#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте подробно описывается кампания кибератак, обнаруженная CERT-UA в Украине, включающая вредоносные электронные письма, загрузку обманчивых файлов, команды PowerShell для утечки данных и сложную инфраструктуру, использующую специальные инструменты и технологии. Для осуществления своей деятельности злоумышленники используют прокси-сервер, скрипты PowerShell, определенные расширения файлов и веб-серверы на базе Python, подчеркивая важность обеспечения надежной защиты от возникающих угроз.
-----

Правительственная группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) недавно была проинформирована о вредоносной кампании по электронной почте, направленной на пользователей с темами, связанными с "учетной записью" и "реквизитами", а также ссылкой, предположительно ведущей на eDisk для загрузки RAR-архивов с соответствующими названиями. Электронные письма предназначены для того, чтобы обманом заставить получателей загрузить вредоносные файлы. Злоумышленники используют прокси-сервер для атаки, предполагая, что он настроен на компьютере жертвы. Значения единого идентификатора ресурса (URI) в HTTP-запросах предоставляют полный путь к украденному файлу.

В ходе расследования CERT-UA обнаружила исполняемый файл, который по сути является самораспаковывающимся скомпилированным архивом. Этот файл содержит однострочную команду PowerShell, которая выполняет рекурсивный поиск в каталоге %USERPROFILE% файлов с определенными расширениями, включая "*.xls*", "*doc*", "*.pdf", "*.eml", "*.sqlite", "*.pst', и '*.txt'. Обнаруженная команда PowerShell затем передает эти файлы на указанный сервер, используя метод POST протокола HTTP. Значения URI в этих запросах также содержат полный путь к украденным файлам. Это демонстрирует намерение злоумышленников отфильтровать конфиденциальные файлы у жертв.

Злоумышленники, стоящие за этой кампанией, используют определенные характерные особенности своей инфраструктуры управления. В ней задействован регистратор доменных имен HostZealot, что позволяет предположить потенциальную возможность расследования или устранения последствий. Кроме того, злоумышленники настроили веб-сервер для получения украденных данных. Этот сервер реализован с использованием Python, о чем свидетельствует надпись "Python Software Foundation BaseHTTP 0.6". Эти сведения дают представление о технических настройках, используемых злоумышленниками.

Этой конкретной кампании присвоен идентификатор UAC-0218 для целей отслеживания. Этот идентификатор помогает отслеживать и анализировать аналогичные кибератаки, которые имеют общие характеристики или тактику. Связывая кампании атак с определенными идентификаторами, службы безопасности могут улучшить свои возможности по обнаружению и реагированию на них для лучшей защиты от подобных угроз.

Таким образом, CERT-UA выявил сложную кампанию кибератак, которая включает в себя вводящие в заблуждение электронные письма, загрузку вредоносных файлов, команды PowerShell для утечки данных и инфраструктуру управления, использующую специальные инструменты и технологии. Использование прокси-сервера, скриптов PowerShell, определенных расширений файлов и веб-серверов на базе Python - все это усложняет атаку. Организациям следует проявлять бдительность в отношении такой тактики и принимать надежные меры кибербезопасности для защиты от возникающих угроз.

#ParsedReport #CompletenessLow
25-10-2024

Understanding the Initial Stages of Web Shell and VPN Threats: An MXDR Analysis. MXDR case 1: A persistent web shell attack

https://www.trendmicro.com/en_us/research/24/j/understanding-the-initial-stages-of-web-shell-and-vpn-threats-an.html

Report completeness: Low

Threats:
Anydesk_tool
Impacket_tool
Secretsdump_tool
Wmiexecpy_tool
Zerologon_vuln
Wmiexec_tool
Efspotato_tool
Htran

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 1903 (*)
- microsoft windows server 1909 (*)
- microsoft windows server 2004 (-)
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (-, r2)
have more...

ChatGPT TTPs:
do not use without manual check
T1505.003, T1190, T1078, T1090.001, T1047, T1021.001, T1083, T1110.001, T1207, T1569.002, have more...

