conducting-malware-incident-response
响应企业端点的恶意软件感染,识别恶意软件家族、确定感染向量、评估传播范围,并执行根除程序。涵盖从检测到遏制、分析、清除和恢复的完整生命周期。适用于恶意软件响应、恶意软件根除、木马清除、蠕虫遏制、恶意软件分类或受感染端点修复相关请求。
Best use case
conducting-malware-incident-response is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
响应企业端点的恶意软件感染,识别恶意软件家族、确定感染向量、评估传播范围,并执行根除程序。涵盖从检测到遏制、分析、清除和恢复的完整生命周期。适用于恶意软件响应、恶意软件根除、木马清除、蠕虫遏制、恶意软件分类或受感染端点修复相关请求。
Teams using conducting-malware-incident-response should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/conducting-malware-incident-response/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How conducting-malware-incident-response Compares
| Feature / Agent | conducting-malware-incident-response | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
响应企业端点的恶意软件感染,识别恶意软件家族、确定感染向量、评估传播范围,并执行根除程序。涵盖从检测到遏制、分析、清除和恢复的完整生命周期。适用于恶意软件响应、恶意软件根除、木马清除、蠕虫遏制、恶意软件分类或受感染端点修复相关请求。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 恶意软件事件响应(Malware Incident Response)
## 适用场景
- EDR 或杀毒软件检测到一个或多个端点上的恶意软件执行
- 用户报告表明存在恶意软件感染的可疑系统行为
- 威胁情报显示针对该组织所在行业的恶意软件活动
- 网络监控检测到与已知恶意软件 C2 模式一致的信标流量
- 在沙箱中引爆文件后返回恶意结论
**不适用于**研究场景中的恶意软件样本分析;逆向工程请使用专用恶意软件分析流程。
## 前置条件
- 具有进程树可见性和主机隔离能力的 EDR 平台
- 恶意软件沙箱环境(Cuckoo、ANY.RUN、Joe Sandbox、Hybrid Analysis)
- 访问威胁情报平台以进行恶意软件家族识别(VirusTotal、MalwareBazaar)
- 用于证据保全的取证镜像工具(FTK Imager、KAPE)
- 用于端点重建的干净系统镜像或黄金镜像
- MITRE ATT&CK 框架参考以进行技术映射
## 工作流程
### 步骤 1:检测并确认恶意软件存在
验证恶意软件告警并收集初始指标:
- 查看 EDR 告警详情:检测名称、文件路径、哈希(SHA-256)、进程树
- 检查该检测是已知恶意软件家族还是通用启发式检测
- 在 VirusTotal、MalwareBazaar 和内部威胁情报中查询文件哈希
- 检查进程执行链以确定恶意软件的投递方式
```
检测摘要:
文件: C:\Users\jsmith\AppData\Local\Temp\update.exe
SHA-256: a1b2c3d4e5f6...
检测: CrowdStrike: Malware/Qakbot | VirusTotal: 58/72 引擎
父进程: WINWORD.EXE → cmd.exe → powershell.exe → update.exe
投递方式: 邮件附件(Invoice-Nov2025.docm)
网络: 每 60 秒向 185.220.101[.]42:443 发起 HTTPS POST 请求
持久化: 计划任务 "WindowsUpdate" → update.exe
```
### 步骤 2:评估感染范围
确定受影响系统数量及恶意软件的传播方式:
- 使用 EDR 在所有端点中搜索恶意软件哈希、文件名和行为指标
- 检查基于网络的传播(SMB、WMI、PsExec、漏洞利用)
- 查询邮件网关日志中投递邮件的所有收件人
- 从其他内部主机搜索与已识别基础设施的 C2 通信
- 检查所有已识别受感染主机上的持久化机制
### 步骤 3:遏制受感染系统
按照活跃攻陷遏制流程执行遏制措施:
- 通过 EDR 遏制功能对受感染端点进行网络隔离
- 在防火墙和 DNS 处阻断恶意软件 C2 基础设施
- 在 EDR 阻断策略中全组织范围阻断恶意软件哈希
- 从所有邮箱隔离投递邮件(如通过邮件投递)
- 如怀疑存在凭据窃取,禁用受攻陷用户账号
### 步骤 4:分析恶意软件
执行足够的分析以支持完整根除:
- 将样本提交沙箱进行动态分析(行为报告、释放文件、网络 IOC)
- 识别所有持久化机制:注册表键、计划任务、服务、WMI 订阅、启动目录
- 记录所有文件系统产物:释放的文件、修改的文件、创建的目录
