Stats
Actions
Tags
Guides malware incident response on enterprise endpoints: identifies family, vectors, spread; executes detection, containment, analysis, eradication, recovery. For EDR alerts, suspicious behavior, C2 traffic.
How this skill is triggered — by the user, by Claude, or both
Slash command
/cybersecurity-skills-zh:conducting-malware-incident-responseThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
- EDR 或杀毒软件检测到一个或多个端点上的恶意软件执行
不适用于研究场景中的恶意软件样本分析;逆向工程请使用专用恶意软件分析流程。
验证恶意软件告警并收集初始指标:
检测摘要:
文件: C:\Users\jsmith\AppData\Local\Temp\update.exe
SHA-256: a1b2c3d4e5f6...
检测: CrowdStrike: Malware/Qakbot | VirusTotal: 58/72 引擎
父进程: WINWORD.EXE → cmd.exe → powershell.exe → update.exe
投递方式: 邮件附件(Invoice-Nov2025.docm)
网络: 每 60 秒向 185.220.101[.]42:443 发起 HTTPS POST 请求
持久化: 计划任务 "WindowsUpdate" → update.exe
确定受影响系统数量及恶意软件的传播方式:
按照活跃攻陷遏制流程执行遏制措施:
执行足够的分析以支持完整根除:
恶意软件分析摘要 - Qakbot 变体
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
初始访问: T1566.001 - 鱼叉式网络钓鱼附件(.docm)
执行: T1059.001 - PowerShell(编码的下载器)
持久化: T1053.005 - 计划任务
防御规避: T1055.012 - 进程空洞化(explorer.exe)
C2: T1071.001 - 带自定义头部的 HTTPS
收集: T1005 - 本地系统数据(浏览器凭据)
外泄: T1041 - 通过 C2 通道外泄
产物:
- C:\Users\*\AppData\Local\Temp\update.exe(投放器)
- C:\ProgramData\Microsoft\{GUID}\config.dll(载荷)
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\{random}(备份持久化)
- 计划任务:「WindowsUpdate」(主要持久化)
从每个受感染系统中删除所有恶意软件产物:
将系统恢复到生产状态并验证干净状态:
| 术语 | 定义 |
|---|---|
| 恶意软件家族(Malware Family) | 共享代码、基础设施或行为模式的恶意软件变体分类(如 Qakbot、Emotet、Cobalt Strike) |
| 进程空洞化(Process Hollowing) | 恶意软件以挂起状态创建合法进程、将其内存替换为恶意代码然后继续执行的技术 |
| 信标(Beacon) | 恶意软件向其 C2 服务器发送的周期性网络通信,通常具有固定间隔和抖动以规避检测 |
| 投放器(Dropper) | 下载或解包主要载荷的初始恶意软件组件;通常通过网络钓鱼投递 |
| 持久化机制(Persistence Mechanism) | 恶意软件用于在系统重启后存活的方法(注册表运行键、计划任务、服务、WMI 事件订阅) |
| IOC(失陷指标,Indicator of Compromise) | 表明恶意软件存在的可观测产物,如文件哈希、IP 地址、域名或注册表键 |
背景:EDR 检测到一个启用宏的文档生成 PowerShell,下载 Emotet DLL,随后加载 Cobalt Strike 信标。45 分钟内三台主机受到感染。
处理方法:
常见陷阱:
恶意软件事件响应报告
=================================
事件: INC-2025-1547
恶意软件家族:Qakbot(变体:Obama265)
投递向量: 鱼叉式网络钓鱼附件(Invoice-Nov2025.docm)
首次检测: 2025-11-15T14:23:17Z
范围: 4 个端点确认受感染
感染时间线
14:18 UTC - 钓鱼邮件被 [email protected] 接收
14:19 UTC - 宏在 WINWORD.EXE 中执行
14:20 UTC - PowerShell 从暂存服务器下载 update.exe
14:21 UTC - update.exe 建立持久化(计划任务)
14:23 UTC - C2 信标向 185.220.101[.]42 发起连接
14:35 UTC - 通过窃取的凭据横向传播到 WKSTN-087
14:42 UTC - EDR 检测触发,SOC 收到告警
提取的 IOC
文件哈希: [SHA-256 列表]
C2 域名: [域名列表]
C2 IP: [IP 列表]
文件路径: [产物路径]
根除状态
[x] 所有恶意软件产物已从 4 台主机清除
[x] 持久化机制已删除
[x] C2 基础设施已阻断
[x] 受攻陷凭据已重置
[x] 邮件已从所有邮箱隔离
建议
1. 部署 Qakbot 变体检测的 YARA 规则
2. 阻断来自外部发件人文档中的宏执行
3. 在财务工作站实施应用程序白名单
npx claudepluginhub killvxk/cybersecurity-skills-zhGuides malware incident response on enterprise endpoints: detects presence, scopes infection, analyzes family/vectors/spread, eradicates, and recovers. For triage, trojan/worm handling.
Guides malware incident response across enterprise endpoints: identifying malware families, infection vectors, spread assessment, and eradication procedures. Activates for malware alerts, trojan removal, worm containment, or endpoint remediation.
Responds to malware infections across enterprise endpoints, covering detection, containment, analysis, eradication, and recovery. Activates on EDR alerts, suspicious behavior, or threat intelligence.