IOCs:
File: 11
Path: 1
Hash: 11

Algorithms:
sha1

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что кибератаки с использованием веб-оболочек и компрометации VPN широко распространены в среде угроз, при этом злоумышленники используют многоуровневые стратегии для сохранения доступа к скомпрометированным системам. Поведенческий анализ, обнаружение аномалий и упреждающие меры кибербезопасности имеют решающее значение для борьбы с появляющимися киберугрозами и предотвращения серьезных последствий, таких как внедрение программ-вымогателей.
-----

Кибератаки с использованием веб-оболочек и компрометации VPN остаются распространенными в среде угроз, о чем свидетельствуют недавние инциденты, проанализированные Trend Micro MXDR. Злоумышленники применяют многоуровневую стратегию, используя веб-оболочки, программное обеспечение для туннелирования и средства удаленного доступа для обеспечения доступа к скомпрометированным системам. Веб-консоли обеспечивают интерактивный доступ к серверам, позволяя злоумышленникам осуществлять вредоносные действия и быстро адаптировать свою тактику. Компрометация учетных записей VPN позволяет злоумышленникам проникать в сети и избегать обнаружения, маскируя вредоносные действия под законные процессы.

Поведенческий анализ и обнаружение аномалий являются ключевыми компонентами в борьбе с развивающимися киберугрозами. Используя такие инструменты, как MXDR и возможности цифровой криминалистики, организации могут обнаруживать ранние признаки взлома, отслеживать ненормальное поведение и эффективно разрабатывать стратегии сдерживания и восстановления. В проанализированных инцидентах злоумышленники использовали сложные методы, такие как развертывание веб-оболочек и компрометация учетных записей VPN, чтобы получить несанкционированный доступ и перемещаться по сетям.

Веб-серверы часто становятся объектами эксплуатации из-за уязвимостей, неправильной настройки и непатченного программного обеспечения. Вредоносные веб-оболочки часто используются для компрометации серверов, предоставляя злоумышленникам шлюз для удаленного выполнения команд, установки вредоносного ПО, кражи данных или запуска дальнейших атак. В ходе инцидента, проанализированного Trend Micro, на сервер был загружен файл веб-оболочки, позволяющий злоумышленнику выполнять команды и, возможно, осуществлять управление с помощью подозрительного IP-адреса сервера. Были введены дополнительные средства для облегчения исходящего трафика, что указывает на сложную стратегию атаки.

При компрометации учетных записей VPN злоумышленники получают доступ с помощью таких методов, как фишинг или использование уязвимостей, для выполнения вредоносных действий в сети. Злоумышленники стремятся внедриться в систему и обойти средства защиты, используя скомпрометированные учетные записи для перемещения в другие стороны и развертывания дополнительной полезной нагрузки. Проведенный Trend Micro анализ выявил такие действия, как развертывание средств удаленного доступа, сканирование сети и попытки использования уязвимостей с повышением привилегий, что свидетельствует о настойчивости и изощренности злоумышленника.

Существенной проблемой в этих инцидентах было отсутствие журналов приложений, что затрудняло понимание векторов атак и выработку точных рекомендаций по обеспечению безопасности. Аудит безопасности и планирование реагирования на инциденты являются важными компонентами проактивной стратегии кибербезопасности, позволяющей организациям выявлять признаки компрометации на ранней стадии и укреплять свою защиту. Раннее обнаружение имеет решающее значение для предотвращения серьезных последствий, таких как развертывание программ-вымогателей, как это было продемонстрировано в ходе предыдущих атак, когда программы-вымогатели были развернуты вскоре после несанкционированного доступа к общедоступному RDP-узлу.

