Detects data staging before exfiltration by monitoring 7-Zip/RAR compression, temp dir access, file merges, and staging patterns in EDR/Sysmon logs using Python. For threat hunting.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
在外泄数据之前,攻击者通常会将收集到的文件集中存储在一个位置(MITRE ATT&CK T1074)。这包括使用 7-Zip、RAR 或 tar 等工具创建压缩文件、从多个目录整合文件,以及使用临时或隐藏的暂存目录。本技能通过分析进程创建日志中的压缩工具活动、监控常用暂存路径的文件系统事件,以及识别异常的文件合并模式来检测暂存行为。
Detects data staging before exfiltration by monitoring 7-Zip/RAR archive creation, temp folder access, file consolidation, and staging patterns via EDR/Sysmon telemetry. For threat hunting in security incidents.
Detects data staging before exfiltration by monitoring archive creation with 7-Zip/RAR, temp folder access, file consolidation, and staging patterns using EDR and process telemetry. For threat hunting in SOC investigations.
Hunts data exfiltration indicators via network traffic analysis, detecting anomalous data flows, DNS tunnels, cloud storage uploads, and encrypted channel abuse. For threat hunting in compromised environments.
Share bugs, ideas, or general feedback.
在外泄数据之前,攻击者通常会将收集到的文件集中存储在一个位置(MITRE ATT&CK T1074)。这包括使用 7-Zip、RAR 或 tar 等工具创建压缩文件、从多个目录整合文件,以及使用临时或隐藏的暂存目录。本技能通过分析进程创建日志中的压缩工具活动、监控常用暂存路径的文件系统事件,以及识别异常的文件合并模式来检测暂存行为。