Parses Cobalt Strike Malleable C2 profiles using dissect.cobaltstrike and pyMalleableC2 to extract C2 indicators, evasion techniques, and generate Suricata/Snort network detection signatures. Useful for malware analysis and threat hunting.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
Cobalt Strike Malleable C2 配置文件是领域专用语言脚本,用于定制 Beacon 与团队服务器的通信方式,包括 HTTP 请求/响应转换、休眠间隔、抖动值、User Agent、URI 路径和进程注入行为。威胁行为者使用 Malleable C2 配置文件将 C2 流量伪装成合法服务(Amazon、Google、Slack)。分析这些配置文件可揭示用于检测的网络指标:URI 模式、HTTP 请求头、POST/GET 转换、DNS 设置和进程注入技术。`dissect.cobaltstrike` 库可解析配置文件并从 beacon 载荷中提取配置,而 `pyMalleableC2` 使用 Lark 语法提供基于 AST 的解析,用于程序化配置文件操作和验证。
Parse and analyze Cobalt Strike Malleable C2 profiles using dissect.cobaltstrike and pyMalleableC2 to extract C2 indicators, detect evasion techniques, and generate network detection signatures.
Parses Cobalt Strike Malleable C2 profiles with dissect.cobaltstrike and pyMalleableC2 to extract indicators, detect evasions, and generate network detection signatures.
Parses Cobalt Strike malleable C2 profiles with pyMalleableC2 to extract Beacon configs, HTTP GET/POST patterns, User-Agents, sleep/jitter. Detects C2 servers using JARM TLS fingerprints for investigating suspicious infrastructure.
Share bugs, ideas, or general feedback.
Cobalt Strike Malleable C2 配置文件是领域专用语言脚本,用于定制 Beacon 与团队服务器的通信方式,包括 HTTP 请求/响应转换、休眠间隔、抖动值、User Agent、URI 路径和进程注入行为。威胁行为者使用 Malleable C2 配置文件将 C2 流量伪装成合法服务(Amazon、Google、Slack)。分析这些配置文件可揭示用于检测的网络指标:URI 模式、HTTP 请求头、POST/GET 转换、DNS 设置和进程注入技术。dissect.cobaltstrike 库可解析配置文件并从 beacon 载荷中提取配置,而 pyMalleableC2 使用 Lark 语法提供基于 AST 的解析,用于程序化配置文件操作和验证。
dissect.cobaltstrike 和/或 pyMalleableC2pip install dissect.cobaltstrike 或 pip install pyMalleableC2C2Profile.from_path("profile.profile") 解析配置文件JSON 报告,包含提取的 C2 URI、HTTP 请求头、User Agent、休眠/抖动设置、进程注入配置、注入目标进程路径、DNS 设置和生成的 Suricata 兼容检测规则。