network-indicators Compares
| Feature / Agent | analyzing-ransomware-network-indicators | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
通过 Zeek conn.log 和 NetFlow 分析,识别勒索软件网络指标,包括 C2 信标模式、TOR 出口节点连接、数据外泄流量和加密密钥交换
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 分析勒索软件网络指标 ## 概述 在勒索软件(Ransomware)执行之前和期间,攻击者会建立 C2 通道、外泄数据并下载加密密钥。本技能分析 Zeek conn.log 和 NetFlow 数据,检测信标(Beaconing)模式(定期回调)、连接到已知 TOR 出口节点的行为、大量向外传输数据以及与勒索软件家族相关的可疑 DNS 活动。 ## 前置条件 - Zeek conn.log 文件或 NetFlow CSV/JSON 导出 - Python 3.8+ 及标准库 - TOR 出口节点列表(从 Tor Project 或威胁情报(Threat Intelligence)feeds 获取) - 可选:已知勒索软件 C2 的 IOC 列表 ## 步骤 1. **解析连接日志** — 将 Zeek conn.log(TSV)或 NetFlow 记录导入结构化格式 2. **检测信标模式** — 计算连接间隔统计数据(均值、标准差、变异系数)以识别周期性回调 3. **检查 TOR 出口节点连接** — 将目标 IP 与当前 TOR 出口节点列表交叉比对 4. **识别数据外泄(Exfiltration)** — 标记向外部 IP 发送异常高出站字节比率的连接 5. **分析 DNS 模式** — 检测 DGA 类域名查询和高熵子域名 6. **评分与关联** — 对所有指标类型应用综合风险评分 7. **生成报告** — 生成包含时间线和 MITRE ATT&CK 映射的结构化报告 ## 预期输出 - 包含信标检测和间隔统计的 JSON 报告 - TOR 出口节点连接告警 - 数据外泄流量分析 - 带 MITRE 映射的综合勒索软件风险评分(T1071、T1573、T1041)
Related Skills
scanning-network-with-nmap-advanced
使用 Nmap 的脚本引擎、时序控制、规避技术和输出解析,对授权目标网络执行高级网络侦察, 发现主机、枚举服务、检测漏洞并识别操作系统。
reverse-engineering-ransomware-encryption-routine
对勒索软件加密例程进行逆向工程,以识别密码学算法、密钥生成缺陷,以及通过静态和动态分析挖掘潜在的解密机会。
recovering-from-ransomware-attack
按照 NIST 和 CISA 框架执行结构化勒索软件事件恢复,包括环境隔离、取证证据保全、 干净基础设施重建、从已验证备份优先还原系统、凭据重置,以及针对再感染的验证。 涵盖 Active Directory 恢复、数据库还原和按依赖顺序重建应用栈。
performing-wireless-network-penetration-test
执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。
performing-ransomware-tabletop-exercise
规划并主持模拟勒索软件(Ransomware)事件的桌面推演,以测试组织的应急准备、决策能力和通信流程。基于当前勒索软件威胁行为者(LockBit、ALPHV/BlackCat、Cl0p)设计真实场景,涵盖双重勒索(Double Extortion)、备份销毁和法规通知要求等注入内容。依据 NIST CSF 和 CISA 指南评估参与者响应。适用于勒索软件桌面推演、事件响应演练或勒索软件应急准备演习等请求。
performing-ransomware-response
执行结构化的勒索软件事件响应,从初始检测到遏制、取证分析、解密评估、恢复和事后加固。 处理勒索谈判考量、备份完整性验证和法规通知要求。适用于勒索软件响应、 勒索软件恢复、加密勒索软件、数据加密攻击、赎金支付决策或勒索软件遏制等请求场景。
performing-ransomware-incident-response
执行结构化的勒索软件事件响应,包括遏制、解密评估、从备份恢复以及根除勒索软件持久化机制。
performing-ot-network-security-assessment
本技能涵盖对运营技术(OT)网络(包括SCADA系统、DCS架构和工业控制系统通信路径)进行全面安全评估。内容涉及Purdue参考模型各层、识别IT/OT融合风险、评估区域间防火墙规则,以及映射工业协议流量(Modbus、DNP3、OPC UA、EtherNet/IP),以检测关键基础设施中的错误配置、未授权连接和攻击面。
performing-network-traffic-analysis-with-zeek
部署 Zeek 网络安全监控器,捕获、解析和分析网络流量元数据,用于威胁检测、异常识别和取证调查。
performing-network-traffic-analysis-with-tshark
使用 tshark 和 pyshark 自动化网络流量分析,进行协议统计、可疑流量检测、DNS 异常识别以及从 PCAP 文件中提取威胁指标(IOC)
performing-network-packet-capture-analysis
使用 Wireshark、tshark 和 tcpdump 对网络数据包捕获(PCAP/PCAPNG)进行取证分析,重建网络通信、提取传输文件、识别恶意流量,并建立数据渗出或命令与控制活动的证据。
performing-network-forensics-with-wireshark
使用 Wireshark 和 tshark 捕获并分析网络流量,重建网络事件、提取制品并识别恶意通信。