#ParsedReport #CompletenessMedium
25-10-2024

HeptaX: Unauthorized RDP Connections for Cyberespionage Operations

https://cyble.com/blog/heptax-unauthorized-rdp-connections-for-cyberespionage-operations

Report completeness: Medium

Actors/Campaigns:
Heptax (motivation: cyber_espionage)

Threats:
Chromepass_tool

Industry:
Healthcare

TTPs:
Tactics: 8
Technics: 11

IOCs:
File: 11
Registry: 3
Url: 12
Path: 1
Hash: 7

Soft:
Windows Defender

Algorithms:
zip, sha256, base64

Functions:
schReg

Win Services:
WebClient

Languages:
powershell

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 7, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея:.
В тексте описывается обнаружение продолжающейся кампании кибератак под названием "HeptaX", проводимой лабораториями Кибл-исследований и разведки (CRIL). Злоумышленники используют вредоносные файлы LNK, PowerShell и скрипты BAT в сложной многоэтапной цепочке атак, чтобы создать учетную запись администратора, изменить настройки удаленного рабочего стола для несанкционированного доступа и потенциально скомпрометировать учетные записи жертв. Кампания в первую очередь нацелена на сферу здравоохранения с помощью фишинговых электронных писем, при этом злоумышленники получают доступ к удаленному рабочему столу для таких вредоносных действий, как утечка данных. Хакерская группа, стоящая за HeptaX, действует с 2023 года, последовательно используя одни и те же методы атаки и создавая серьезную угрозу кибербезопасности, которая требует усовершенствованных защитных мер.
-----

Исследовательская лаборатория Cyble Research and Intelligence Labs (CRIL) обнаружила продолжающуюся кампанию кибератак с использованием вредоносных файлов LNK, продемонстрировав сложную многоэтапную цепочку атак с использованием сценариев PowerShell и BAT. Атака направлена на создание учетной записи администратора в системе жертвы и изменение настроек удаленного рабочего стола для облегчения несанкционированного доступа по протоколу RDP. Использование средства восстановления пароля ChromePass повышает риск более масштабных взломов учетной записи. Кампания, получившая название "HeptaX" для целей отслеживания, пока не раскрыта. Атака начинается с рассылки ZIP-файла, содержащего вредоносный ярлык, который распространяется с помощью предполагаемых фишинговых электронных писем, предназначенных в первую очередь для сферы здравоохранения. При запуске файл LNK запускает команды PowerShell для загрузки и выполнения дополнительных полезных задач, создавая новую учетную запись пользователя с правами администратора и изменяя настройки протокола удаленного доступа. Злоумышленники получают доступ к удаленному рабочему столу, позволяя выполнять различные вредоносные действия, такие как утечка данных или установка дополнительного вредоносного ПО. Наличие ChromePass подвергает учетные данные жертв еще большему риску. Хакерская группа, стоящая за HeptaX, действует с 2023 года, последовательно применяя одни и те же методы атаки в различных секторах, несмотря на то, что исследователи ранее выявили ее. Использование PowerShell и пакетных сценариев для компрометации системы является отличительной чертой деятельности этой группы. Несмотря на проводимые кампании, эта группа сохраняет неизменные схемы атак, что указывает на необходимость совершенствования мер кибербезопасности для эффективного противодействия этим скрытым угрозам.

#ParsedReport #CompletenessMedium
25-10-2024

It s About The Journey: Fake Cloudflare Authenticator

https://blog.kandji.io/fake-cloudflare-authenticator

Report completeness: Medium

Threats:
Vshell
Sliver_c2_tool

Geo:
China, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1204, T1543, T1105, T1573, T1090, T1574

IOCs:
IP: 1
Url: 2
Hash: 9
File: 3

Soft:
Twitter, macOS, GateKeeper, Linux, Android, unix, crontab, sysctl

Algorithms:
xor, sha256

Functions:
new, spawn, main, access, exit, InitAddr, dlsym, _initaddr, socket, connect, have more...

