Guides malware incident response on enterprise endpoints: identifies family, vectors, spread; executes detection, containment, analysis, eradication, recovery. For EDR alerts, suspicious behavior, C2 traffic.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
- EDR 或杀毒软件检测到一个或多个端点上的恶意软件执行
Guides malware incident response on enterprise endpoints: detects presence, scopes infection, analyzes family/vectors/spread, eradicates, and recovers. For triage, trojan/worm handling.
Guides malware incident response on enterprise endpoints: identifies family, vectors, assesses spread, executes eradication across detection, containment, analysis, removal, recovery.
Systematically maps, identifies, and eradicates malware, backdoors, and persistence mechanisms from infected Windows/Linux systems in incident response.
Share bugs, ideas, or general feedback.
不适用于研究场景中的恶意软件样本分析;逆向工程请使用专用恶意软件分析流程。
验证恶意软件告警并收集初始指标:
检测摘要:
文件: C:\Users\jsmith\AppData\Local\Temp\update.exe
SHA-256: a1b2c3d4e5f6...
检测: CrowdStrike: Malware/Qakbot | VirusTotal: 58/72 引擎
父进程: WINWORD.EXE → cmd.exe → powershell.exe → update.exe
投递方式: 邮件附件(Invoice-Nov2025.docm)
网络: 每 60 秒向 185.220.101[.]42:443 发起 HTTPS POST 请求
持久化: 计划任务 "WindowsUpdate" → update.exe
确定受影响系统数量及恶意软件的传播方式:
按照活跃攻陷遏制流程执行遏制措施:
执行足够的分析以支持完整根除:
恶意软件分析摘要 - Qakbot 变体
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
初始访问: T1566.001 - 鱼叉式网络钓鱼附件(.docm)
执行: T1059.001 - PowerShell(编码的下载器)
持久化: T1053.005 - 计划任务
防御规避: T1055.012 - 进程空洞化(explorer.exe)
C2: T1071.001 - 带自定义头部的 HTTPS
收集: T1005 - 本地系统数据(浏览器凭据)
外泄: T1041 - 通过 C2 通道外泄
产物:
- C:\Users\*\AppData\Local\Temp\update.exe(投放器)
- C:\ProgramData\Microsoft\{GUID}\config.dll(载荷)
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\{random}(备份持久化)
- 计划任务:「WindowsUpdate」(主要持久化)
从每个受感染系统中删除所有恶意软件产物:
将系统恢复到生产状态并验证干净状态:
| 术语 | 定义 |
|---|---|
| 恶意软件家族(Malware Family) | 共享代码、基础设施或行为模式的恶意软件变体分类(如 Qakbot、Emotet、Cobalt Strike) |
| 进程空洞化(Process Hollowing) | 恶意软件以挂起状态创建合法进程、将其内存替换为恶意代码然后继续执行的技术 |
| 信标(Beacon) | 恶意软件向其 C2 服务器发送的周期性网络通信,通常具有固定间隔和抖动以规避检测 |
| 投放器(Dropper) | 下载或解包主要载荷的初始恶意软件组件;通常通过网络钓鱼投递 |
| 持久化机制(Persistence Mechanism) | 恶意软件用于在系统重启后存活的方法(注册表运行键、计划任务、服务、WMI 事件订阅) |
| IOC(失陷指标,Indicator of Compromise) | 表明恶意软件存在的可观测产物,如文件哈希、IP 地址、域名或注册表键 |
背景:EDR 检测到一个启用宏的文档生成 PowerShell,下载 Emotet DLL,随后加载 Cobalt Strike 信标。45 分钟内三台主机受到感染。
处理方法:
常见陷阱:
恶意软件事件响应报告
=================================
事件: INC-2025-1547
恶意软件家族:Qakbot(变体:Obama265)
投递向量: 鱼叉式网络钓鱼附件(Invoice-Nov2025.docm)
首次检测: 2025-11-15T14:23:17Z
范围: 4 个端点确认受感染
感染时间线
14:18 UTC - 钓鱼邮件被 jsmith@corp.example.com 接收
14:19 UTC - 宏在 WINWORD.EXE 中执行
14:20 UTC - PowerShell 从暂存服务器下载 update.exe
14:21 UTC - update.exe 建立持久化(计划任务)
14:23 UTC - C2 信标向 185.220.101[.]42 发起连接
14:35 UTC - 通过窃取的凭据横向传播到 WKSTN-087
14:42 UTC - EDR 检测触发,SOC 收到告警
提取的 IOC
文件哈希: [SHA-256 列表]
C2 域名: [域名列表]
C2 IP: [IP 列表]
文件路径: [产物路径]
根除状态
[x] 所有恶意软件产物已从 4 台主机清除
[x] 持久化机制已删除
[x] C2 基础设施已阻断
[x] 受攻陷凭据已重置
[x] 邮件已从所有邮箱隔离
建议
1. 部署 Qakbot 变体检测的 YARA 规则
2. 阻断来自外部发件人文档中的宏执行
3. 在财务工作站实施应用程序白名单