Skill

analyzing-cobalt-strike-malleable-profiles

Parses Cobalt Strike malleable C2 profiles with pyMalleableC2 to extract Beacon configs, HTTP GET/POST patterns, User-Agents, sleep/jitter. Detects C2 servers using JARM TLS fingerprints for investigating suspicious infrastructure.

Python

security

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

使用 pyMalleableC2 库解析可延展 C2 配置文件，提取失陷指标（IOC）和检测机会。结合 JARM 指纹识别来识别 C2 服务器。

Supporting Assets

LICENSEreferences/api-reference.mdscripts/agent.py

SKILL.md

Similar Skills

analyzing-cobaltstrike-malleable-c2-profiles

Parses Cobalt Strike Malleable C2 profiles using dissect.cobaltstrike and pyMalleableC2 to extract C2 indicators, evasion techniques, and generate Suricata/Snort network detection signatures. Useful for malware analysis and threat hunting.

3 files

cybersecurity-skills-zh

analyzing-cobaltstrike-malleable-c2-profiles

Parse and analyze Cobalt Strike Malleable C2 profiles using dissect.cobaltstrike and pyMalleableC2 to extract C2 indicators, detect evasion techniques, and generate network detection signatures.

asi

analyzing-cobaltstrike-malleable-c2-profiles

5.9k

Parses Cobalt Strike Malleable C2 profiles with dissect.cobaltstrike and pyMalleableC2 to extract indicators, detect evasions, and generate network detection signatures.

3 files

cybersecurity-skills

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

分析 Cobalt Strike 可延展配置文件

使用说明

使用 pyMalleableC2 库解析可延展 C2 配置文件，提取失陷指标（IOC）和检测机会。结合 JARM 指纹识别来识别 C2 服务器。

from malleablec2 import Profile # 从文件解析可延展配置文件 profile = Profile.from_file("amazon.profile") # 提取全局选项（休眠时间、抖动、User-Agent） print(profile.ast.pretty()) # 获取 HTTP-GET 块的 URI 和 Headers，用于构建网络签名 # 获取 HTTP-POST 块中的数据外泄模式 # 对已知 C2 基础设施生成 JARM 指纹

关键分析步骤：

解析可延展配置文件，提取 HTTP-GET/POST URI 模式

提取 User-Agent 字符串和自定义 Headers，用于 IDS 签名

识别休眠时间和抖动，用于设置 Beacon 检测阈值

使用 JARM 扫描可疑 IP，与已知 C2 指纹哈希进行匹配

将提取的 IOC 与网络流量日志进行交叉参考

示例

# 解析配置文件并提取检测指标 from malleablec2 import Profile p = Profile.from_file("cobaltstrike.profile") print(p) # 重建的源码 # 对可疑 C2 服务器进行 JARM 扫描 import subprocess result = subprocess.run( ["python3", "jarm.py", "suspect-server.com"], capture_output=True, text=True ) print(result.stdout) # 将指纹与已知 CS JARM 哈希进行比对

分析 Cobalt Strike 可延展配置文件

使用说明

使用 pyMalleableC2 库解析可延展 C2 配置文件，提取失陷指标（IOC）和检测机会。结合 JARM 指纹识别来识别 C2 服务器。

from malleablec2 import Profile

# 从文件解析可延展配置文件
profile = Profile.from_file("amazon.profile")

# 提取全局选项（休眠时间、抖动、User-Agent）
print(profile.ast.pretty())

# 获取 HTTP-GET 块的 URI 和 Headers，用于构建网络签名
# 获取 HTTP-POST 块中的数据外泄模式
# 对已知 C2 基础设施生成 JARM 指纹

关键分析步骤：

解析可延展配置文件，提取 HTTP-GET/POST URI 模式
提取 User-Agent 字符串和自定义 Headers，用于 IDS 签名
识别休眠时间和抖动，用于设置 Beacon 检测阈值
使用 JARM 扫描可疑 IP，与已知 C2 指纹哈希进行匹配
将提取的 IOC 与网络流量日志进行交叉参考

示例

# 解析配置文件并提取检测指标
from malleablec2 import Profile
p = Profile.from_file("cobaltstrike.profile")
print(p)  # 重建的源码

# 对可疑 C2 服务器进行 JARM 扫描
import subprocess
result = subprocess.run(
    ["python3", "jarm.py", "suspect-server.com"],
    capture_output=True, text=True
)
print(result.stdout)
# 将指纹与已知 CS JARM 哈希进行比对