Stats
Actions
Tags
Parses Cobalt Strike Malleable C2 profiles using dissect.cobaltstrike and pyMalleableC2 to extract C2 indicators, evasion techniques, and generate Suricata/Snort network detection signatures. Useful for malware analysis and threat hunting.
How this skill is triggered — by the user, by Claude, or both
Slash command
/cybersecurity-skills-zh:analyzing-cobaltstrike-malleable-c2-profilesThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
Cobalt Strike Malleable C2 配置文件是领域专用语言脚本,用于定制 Beacon 与团队服务器的通信方式,包括 HTTP 请求/响应转换、休眠间隔、抖动值、User Agent、URI 路径和进程注入行为。威胁行为者使用 Malleable C2 配置文件将 C2 流量伪装成合法服务(Amazon、Google、Slack)。分析这些配置文件可揭示用于检测的网络指标:URI 模式、HTTP 请求头、POST/GET 转换、DNS 设置和进程注入技术。`dissect.cobaltstrike` 库可解析配置文件并从 beacon 载荷中提取配置,而 `pyMalleableC2` 使用 Lark 语法提供基于 AST 的解析,用于程序化配置文件操作和验证。
Cobalt Strike Malleable C2 配置文件是领域专用语言脚本,用于定制 Beacon 与团队服务器的通信方式,包括 HTTP 请求/响应转换、休眠间隔、抖动值、User Agent、URI 路径和进程注入行为。威胁行为者使用 Malleable C2 配置文件将 C2 流量伪装成合法服务(Amazon、Google、Slack)。分析这些配置文件可揭示用于检测的网络指标:URI 模式、HTTP 请求头、POST/GET 转换、DNS 设置和进程注入技术。dissect.cobaltstrike 库可解析配置文件并从 beacon 载荷中提取配置,而 pyMalleableC2 使用 Lark 语法提供基于 AST 的解析,用于程序化配置文件操作和验证。
dissect.cobaltstrike 和/或 pyMalleableC2pip install dissect.cobaltstrike 或 pip install pyMalleableC2C2Profile.from_path("profile.profile") 解析配置文件JSON 报告,包含提取的 C2 URI、HTTP 请求头、User Agent、休眠/抖动设置、进程注入配置、注入目标进程路径、DNS 设置和生成的 Suricata 兼容检测规则。
npx claudepluginhub killvxk/cybersecurity-skills-zhParse and analyze Cobalt Strike Malleable C2 profiles using dissect.cobaltstrike and pyMalleableC2 to extract C2 indicators, detect evasion techniques, and generate network detection signatures.
Parses and analyzes Cobalt Strike Malleable C2 profiles to extract C2 indicators, detect evasion techniques, and generate network detection signatures.
Parses Cobalt Strike Malleable C2 profiles with dissect.cobaltstrike and pyMalleableC2 to extract C2 indicators, detect evasion techniques, and generate network detection signatures.