Win API:
gethostbyname, inet_addr

Languages:
golang, rust, python

Platforms:
apple, cross-platform

Links:
https://github.com/BishopFox/sliver/blob/master/implant/sliver/taskrunner/task\_darwin.go
https://github.com/veo/vshell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 3, code: 10, chats: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе подозрительного файла под названием "Cloudflare Security Authenticator", загруженного из Китая, характеристики которого позволяют предположить, что это образец вредоносного ПО, нацеленного на пользователей Cloudflare. Файл был проанализирован на различных этапах, содержал различные двоичные файлы на разных языках, и в конечном итоге был идентифицирован как VShell, инструмент для моделирования противостояния безопасности и red team. Вредоносная программа демонстрировала запутанные символы и кодировку XOR, выдавая себя за законное приложение TOTP для Cloudflare, цель которого оставалась неясной.
-----

Команда по анализу угроз в Kandji EDR проводит поиск угроз в различных источниках данных, чтобы обеспечить всесторонний охват. 15 октября 2024 года в VirusTotal был обнаружен подозрительный файл под названием "Cloudflare Security Authenticator/cloudflare-auth-tauri", загруженный из Китая в тот же день. Файл, помеченный как dropper, был неподписан и не был обнаружен в VirusTotal. Этот файл также был упомянут в Twitter /X пользователем AzakaSekai_ с хэштегом #vshell.

Файл представлял собой DMG-файл, содержащий текст на китайском языке, в котором пользователю предлагается запустить значок аутентификатора. Значок был необычным, поскольку это был не пакет приложений, а файл Mach-O. Включение "Tauri" в название позволило предположить, что это был образец, скомпилированный в Rust, что подтвердилось в ходе анализа. В приложении Rust указывалось на необходимость поиска функции lang_start, чтобы понять, с чего начинается выполнение.

В ходе анализа были рассмотрены методы ввода-вывода (I/O), при этом метод new() использовался для создания команды для запуска программы по указанному пути. Извлечение встроенного файла из stage 1 Mach-O было выполнено с использованием двоичного кода Ninja с помощью команды Python. Двоичные файлы Stage 2 и stage 3 также были скомпилированы в Rust, что требовало аналогичных методов анализа.

Двоичный файл stage 3 представлял собой скомпилированный на C двоичный файл, который, как оказалось, передавал IP-адрес сервера управления (C2) таким функциям, как gethostbyname() и inet_addr(). Связь с сервером C2 включала отправку запроса GET для другого двоичного файла Mach-O, который был закодирован в формате XOR. Был создан скрипт для декодирования загруженного файла, чтобы приступить к анализу последующих файлов.

Заключительный этап цепочки заражения был написан на языке Golang, в кодировке XOR, с использованием запутанных символов. Эта полезная нагрузка была идентифицирована как VShell, инструмент для моделирования противостояния безопасности и red team. Постоянство было достигнуто с помощью задания cron для выполнения двоичного файла этапа 4 при перезапуске системы. Анализ включал идентификацию имен пакетов Golang и строк, таких как 'LD_PARAMS=%s' и 'DYLD_INSERT_LIBRARIES=%s', которые связывали файл stage 4 с семейством VShell.

Цепочка заражения включала Mach-Os на разных языках, кодировку XOR и запутанные символы, которые отображались как законное приложение TOTP для Cloudflare. Назначение вредоносного ПО остается неясным, но наличие китайских иероглифов в DMG может указывать на потенциальную целевую область для этого вредоносного ПО.

#ParsedReport #CompletenessHigh
25-10-2024

Arctic Wolf Labs Observes Increased Fog and Akira Ransomware Activity Linked to SonicWall SSL VPN

https://arcticwolf.com/resources/blog-uk/arctic-wolf-labs-observes-increased-fog-akira-ransomware-activity-linked-to-sonicwall-ssl-vpn

Report completeness: High

Threats:
Akira_ransomware
Fog_ransomware
Softperfect_netscan_tool
Advanced-port-scanner_tool
Nltest_tool
Adfind_tool
Psexec_tool
Credential_dumping_technique
Mimikatz_tool
Anydesk_tool
Putty_tool
Mobaxterm_tool
Rclone_tool
Shadow_copies_delete_technique

Industry:
Education

Geo:
Canada

CVEs:
CVE-2024-40766 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (<5.9.2.14-13o)


TTPs:
Tactics: 9
Technics: 22

IOCs:
File: 10
IP: 11
Hash: 21

Soft:
Active Directory, oftPerfect Network Scanner •, sExec, SCP • F, PsExec, SoftPerfect Network Scanner, macOS, Linux, ESXI, WinSCP, have more...

