#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе трояна Buhtrap RAT Центром кибербезопасности F.A.C.C.T. В нем рассматриваются история и последствия атак Buhtrap, процесс анализа, использование платформы для детонации вредоносных программ, методы, используемые участниками угроз, выявленные признаки компрометации и необходимость принятия упреждающих мер кибербезопасности для защиты от таких атак в финансовом секторе.
-----

Центр кибербезопасности компании F.A.C.C.T. обнаружил троянскую программу Buhtrap RAT в архиве на устройстве жертвы, что привело к дальнейшему анализу исполняемой копии. Вредоносная программа Buhtrap и связанная с ней преступная группа действуют с августа 2015 года, в основном нацеливаясь на финансовые учреждения с помощью фишинговых электронных писем и скомпрометированных веб-ресурсов бухгалтерии. Ущерб от мошеннических атак, зафиксированный экспертами в период с 2020 по 2022 год, составил не менее 2 миллиардов рублей, а общий глобальный ущерб за эти годы оценивается в 6-7 миллиардов рублей. Последний случай мошенничества был выявлен в апреле 2023 года.

После обнаружения инцидента эксперты Центра кибербезопасности F.A.C.C.T. провели углубленный анализ исполняемого экземпляра с использованием платформы Malware Detonation Platform (MDP) в управляемой F.A.C.C.T. системе XDR. При выполнении файла был обнаружен дроппер второго этапа, который инициировал процесс Wordpad.exe с пустым документом, запуская следующий этап только после того, как пользователь закрывал окно Wordpad, чтобы избежать "песочниц". Затем Buhtrap RAT был сохранен на диск и настроен для запуска при запуске путем регистрации в разделе реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run со случайно сгенерированным именем каталога и именем RAT латинскими символами.

В конкретной расследуемой кампании Buhtrap RAT был представлен в виде исполняемого exe-файла. Однако в другой кампании 2023 года он был обнаружен в виде dll-файла, который был распакован и использовался в памяти процесса rundll32.exe. Одним из выявленных признаков компрометации (IoC) был файл с именем Pakuqa.exe, в данном контексте идентифицированный как Buhtrap RAT.

Подробная запись в блоге, посвященная анализу атак Buhtrap, дает более полное представление о тактике, методах и процедурах, используемых участниками угроз, а также о IOCs и стратегиях смягчения последствий. Этот инцидент свидетельствует о сохраняющейся угрозе, исходящей от Buhtrap, и подчеркивает важность упреждающих мер кибербезопасности для защиты от таких изощренных атак, нацеленных на организации, особенно в финансовом секторе.

#ParsedReport #CompletenessLow
08-10-2024

Shining Light on the Dark Angels Ransomware Group

https://www.zscaler.com/blogs/security-research/shining-light-dark-angels-ransomware-group

Report completeness: Low

Threats:
Dark_angels
Rtm_locker
Babuk
Ragnar_locker

Industry:
Healthcare, Telco

Geo:
America, Asia

CVEs:
CVE-2023-22069 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle weblogic server (12.2.1.4.0, 14.1.1.0.0)


ChatGPT TTPs:
do not use without manual check
T1567, T1203

Soft:
Telegram, esxi

Wallets:
bitcoincore

Algorithms:
sha256, aes, ecdh, chacha20, ecc, curve25519, cbc, hc-128

Links:
https://github.com/bitcoin-core/secp256k1

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея: Хакерская группа Dark Angels известна тем, что проводит целенаправленные атаки на крупные корпорации, сосредотачиваясь на краже ценных данных и предъявлении значительных требований о выкупе, действуя скрытно, чтобы избежать широкого освещения в СМИ и пристального внимания правоохранительных органов.
-----

Хакерская группа вымогателей Dark Angels, появившаяся в апреле 2022 года, известна своими целенаправленными атаками с использованием сложных и скрытных стратегий. В отличие от многих других групп программ-вымогателей, которые передают первичные взломы на аутсорсинг, Dark Angels проводят собственные атаки на ограниченное число крупных корпораций, чтобы привлечь минимальное внимание и максимизировать финансовую выгоду. В начале этого года группа попала в заголовки газет, получив крупнейший в истории выкуп - ошеломляющие 75 миллионов долларов.