- 提取网络 IOC:C2 域名、IP、URL、User-Agent、JA3/JA3S 哈希
- 将观察到的行为映射到 MITRE ATT&CK 技术
```
恶意软件分析摘要 - Qakbot 变体
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
初始访问: T1566.001 - 鱼叉式网络钓鱼附件(.docm)
执行: T1059.001 - PowerShell(编码的下载器)
持久化: T1053.005 - 计划任务
防御规避: T1055.012 - 进程空洞化(explorer.exe)
C2: T1071.001 - 带自定义头部的 HTTPS
收集: T1005 - 本地系统数据(浏览器凭据)
外泄: T1041 - 通过 C2 通道外泄
产物:
- C:\Users\*\AppData\Local\Temp\update.exe(投放器)
- C:\ProgramData\Microsoft\{GUID}\config.dll(载荷)
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\{random}(备份持久化)
- 计划任务:「WindowsUpdate」(主要持久化)
```
### 步骤 5:根除恶意软件
从每个受感染系统中删除所有恶意软件产物:
- 终止恶意进程和注入的线程
- 从所有已识别路径删除恶意软件文件
- 移除持久化机制(计划任务、注册表键、服务、WMI 订阅)
- 如确认存在凭据收割,清空浏览器凭据存储
- 运行完整 EDR 扫描以验证没有产物残留
- 若根除置信度低,从已知干净的黄金镜像重建系统
### 步骤 6:恢复并验证
将系统恢复到生产状态并验证干净状态:
- 分阶段将被遏制系统重新接入网络
- 监控 72 小时内是否出现任何恶意软件指标的复发
- 强制对受感染端点的所有用户重置密码
- 验证整个环境中的 C2 流量已完全停止
- 基于调查中新发现的 IOC 更新检测规则
- 向威胁情报共享合作伙伴(ISAC、MISP)分发 IOC
## 核心概念
| 术语 | 定义 |
|------|------|
| **恶意软件家族(Malware Family)** | 共享代码、基础设施或行为模式的恶意软件变体分类(如 Qakbot、Emotet、Cobalt Strike) |
| **进程空洞化(Process Hollowing)** | 恶意软件以挂起状态创建合法进程、将其内存替换为恶意代码然后继续执行的技术 |
| **信标(Beacon)** | 恶意软件向其 C2 服务器发送的周期性网络通信,通常具有固定间隔和抖动以规避检测 |
| **投放器(Dropper)** | 下载或解包主要载荷的初始恶意软件组件;通常通过网络钓鱼投递 |
| **持久化机制(Persistence Mechanism)** | 恶意软件用于在系统重启后存活的方法(注册表运行键、计划任务、服务、WMI 事件订阅) |
| **IOC(失陷指标,Indicator of Compromise)** | 表明恶意软件存在的可观测产物,如文件哈希、IP 地址、域名或注册表键 |
## 工具与系统
- **CrowdStrike Falcon / Microsoft Defender for Endpoint**:用于检测、遏制和威胁狩猎的 EDR 平台
- **ANY.RUN / Joe Sandbox**:用于动态行为分析的交互式恶意软件沙箱
- **VirusTotal / MalwareBazaar**:用于样本识别和 IOC 丰富化的恶意软件情报平台
- **KAPE(Kroll Artifact Parser and Extractor)**:用于从受感染端点快速采集产物的取证分类工具
- **YARA**:基于观察到的指标创建自定义恶意软件检测规则的模式匹配引擎
## 常见场景
### 场景:Emotet 加载器导致 Cobalt Strike 部署
**背景**:EDR 检测到一个启用宏的文档生成 PowerShell,下载 Emotet DLL,随后加载 Cobalt Strike 信标。45 分钟内三台主机受到感染。
**处理方法**:
1. 立即隔离三台主机并在边界阻断 C2 IP
2. 在邮件网关中搜索原始钓鱼邮件的所有收件人并隔离该邮件
3. 在所有端点扫描 Emotet DLL 哈希和 Cobalt Strike 信标指标
4. 分析 Cobalt Strike 信标配置以提取水印、C2 配置文件和暂存 URL
5. 检查凭据收割(Mimikatz/LSASS 转储)和横向移动产物
6. 根除所有恶意软件产物并重置受影响用户的凭据
**常见陷阱**:
- 只关注 Emotet 而忽略 Cobalt Strike 第二阶段载荷
- 未能提取和阻断 Cobalt Strike Malleable C2 配置文件指标
- 未检查初始检测之外的额外持久化(Emotet 通常安装多个备份持久化机制)
## 输出格式
```
恶意软件事件响应报告
=================================
事件: INC-2025-1547
恶意软件家族:Qakbot(变体:Obama265)
投递向量: 鱼叉式网络钓鱼附件(Invoice-Nov2025.docm)
首次检测: 2025-11-15T14:23:17Z