Algorithms:
sha1

Languages:
powershell

Links:
https://github.com/sadshade/veeam-creds/blob/main/Veeam-Get-Creds.ps1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в растущей угрозе вторжений программ-вымогателей Fog и Akira, нацеленных на организации через уязвимости в учетных записях SonicWall SSL VPN, в частности CVE-2024-40766. Эти вторжения связаны с быстрым шифрованием данных, утечкой конфиденциальной информации, а также отсутствием современного программного обеспечения и мер безопасности, таких как многофакторная аутентификация. В тексте подчеркивается важность устранения уязвимостей, мониторинга входов в систему через VPN и создания безопасных резервных копий для защиты от атак программ-вымогателей.
-----

С начала августа Arctic Wolf отмечает значительное увеличение числа атак программ-вымогателей Fog и Akira, по меньшей мере, 30 случаев в различных отраслях промышленности.

В ходе этих вторжений были обнаружены вредоносные VPN-логины, нацеленные на учетные записи SonicWall SSL VPN, которые исходили с IP-адресов, связанных с VPS-хостингом.

Ни одно из уязвимых устройств SonicWall не было исправлено для уязвимости CVE-2024-40766, которая потенциально может активно использоваться.

Деятельность программ-вымогателей носит оппортунистический характер и нацелена на различные отрасли и размеры организаций, а не на конкретные секторы.

Скомпрометированные учетные записи SSL VPN часто были локальными для устройств SonicWall и не интегрированы с централизованными решениями аутентификации, такими как Microsoft Active Directory, при этом MFA часто не включался, что подчеркивало пробелы в безопасности.

Злоумышленники сосредотачиваются на быстром шифровании данных, нацеливании на хранилища виртуальных машин и резервные копии, а также на удалении данных, включая общие файлы возрастом до шести месяцев и более конфиденциальную информацию возрастом до 30 месяцев.

Arctic Wolf подчеркивает важность приоритетного устранения уязвимостей, таких как CVE-2024-40766, и создания безопасных резервных копий за пределами сайта для защиты от атак программ-вымогателей.

Arctic Wolf рекомендует отслеживать входы в систему VPN от неожиданных хостинг-провайдеров, обеспечивать обновление встроенного по на устройствах периметра и блокировать или тщательно отслеживать попытки входа в систему от ASN, связанных с хостингом.

Специальные строки скрипта PowerShell, такие как Veeam-Get-Creds.ps1, могут помочь в обнаружении угроз и реагировании на них.

Акшай Сутар, ведущий исследователь в области анализа угроз в Arctic Wolf Labs, уже более семи лет обладает значительным опытом в изучении тактики противника, анализе вредоносных программ и сборе информации об угрозах.

#ParsedReport #CompletenessMedium
25-10-2024

ValleyRAT Insights: Tactics, Techniques, and Detection Methods

https://www.splunk.com/en_us/blog/security/valleyrat-insights-tactics-techniques-and-detection-methods.html

Report completeness: Medium

Threats:
Valleyrat
Process_injection_technique
Uac_bypass_technique
Sandbox_evasion_technique
Fodhelper_technique

