killvxk/analyzing-cobaltstrike-malleable-c2-profiles
skills/analyzing-cobaltstrike-malleable-c2-profiles/SKILL.md
使用 dissect.cobaltstrike 和 pyMalleableC2 解析分析 Cobalt Strike Malleable C2 配置文件,提取 C2 指标、检测规避技术并生成网络检测签名。
$ install --global
skillsauthnpx skillsauth add killvxk/cybersecurity-skills-zh analyzing-cobaltstrike-malleable-c2-profilesInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 16, 2026, 10:47 PM9.4s3 files scanned
SKILL.md
- name:
- analyzing-cobaltstrike-malleable-c2-profiles
- description:
- 使用 dissect.cobaltstrike 和 pyMalleableC2 解析分析 Cobalt Strike Malleable C2 配置文件,提取 C2 指标、检测规避技术并生成网络检测签名。
- domain:
- cybersecurity
- subdomain:
- malware-analysis
- tags:
- [cobalt-strike, malleable-c2, c2-detection, beacon-analysis, network-signatures, threat-hunting, red-team-tools]
- version:
- 1.0
- author:
- mahipal
- license:
- Apache-2.0
分析 CobaltStrike Malleable C2 配置文件
概述
Cobalt Strike Malleable C2 配置文件是领域专用语言脚本,用于定制 Beacon 与团队服务器的通信方式,包括 HTTP 请求/响应转换、休眠间隔、抖动值、User Agent、URI 路径和进程注入行为。威胁行为者使用 Malleable C2 配置文件将 C2 流量伪装成合法服务(Amazon、Google、Slack)。分析这些配置文件可揭示用于检测的网络指标:URI 模式、HTTP 请求头、POST/GET 转换、DNS 设置和进程注入技术。dissect.cobaltstrike 库可解析配置文件并从 beacon 载荷中提取配置,而 pyMalleableC2 使用 Lark 语法提供基于 AST 的解析,用于程序化配置文件操作和验证。
前置条件
- Python 3.9+,安装
dissect.cobaltstrike和/或pyMalleableC2 - 示例 Malleable C2 配置文件(可从公开仓库获取)
- 了解 HTTP 协议和 Cobalt Strike beacon 通信模型
- 网络监控工具(Suricata/Snort)用于部署签名
- PCAP 分析工具用于流量验证
工作流程
- 安装库:
pip install dissect.cobaltstrike或pip install pyMalleableC2 - 使用
C2Profile.from_path("profile.profile")解析配置文件 - 提取 HTTP GET/POST 块配置(URI、请求头、参数)
- 识别 User Agent 字符串和伪装目标
- 提取休眠时间、抖动百分比和 DNS beacon 设置
- 分析进程注入设置(注入目标进程、分配技术)
- 从提取的网络指标生成 Suricata/Snort 签名
- 将配置文件与已知威胁行为者配置文件集合对比
- 提取分段 URI 和载荷投递机制
- 生成包含 IOC 和推荐网络签名的检测报告
输出格式
JSON 报告,包含提取的 C2 URI、HTTP 请求头、User Agent、休眠/抖动设置、进程注入配置、注入目标进程路径、DNS 设置和生成的 Suricata 兼容检测规则。
Related Skills
killvxk/conducting-social-engineering-penetration-test
testing
VerifiedTrustedCommunity
设计并执行社会工程学渗透测试,包括钓鱼、语音钓鱼、短信钓鱼和物理借口活动,以衡量人员安全韧性并识别培训差距。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-post-incident-lessons-learned
testing
VerifiedTrustedCommunity
主持结构化的事件后审查,以识别根本原因、记录有效和无效的措施,并提出可操作的改进建议以提升未来的事件响应能力。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-phishing-incident-response
testing
VerifiedTrustedCommunity
通过分析举报的邮件、提取指标、评估凭据受攻陷情况、在全组织范围隔离恶意邮件并修复受影响账号来响应网络钓鱼事件。涵盖邮件头分析、URL/附件沙箱检测和邮箱范围清除操作。适用于网络钓鱼响应、邮件事件、凭据钓鱼、鱼叉式网络钓鱼调查或钓鱼修复相关请求。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-pass-the-ticket-attack
tools
VerifiedTrustedCommunity
票据传递(Pass-the-Ticket,PtT)是一种横向移动技术,使用窃取的 Kerberos 票据(TGT 或 TGS)在不知道用户密码的情况下向服务进行认证。通过从已控制的主机内存中提取 Kerberos 票据,攻击者可以将这些票据注入自己的会话以模拟票据所有者。
10SKILL.mdUpdated Apr 29, 2026