Dark Angels используют полезные программы-вымогатели сторонних производителей, в том числе Babuk и Read the Manual (RTM) Locker для систем Windows, а также вариант RagnarLocker для систем Linux/ESXi. Эти программы-вымогатели используются выборочно, с целью кражи огромного количества ценных данных у своих жертв. В тех случаях, когда группа решает не шифровать файлы, они требуют оплату, чтобы предотвратить утечку данных в Интернете.

Действующие в русскоязычных регионах, "Темные ангелы" нацелены на глобальные компании на разных континентах. Хотя их первая публично известная атака произошла в апреле 2022 года, группа утверждает, что была сформирована в 2021 году. Эволюция группы включает в себя использование утекших исходных кодов и создание сайтов для утечки данных для публикации украденной информации, демонстрирующих уровень изощренности их операций. Используя такие инструменты, как RTM Locker и RagnarLocker, Dark Angels демонстрируют сочетание партнерских отношений и независимых разработок в своих методах атаки.

Темные ангелы используют различные методы для проникновения в корпоративные сети, начиная от фишинговых сообщений электронной почты и заканчивая использованием уязвимостей в общедоступных приложениях. Группа преуспевает в перемещении по сетям, проведении разведки, повышении привилегий и утечке конфиденциальных данных. Выполнение этих операций может занять несколько дней или даже недель, что свидетельствует о высоком уровне настойчивости и целеустремленности.

В отличие от многих участников угроз, которые передают атаки на аутсорсинг третьим лицам, Темные Ангелы придерживаются прямого и целенаправленного подхода к выбору жертв. Вместо того чтобы вызывать массовые сбои, они сосредоточивают свое внимание на извлечении данных объемом от 1 до 100 ТБАЙТ и принятии решения о развертывании программ-вымогателей, исходя из потенциального воздействия на бизнес. Эта тщательно продуманная стратегия позволила Темным ангелам действовать скрытно, избегая широкого освещения в средствах массовой информации и пристального внимания правоохранительных органов.

В своих атаках Темные ангелы используют такие программы-вымогатели, как Babuk, RTM Locker и RagnarLocker, каждая из которых использует свои специфические методы шифрования. Например, RTM Locker использует алгоритм шифрования ChaCha20 без использования нижних колонтитулов файлов, в то время как RagnarLocker сочетает асимметричное ECC и симметричное AES-шифрование для систем Linux/ESXi. Несмотря на сложность работы группы, в ее методах шифрования существуют недостатки, которые могут затруднить процесс расшифровки, если шифрование файлов будет прервано.

Кульминацией успеха группы стала рекордная выплата выкупа в размере 75 миллионов долларов в марте 2024 года, что подчеркивает их уникальный подход к борьбе с программами-вымогателями. Сосредоточившись на важных целях, краже конфиденциальных данных и выборочном применении шифрования файлов для минимизации сбоев, "Темные ангелы" эффективно вымогали деньги у предприятий, сохраняя при этом более низкую репутацию по сравнению с другими группами программ-вымогателей.

#ParsedReport #CompletenessLow
08-10-2024

MisterioLNK: The Open-Source Builder Behind Malicious Loaders

https://cyble.com/blog/misteriolnk-the-open-source-builder-behind-malicious-loaders

Report completeness: Low

Threats:
Misteriolnk
Remcos_rat
Blankstealer

TTPs:
Tactics: 3
Technics: 7

IOCs:
Hash: 6
File: 2
Path: 1
Url: 1

Soft:
curl, sysinternals

Algorithms:
exhibit, sha256

Languages:
visual_basic, javascript

Links:
https://github.com/K3rnel-Dev/MisterioLNK/tree/main

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в открытии и анализе нового инструмента для создания загрузчиков под названием "MisterioLNK", разработанного Cyble Research and Intelligence Labs (CRIL). Этот инструмент позволяет создавать вредоносные файлы-загрузчики, которые обходят традиционные средства защиты, используя методы обфускации и загружая файлы во временные каталоги перед выполнением. Злоумышленники используют MisterioLNK для развертывания различных типов вредоносных программ, и этот инструмент представляет серьезную проблему для поставщиков средств безопасности из-за его способности оставаться незамеченным. Этот инструмент поддерживает множество методов загрузки и обфускации, что делает его мощным и малозаметным инструментом в борьбе с киберугрозами.
-----

