hunting-for-data-staging-before-exfiltration

通过监控 7-Zip/RAR 压缩文件创建、异常临时目录访问、大文件合并以及暂存目录模式,借助 EDR 和进程遥测检测数据外泄前的暂存活动。

9 stars

Best use case

hunting-for-data-staging-before-exfiltration is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

通过监控 7-Zip/RAR 压缩文件创建、异常临时目录访问、大文件合并以及暂存目录模式,借助 EDR 和进程遥测检测数据外泄前的暂存活动。

Teams using hunting-for-data-staging-before-exfiltration should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/hunting-for-data-staging-before-exfiltration/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/hunting-for-data-staging-before-exfiltration/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/hunting-for-data-staging-before-exfiltration/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How hunting-for-data-staging-before-exfiltration Compares

Feature / Agenthunting-for-data-staging-before-exfiltrationStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

通过监控 7-Zip/RAR 压缩文件创建、异常临时目录访问、大文件合并以及暂存目录模式,借助 EDR 和进程遥测检测数据外泄前的暂存活动。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 狩猎数据外泄前的暂存行为

## 概述

在外泄数据之前,攻击者通常会将收集到的文件集中存储在一个位置(MITRE ATT&CK T1074)。这包括使用 7-Zip、RAR 或 tar 等工具创建压缩文件、从多个目录整合文件,以及使用临时或隐藏的暂存目录。本技能通过分析进程创建日志中的压缩工具活动、监控常用暂存路径的文件系统事件,以及识别异常的文件合并模式来检测暂存行为。

## 前置条件

- 包含进程创建和文件系统事件的 EDR 或 Sysmon 遥测数据
- Windows 事件日志(事件 ID 4688)或 Sysmon 事件 ID 1、11
- Python 3.8+ 及标准库
- 以 JSON/CSV 格式存储的进程创建日志访问权限

## 步骤

1. **检测压缩工具执行** — 监控 7z.exe、rar.exe、tar、zip 和 WinRAR 带压缩参数的进程创建事件
2. **识别暂存目录** — 标记写入常见暂存位置(回收站、%TEMP%、ProgramData、隐藏目录)的文件操作
3. **检测大批文件合并** — 识别从多个目录批量读取后写入单一目录的模式
4. **监控敏感路径访问** — 追踪从文档目录、数据库路径和网络共享的批量读取操作
5. **分析压缩包元数据** — 提取并分析压缩文件的大小、创建时间和源路径
6. **评估暂存风险** — 基于压缩包大小、来源多样性、暂存路径可疑程度和时序进行启发式评分
7. **生成狩猎报告** — 生成包含暂存事件时间线和 MITRE ATT&CK 映射的结构化报告

## 预期输出

- 包含风险评分的已检测暂存事件 JSON 报告
- 含源文件分析的压缩文件创建时间线
- MITRE ATT&CK 映射(T1074.001、T1074.002、T1560)
- 显示可疑写入活动的暂存目录热图

Related Skills

testing-for-sensitive-data-exposure

9
from killvxk/cybersecurity-skills-zh

在安全评估中识别敏感数据暴露漏洞,包括 API 密钥泄露、响应中的 PII、不安全存储以及未受保护的数据传输。

performing-threat-hunting-with-yara-rules

9
from killvxk/cybersecurity-skills-zh

使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。

performing-threat-hunting-with-elastic-siem

9
from killvxk/cybersecurity-skills-zh

使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。

performing-sqlite-database-forensics

9
from killvxk/cybersecurity-skills-zh

对 SQLite 数据库执行取证分析,从空闲列表(Freelist)和 WAL 文件中恢复已删除记录,解码编码时间戳,并从浏览器历史、即时通讯应用和移动设备数据库中提取证据。

implementing-security-monitoring-with-datadog

9
from killvxk/cybersecurity-skills-zh

使用 Datadog 的云安全信息和事件管理(Cloud SIEM)、日志分析和威胁检测能力实施安全监控,识别并响应整个云基础设施中的安全事件。

implementing-pam-for-database-access

9
from killvxk/cybersecurity-skills-zh

为数据库系统(包括 Oracle、SQL Server、PostgreSQL 和 MySQL)部署特权访问管理。涵盖会话代理配置、凭据保管、查询审计、动态凭据生成和最小权限数据库角色。

implementing-gdpr-data-protection-controls

9
from killvxk/cybersecurity-skills-zh

《通用数据保护条例》(EU)2016/679(GDPR)是欧盟关于个人数据收集、处理、存储和传输的综合数据保护法律。本技能涵盖实施 GDPR 要求的技术和组织措施。

implementing-cloud-dlp-for-data-protection

9
from killvxk/cybersecurity-skills-zh

使用 Amazon Macie、Azure Information Protection 和 Google Cloud DLP API 实施云数据丢失预防(DLP),对云存储、数据库和数据管道中的敏感数据进行发现、分类和保护。

implementing-aws-macie-for-data-classification

9
from killvxk/cybersecurity-skills-zh

实施 Amazon Macie,利用机器学习和模式匹配自动发现、分类并保护 S3 存储桶中的敏感数据,包括 PII、金融数据和凭据检测。

implementing-aes-encryption-for-data-at-rest

9
from killvxk/cybersecurity-skills-zh

AES(高级加密标准)是由 NIST(FIPS 197)标准化的对称分组密码,用于保护机密和敏感数据。本技能涵盖在 GCM 模式下实现 AES-256 加密,用于加密静态文件和数据存储,包括正确的密钥派生、IV/nonce 管理和认证加密。

hunting-living-off-the-land-binaries

9
from killvxk/cybersecurity-skills-zh

检测 Windows 事件日志和 Sysmon 遥测数据中对离地攻击(Living Off The Land Binaries,LOLBAS)的滥用, 包括 certutil、wmic、mshta、regsvr32 和 rundll32 等工具。 通过将进程创建事件与 LOLBAS 项目数据库交叉比对来构建检测规则。 适用于针对无文件攻击技术的威胁狩猎或构建 SIEM 检测规则的场景。

hunting-for-webshells-in-web-servers

9
from killvxk/cybersecurity-skills-zh

通过扫描高熵值文件、可疑的 PHP/JSP/ASP 模式(eval、base64_decode、system、passthru)、 Web 根目录中近期修改的文件以及异常文件大小,检测植入 Web 服务器的 Webshell(网页后门)。 使用香农熵(Shannon entropy)计算标记混淆载荷,并通过正则表达式模式匹配已知 Webshell 特征。