Stats
Actions
Tags
Detects data staging before exfiltration by monitoring 7-Zip/RAR compression, temp dir access, file merges, and staging patterns in EDR/Sysmon logs using Python. For threat hunting.
How this skill is triggered — by the user, by Claude, or both
Slash command
/cybersecurity-skills-zh:hunting-for-data-staging-before-exfiltrationThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
在外泄数据之前,攻击者通常会将收集到的文件集中存储在一个位置(MITRE ATT&CK T1074)。这包括使用 7-Zip、RAR 或 tar 等工具创建压缩文件、从多个目录整合文件,以及使用临时或隐藏的暂存目录。本技能通过分析进程创建日志中的压缩工具活动、监控常用暂存路径的文件系统事件,以及识别异常的文件合并模式来检测暂存行为。
在外泄数据之前,攻击者通常会将收集到的文件集中存储在一个位置(MITRE ATT&CK T1074)。这包括使用 7-Zip、RAR 或 tar 等工具创建压缩文件、从多个目录整合文件,以及使用临时或隐藏的暂存目录。本技能通过分析进程创建日志中的压缩工具活动、监控常用暂存路径的文件系统事件,以及识别异常的文件合并模式来检测暂存行为。
npx claudepluginhub killvxk/cybersecurity-skills-zhDetects data staging before exfiltration by monitoring archive creation (7-Zip/RAR), unusual temp folder access, and file consolidation patterns via EDR and process telemetry.
Detects data staging before exfiltration by monitoring archive creation (7-Zip/RAR), unusual temp folder access, and file consolidation patterns via EDR and process telemetry.
Detects data staging before exfiltration by monitoring 7-Zip/RAR archive creation, temp folder access, file consolidation, and staging patterns via EDR/Sysmon telemetry. For threat hunting in security incidents.