Лаборатории Cyble Research и Intelligence Labs обнаружили новый конструктор загрузчиков под названием "MisterioLNK" для создания файлов загрузчиков LNK, BAT, CMD и VBS, которые загружают и выполняют удаленные файлы.

MisterioLNK создает проблемы для защиты, обходя традиционные системы безопасности с помощью методов обфускации и загружая файлы во временные каталоги перед запуском.

Злоумышленники используют MisterioLNK для развертывания вредоносных программ, таких как Remcos RAT, DC RAT и BlankStealer, причем многие из этих вредоносных загрузчиков ускользают от обнаружения поставщиками систем безопасности.

Показатели обнаружения файлов, созданных с помощью MisterioLNK, были низкими: только один из шести файлов был обнаружен 16 поставщиками систем безопасности, что подчеркивает его возможности обхода.

MisterioLNK содержит конструктор загрузчиков и обфускатор, при этом конструктор генерирует файлы загрузчиков на основе выбора пользователем URL-адреса для подключения, получения полезной нагрузки и ее выполнения.

Модуль запутывания в MisterioLNK вставляет случайные строки в пакетный код, чтобы усложнить статический анализ и запутать инструменты анализа, повышая скрытность скрипта.

HTA-загрузчик, созданный MisterioLNK, использует объекты JavaScript и ActiveX для загрузки файлов и выполнения команд, с возможной реализацией в будущем функции запутывания для HTA-файлов.

#ParsedReport #CompletenessLow
08-10-2024

HORUS Protector Part 1: The New Malware Distribution Service

https://blog.sonicwall.com/en-us/2024/10/horus-protector-part-1-the-new-malware-distribution-service

Report completeness: Low

Threats:
Horus_protector
Agent_tesla
Remcos_rat
Njrat

Geo:
French

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1055, T1105, T1140

IOCs:
Domain: 1
IP: 1
File: 12
Hash: 4

Soft:
Telegram

Algorithms:
md5

Languages:
dotnet, javascript, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе нового сервиса распространения вредоносных программ под названием Horus Protector, который предоставляет полностью необнаруживаемый (FUD) шифровальщик для распространения различных семейств вредоносных программ. Авторы Horus Protector активно отслеживают антивирусные обнаружения, постоянно обновляют свой сервис и используют сложные методы распространения вредоносных программ, чтобы избежать обнаружения и обеспечить эффективность своей службы защиты от вредоносных программ.
-----

Исследовательская группа SonicWall по изучению угроз обнаружила новый сервис распространения вредоносных программ FUD crypter под названием Horus Protector.

Horus Protector распространяет несколько семейств вредоносных программ, таких как AgentTesla, Remcos, Snake и njRAT.

Авторы Horus Protector являются носителями французского языка, о чем свидетельствуют инструкции на французском языке и демонстрационные видеоролики.

Сервис предлагает версии v 0.3, v 0.4, v 0.4.1 и последнюю версию v 0.4.2, для использования которой требуется ключ после оплаты.

Авторы постоянно обновляют код, чтобы избежать обнаружения антивирусом, и делятся обновлениями в Telegram.

Они используют kleenscan.com для оценки скорости обнаружения своих двоичных файлов вредоносных программ.

Horus Protector активно отслеживает обнаружение AV-файлов, чтобы усовершенствовать тактику распространения вредоносных программ.

В последней версии, версии 0.4.2, используется сложная технология многоуровневой цепочки заражения с использованием zip-файла, содержащего закодированный сценарий VBE.

Инструмент представляет собой 32-разрядный файл сборки DotNet с двумя вкладками для сведений о пользователе и использования crypter.