范围: 4 个端点确认受感染
感染时间线
14:18 UTC - 钓鱼邮件被 jsmith@corp.example.com 接收
14:19 UTC - 宏在 WINWORD.EXE 中执行
14:20 UTC - PowerShell 从暂存服务器下载 update.exe
14:21 UTC - update.exe 建立持久化(计划任务)
14:23 UTC - C2 信标向 185.220.101[.]42 发起连接
14:35 UTC - 通过窃取的凭据横向传播到 WKSTN-087
14:42 UTC - EDR 检测触发,SOC 收到告警
提取的 IOC
文件哈希: [SHA-256 列表]
C2 域名: [域名列表]
C2 IP: [IP 列表]
文件路径: [产物路径]
根除状态
[x] 所有恶意软件产物已从 4 台主机清除
[x] 持久化机制已删除
[x] C2 基础设施已阻断
[x] 受攻陷凭据已重置
[x] 邮件已从所有邮箱隔离
建议
1. 部署 Qakbot 变体检测的 YARA 规则
2. 阻断来自外部发件人文档中的宏执行
3. 在财务工作站实施应用程序白名单
```Related Skills
triaging-security-incident
使用 NIST SP 800-61r3 和 SANS PICERL 框架对安全事件进行初始分类,确定严重性、范围和所需响应行动。 按类型对事件分类,根据业务影响分配优先级,并路由到相应的响应团队。适用于事件分类、 安全告警分类、严重性评估、事件优先级排序或初始事件分析等请求场景。
triaging-security-incident-with-ir-playbook
使用结构化 IR Playbook 对安全事件进行分类和优先排序,确定严重性、分配响应团队并启动适当的响应程序。
reverse-engineering-rust-malware
使用 IDA Pro 和 Ghidra 对 Rust 编译的恶意软件进行逆向工程,掌握处理非空终止字符串、提取 crate 依赖项和 Rust 特有控制流分析的专项技术。
reverse-engineering-malware-with-ghidra
使用 NSA 的 Ghidra 反汇编器和反编译器对恶意软件二进制文件进行逆向工程,在汇编和伪 C 代码层面理解其内部逻辑、密码学例程、C2 协议和规避技术。适用于恶意软件逆向工程、反汇编分析、反编译、二进制分析或理解恶意软件内部机制等请求。
reverse-engineering-dotnet-malware-with-dnspy
使用 dnSpy 反编译器和调试器对 .NET 恶意软件进行逆向工程,分析 C#/VB.NET 源代码,识别混淆技术,提取配置信息,理解包括信息窃取器、远程访问木马(RAT)和加载器在内的恶意功能。适用于 .NET 恶意软件分析、C# 恶意软件反编译、托管代码逆向工程或 .NET 混淆分析等请求。
reverse-engineering-android-malware-with-jadx
使用 JADX 反编译器对恶意 Android APK 文件进行逆向工程,分析 Java/Kotlin 源代码,识别包括数据窃取、C2 通信、权限提升和覆盖攻击在内的恶意功能。检查 Manifest 权限、Receiver、Service 及原生库。适用于 Android 恶意软件分析、APK 逆向工程、移动端恶意软件调查或 Android 威胁分析等请求。
performing-static-malware-analysis-with-pe-studio
使用 PEStudio 对 Windows PE(可移植可执行文件)恶意软件样本进行静态分析, 检查文件头、导入表、字符串、资源和指标,无需执行二进制文件。 识别可疑特征,包括加壳、反分析技术和恶意导入。适用于静态恶意软件分析、 PE 文件检查、Windows 可执行文件分析或执行前恶意软件分级等请求场景。
performing-ransomware-response
执行结构化的勒索软件事件响应,从初始检测到遏制、取证分析、解密评估、恢复和事后加固。 处理勒索谈判考量、备份完整性验证和法规通知要求。适用于勒索软件响应、 勒索软件恢复、加密勒索软件、数据加密攻击、赎金支付决策或勒索软件遏制等请求场景。
performing-ransomware-incident-response
执行结构化的勒索软件事件响应,包括遏制、解密评估、从备份恢复以及根除勒索软件持久化机制。
performing-malware-triage-with-yara
使用 YARA 规则对文件模式、字符串、字节序列和结构特征进行匹配,快速分级和分类恶意软件样本, 识别已知恶意软件家族及可疑指标。涵盖规则编写、扫描和与分析流程的集成。适用于 YARA 规则创建、 恶意软件分类、模式匹配、样本分级或基于签名的检测等请求场景。
performing-malware-persistence-investigation
系统性地调查 Windows 和 Linux 系统上的所有持久化机制,以识别恶意软件如何在重启后存活并维持访问。
performing-malware-ioc-extraction
恶意软件 IOC(失陷指标)提取是指通过分析恶意软件,识别可操作的失陷指标,包括文件哈希、网络指标(C2 域名、IP 地址、URL)、注册表修改、互斥体名称、嵌入字符串和行为产物。