Victims:
Chinese-speaking users

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 11

IOCs:
File: 9
Registry: 14
Path: 1
Url: 1
Command: 2
Hash: 2
IP: 2

Soft:
WeChat, DingTalk, Windows Defender, Windows Registry, Slack

Algorithms:
xor

Functions:
EnumSystemLocales

Win API:
SeDebugPrivilege

Languages:
powershell

Links:
https://github.com/redcanaryco/atomic-red-team/blob/a56a368463026f97c92a4435ddd57d6fbdef08ad/atomics/T1548.002/T1548.002.yaml#L1C1-L42C21
https://github.com/redcanaryco/atomic-red-team/blob/a56a368463026f97c92a4435ddd57d6fbdef08ad/atomics/T1548.002/T1548.002.yaml#L43C1-L104C21
https://github.com/redcanaryco/atomic-red-team/blob/a56a368463026f97c92a4435ddd57d6fbdef08ad/atomics/T1053.005/T1053.005.yaml
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что ValleyRAT - это сложный троян для удаленного доступа, предназначенный в первую очередь для китайскоязычных пользователей с помощью фишинговых кампаний. Он использует многоэтапные методы обхода, чтобы оставаться незамеченным, контролировать зараженные системы и устанавливать дополнительные вредоносные плагины для дальнейшего повреждения. Исследовательская группа Splunk Threat проанализировала варианты ValleyRAT, чтобы выделить TTP-адреса MITRE ATT и CK, разработать методы обнаружения и помочь защититься от подобных угроз. Вредоносная программа использует различные тактики, включая манипулирование записями реестра, обход контроля учетных записей, уклонение от обнаружения и поддержание постоянства с помощью запланированных задач и внедрения процессов. Основное внимание уделяется совершенствованию стратегий защиты от развивающихся киберугроз, таких как ValleyRAT.
-----

ValleyRAT - это троян удаленного доступа (RAT), нацеленный на китайскоязычных пользователей с помощью фишинговых кампаний.

Он работает как многоступенчатая, многокомпонентная вредоносная программа, позволяющая избежать обнаружения и оставаться стойкой в зараженных системах.

Вредоносная программа использует дополнительные вредоносные плагины для дальнейшего нанесения ущерба.

ValleyRAT loader расшифровывает ресурс, зашифрованный с помощью TripleDES, и вводит полезную нагрузку в легитимный системный процесс, чтобы избежать обнаружения.

Вредоносная программа использует строки UUID, формат шестнадцатеричных байтов, логические операции XOR и обфускацию в режиме ожидания для выполнения зашифрованного шелл-кода.

ValleyRAT манипулирует записями реестра, использует IP-адреса C2 и хранит пути к файлам активных вредоносных программ на скомпрометированных хостах.

Чтобы избежать обнаружения, ValleyRAT завершает работу средств защиты, отключает автозапуск антивируса, использует функцию исключения защитника Windows и проверяет наличие виртуализированных сред.

Вредоносная программа создает запланированные задачи для автоматического выполнения вредоносной полезной нагрузки для сохранения.

Методы обнаружения, разработанные исследовательской группой Splunk Threat Research, сосредоточены на изменении конфигурации C2, отключении автозапуска антивируса, модификации задач планировщика Windows и обходе контроля учетных записей пользователей.

#ParsedReport #CompletenessLow
26-10-2024

Nikhil "Kaido" Hegde. Turla Backdoor Bypasses ETW, EventLog and AMSI But It s Buggy

https://nikhilh-20.github.io/blog/turla_backdoor_defenses_bypass

Report completeness: Low

Actors/Campaigns:
Turla (motivation: cyber_espionage)

Threats:
Kazuar
De4dot_tool

Geo:
Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1562

IOCs:
Hash: 1
Path: 3
File: 6

Soft:
Event Tracing for Windows

Algorithms:
sha256, xor

Win API:
EventWrite, EtwEventWrite, ReportEventW, AmsiOpenSession, AmsiScanBuffer, LoadLibrary, AmsiInitialize, GetProcAddress, AmsiScanString

Win Services:
EventLog

Languages:
powershell

Links:
https://github.com/huds0nx/dumbassembly
have more...
https://github.com/wickyhu/simple-assembly-explorer
https://github.com/kant2002/de4dot