Отбор и обработка данных осуществляются на стороне сервера, а в последней версии реализованы сценарии VBE для многоступенчатых цепочек заражения и методов сохранения данных, позволяющих избежать обнаружения.

#ParsedReport #CompletenessMedium
08-10-2024

Over 28,000 Users Affected by Cryptocurrency Mining and Theft Trojan Campaign

https://news.drweb.ru/show/?i=14920&lng=ru&c=5

Report completeness: Medium

Threats:
Ncat_tool
Process_hollowing_technique
Silentcryptominer_tool
Btcmine

Geo:
Kyrgyzstan, Uzbekistan, Ontario, Russia, Turkey, Kazakhstan, Ukraine, Belarus

ChatGPT TTPs:
do not use without manual check
T1203, T1055.012, T1112, T1005, T1105

IOCs:
File: 19
Hash: 26
Domain: 3
Url: 13
Coin: 10

Soft:
Google Chrome, Microsoft Edge, Telegram, Windows Explorer

Algorithms:
sha1

Languages:
autoit

Links:
https://translate.google.com/website?sl=ru&tl=en&hl=ru&client=webapp&u=https://github.com/DoctorWebLtd/malware-iocs/blob/master/Metack/README.adoc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что аналитики cyber threat intelligence обнаружили масштабную кампанию, направленную на распространение вредоносного ПО для майнинга и кражи криптовалют. Вредоносное ПО распространяется под различными личинами, такими как офисные программы и читы для игр, и использует такие методы, как взлом процессов, для осуществления несанкционированных действий в скомпрометированных системах. Киберпреступникам удалось обогатиться за счет кражи криптовалюты, и пользователям рекомендуется принимать превентивные меры, такие как загрузка программного обеспечения из надежных источников и использование надежного антивирусного программного обеспечения.
-----

Вирусные аналитики "Доктор Веб" обнаружили продолжающуюся масштабную кампанию, направленную на распространение вредоносного ПО с целью майнинга и кражи криптовалюты. Вредоносные трояны распространяются под различными личинами, включая офисные программы, читы для игр и ботов для онлайн-торговли. Для передачи данных по сети киберпреступники используют сетевую утилиту Ncat, которая маскируется под системный компонент.

Основной источник заражения был обнаружен на мошеннических веб-сайтах на GitHub и ссылках, встроенных в описания на YouTube. Пользователей обманом заставляют загружать с этих источников самораспаковывающиеся зашифрованные архивы, которые содержат вредоносный скрипт автоматической загрузки, замаскированный под библиотеку, связанную с популярной программой WinRAR. После выполнения скрипт AutoIt предназначен для обнаружения отладочного программного обеспечения в процессах и инициирования вредоносных действий в скомпрометированной системе.

Скомпрометированные системные файлы позволяют вредоносному ПО облегчать взаимодействие с сетью, перехватывать запуск приложений и отключать службу восстановления операционной системы Windows. Киберпреступники внедрили в систему скрытые функции майнинга и кражи криптовалют. explorer.exe обрабатывают с использованием техники, известной как технологическое выдалбливание. Этот метод предполагает использование DeviceID.dll и 7zxa.dll файлов для осуществления несанкционированного майнинга и кражи криптовалюты.

Примечательно, что 7zxa.dll файл содержит вредоносную программу Clipper, которая специально отслеживает буфер обмена пользователя для замены или пересылки адресов криптовалютных кошельков. С помощью этого метода киберпреступникам удалось обогатиться более чем на 6000 долларов. В результате использования технологии "Опустошения процессов" на компьютерах жертв создается множество explorer.exe процессов, затрагивающих более 28 тысяч пользователей, проживающих преимущественно в России, Беларуси, Узбекистане, Казахстане, Украине, Кыргызстане и Турции.

В свете этой угрозы было предоставлено несколько ключевых рекомендаций для предотвращения. Пользователям рекомендуется загружать программное обеспечение только из официальных и надежных источников, по возможности использовать альтернативные версии с открытым исходным кодом и использовать антивирусное программное обеспечение с хорошей репутацией для обнаружения и предотвращения таких вредоносных действий.

