Detects PowerShell Empire artifacts in Windows event logs (4103/4104) via Base64 stagers, module signatures like Invoke-Mimikatz, User-Agents, and C2 URLs. Outputs JSON with IOCs, timelines, MITRE mappings for threat hunting.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
PowerShell Empire 是一个由监听器(listener)、stager 和 agent 组成的后渗透框架。其工件在 Windows 事件日志中留有可检测的痕迹,尤其是 PowerShell 脚本块日志(Script Block Logging,事件 ID 4104)和模块日志(Module Logging,事件 ID 4103)。本技能分析事件日志中 Empire 的默认启动器字符串(`powershell -noP -sta -w 1 -enc`)、包含 `System.Net.WebClient` 和 `FromBase64String` 的 Base64 编码 payload、已知模块调用(Invoke-Mimikatz、Invoke-Kerberoast、Invoke-TokenManipulation)以及暂存 URL 模式。
Detects PowerShell Empire artifacts in Windows event logs via Base64 launcher patterns, stager IOCs, module signatures, user agents, and staging URLs in Script Block Logging. For threat hunting and forensics.
Detects PowerShell Empire artifacts in Windows event logs via Base64 launchers, stager IOCs, module signatures, user agents, and staging URLs in Script Block Logging.
Hunts malicious PowerShell activity in Windows EVTX logs (events 4104/4103) by parsing script blocks, detecting obfuscation, AMSI bypasses, encoded payloads, credential dumps, and download cradles.
Share bugs, ideas, or general feedback.
PowerShell Empire 是一个由监听器(listener)、stager 和 agent 组成的后渗透框架。其工件在 Windows 事件日志中留有可检测的痕迹,尤其是 PowerShell 脚本块日志(Script Block Logging,事件 ID 4104)和模块日志(Module Logging,事件 ID 4103)。本技能分析事件日志中 Empire 的默认启动器字符串(powershell -noP -sta -w 1 -enc)、包含 System.Net.WebClient 和 FromBase64String 的 Base64 编码 payload、已知模块调用(Invoke-Mimikatz、Invoke-Kerberoast、Invoke-TokenManipulation)以及暂存 URL 模式。
powershell -noP -sta -w 1 -enc 后跟 Base64 编码块System.Net.WebClient、DownloadData、DownloadString、FromBase64String/login/process.php、/admin/get.php 及类似的默认 URI 模式JSON 报告,包含匹配的 IOC、解码后的 Base64 payload、可疑事件时间线、MITRE ATT&CK 技术映射以及严重性评分。