Анализ также включает в себя список выявленных образцов вредоносного ПО с соответствующими хэшами sha-1. Эти образцы включают в себя различные формы троянских программ, расширения оболочки и инструменты, используемые киберпреступниками для осуществления своих вредоносных действий. Каждый выявленный образец вредоносного ПО сопоставляется с уникальными хэшами sha-1 для дальнейшей идентификации и отслеживания специалистами по кибербезопасности.

#ParsedReport #CompletenessHigh
09-10-2024

LemonDuck Unleashes Cryptomining Attacks Through SMB Service Exploits

https://notes.netbytesec.com/2024/10/lemonduck-unleashes-cryptomining.html

Report completeness: High

Threats:
Lemonduck
Eternalblue_vuln
Mimikatz_tool
Passthehash_technique
Coinminer

Geo:
Taiwan

CVEs:
CVE-2017-0144 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server message block (1.0)


TTPs:

IOCs:
File: 13
IP: 1
Path: 2
Domain: 1
Hash: 1

Soft:
Windows Defender, Windows Task Scheduler

Algorithms:
md5, base64

Functions:
userlist, pslist, exploit, smb_pwn, smb_send_file, mmka

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1, windows: 2, table: 2, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основной идеей текста является подробный анализ вредоносного ПО LemonDuck, которое использует уязвимость EternalBlue в целевых системах для майнинга криптовалют. Злоумышленник использует различные тактики, такие как фишинговые электронные письма, атаки методом перебора, использование PowerShell и манипулирование системными службами, чтобы избежать обнаружения, установить контроль и обеспечить постоянство работы скомпрометированных систем. В сообщении в блоге также подчеркивается важность индикатора компрометации (IOCs), который помогает специалистам по безопасности выявлять потенциальные компрометации и дает представление о методах злоумышленника, таких как переименование и перемещение вредоносных исполняемых файлов, обход антивирусного программного обеспечения и установление связи командования и контроля (C2).
-----

В сообщении в блоге обсуждается вредоносная программа Lemduck, которая использует уязвимость EternalBlue (CVE-2017-0144) в протоколе Microsoft Server Message Block (SMB) для майнинга криптовалют. Компания Lemduck известна тем, что использует слабые места малого и среднего бизнеса с помощью фишинговых электронных писем, атак методом перебора и PowerShell, чтобы избежать обнаружения и нацеливания систем на криптоджекинг. Злоумышленник скомпрометировал пользователя "Администратор" с помощью атаки методом перебора на уязвимый SMB-сервис, создав скрытые административные общие ресурсы и выполнив ряд вредоносных действий для сохранения и контроля над системой.

Злоумышленник использовал PowerShell и запланированные задачи для загрузки и выполнения вредоносных программ, манипулирования системными службами, отключения таких мер безопасности, как защитник Windows, и установления связи между командами и контролем (C2) посредством переадресации портов на внешний IP-адрес. Кроме того, злоумышленник переименовал и переместил вредоносные исполняемые файлы, такие как svchost.exe и dig.exe, чтобы избежать обнаружения антивирусным программным обеспечением и обеспечить сохраняемость.

В сообщении в блоге также освещаются индикаторы компрометации (IOCs), связанные с вредоносным ПО Lemduck, такие как IP-адреса, помеченные для вредоносных действий, таких как атаки методом перебора, и вредоносные файлы, такие как FdQn.exe (msInstall.exe) и skuAtH.exe (svchost.exe). Эти IoC могут помочь специалистам по безопасности оценить потенциальные компромиссы в их среде.

Кроме того, злоумышленник выполнял команды для загрузки скриптов с вредоносных URL-адресов (http://t.amynx.com/gim.jsp), создания запланированных задач для запуска вредоносного ПО и уклонения от обнаружения путем мониторинга доступности PowerShell и системных служб. Запланированные задачи были настроены на запуск вредоносных файлов через регулярные промежутки времени, что обеспечивало постоянство и непрерывную компрометацию системы.

В сообщении также содержится подробная информация о конкретных тактиках и приемах, используемых злоумышленником, включая отключение защитника Windows, изменение правил брандмауэра, управление запланированными задачами для запуска вредоносного ПО и установление связи C2 с помощью проксирования портов. Значения хэшей для вредоносных файлов, URL-адресов и IP-адресов, связанных с атакой, представлены для идентификации и дальнейшего анализа специалистами по безопасности.

#ParsedReport #CompletenessHigh
09-10-2024

Reign of King: Obstinate Mogwai Faction Tactics and Tools

https://rt-solar.ru/solar-4rays/blog/4753

Report completeness: High

Actors/Campaigns:
Obstinate_mogwai (motivation: cyber_espionage, information_theft)
Hafnium
Apt31
Webworm

Threats:
Reign
Trochilus_rat
Donnect
Dimanorat
Venom_proxy_tool
Kingofhearts
Powerpool
Viewstate_deserialization_vuln
Proxylogon_exploit
Nbtscan_tool
Dll_sideloading_technique
Cmpspy
Antspy
Antak
Aspxspy_shell
Dcsync_technique
Webdav-o_rat
Winrm_tool
Sessiongopher_tool
Putty_tool
Superputty_tool
Kerberoasting_technique
Passthehash_technique
Grewapacha
Nishang_tool
Bloodhound_tool
Adfind_tool
Smbexec_tool
Impacket_tool
Vmprotect_tool
Credential_dumping_technique
Mimikatz_tool
Process_injection_technique

Victims:
Government organizations, It companies, Russian organizations

Industry:
Government

Geo:
Asian, Russian, Asia, Russia

CVEs:
CVE-2012-0002 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 7 (*)
- microsoft windows server 2003 (*)
- microsoft windows server 2008 (*, -, r2)
- microsoft windows vista (*)
- microsoft windows xp (*, -)
have more...

TTPs:
Tactics: 10
Technics: 47

IOCs:
Path: 89
IP: 47
Domain: 32
File: 26
Registry: 4
Command: 10
Hash: 67

Soft:
Microsoft Exchange, task scheduler, Winlogon, WinSCP, Active Directory, Windows Remote Desktop Protocol, RDCMan, Sysinternals, Windows Media, Unix, have more...

Algorithms:
sha256, md5, xor, 7zip, base64, 3des, sha1

Functions:
RPC

Win Services:
Ntmssvc

Languages:
powershell, ruby, visual_basic

Platforms:
x64, x86

Links:
https://github.com/0x7556/smbexec
https://github.com/canc3s/OXID
https://github.com/fullmetalcache/tools/blob/master/autokerberoast\_nomimi\_stripped.ps1
https://github.com/Dliv3/Venom
https://github.com/Kevin-Robertson/Inveigh
https://github.com/3gstudent/Homework-of-Powershell/blob/master/dns-dump.ps1
https://github.com/BloodHoundAD/SharpHound
https://github.com/fengwenhua/CMPSpy/blob/main/ConfigureRegistrySettings.ps1
https://github.com/tennc/webshell/blob/master/net-friend/aspx/aspxspy/aspxspy.aspx
https://github.com/Arvanaghi/SessionGopher
https://github.com/WinRb/WinRM
https://github.com/samratashok/nishang/blob/master/Antak-WebShell/antak.aspx
https://github.com/samratashok/nishang/blob/master/Backdoors/DNS\_TXT\_Pwnage.ps1
https://github.com/fengwenhua/CMPSpy
https://github.com/fortra/impacket
https://github.com/samratashok/nishang
https://github.com/iSecurity-Club/Pentest-Methodologies/blob/master/web-exploit-exp/PHP-reverse-shell/big-shell.php
https://github.com/Kevin-Robertson
https://github.com/3gstudent/Homework-of-C-Language/blob/master/sekurlsa-wdigest.cpp
https://github.com/charlesroelli/nbtscan
https://github.com/tennc/webshell/blob/master/aspx/nishang/Antak-WebShell/antak.aspx

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1, dump: 1