#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в обнаружении и анализе сложной киберугрозы, нацеленной на Корею, включающей точечные фишинговые атаки, вредоносные команды PowerShell и использование настроенной версии инструмента удаленного управления XenoRAT. Злоумышленники использовали методы социальной инженерии, замаскировали вредоносные файлы и установили соединения с сервером управления в Германии. Анализ, проведенный Центром безопасности Genius, выявляет инфраструктуру угроз, прошлые действия, связанные с APT-атаками, и переход к безфайловым операциям с использованием команд PowerShell. Развертывание Genian EDR рекомендуется для раннего обнаружения угроз и реагирования на них с целью снижения потенциальных рисков.
-----

Центр безопасности Genius (GSC) обнаружил новую угрозу 3 января 2024 года, связанную с локализованными точечными фишинговыми атаками, нацеленными на Корею. Атака началась с рассылки электронных писем, содержащих актуальное содержание колонки мнений из различных СМИ в первый день нового года, замаскированных под сжатый ZIP-файл с новогодними поздравлениями. Злоумышленники пытались обмануть получателей, выдавая себя за знакомых и используя методы социальной инженерии для достижения максимальной эффективности. Сжатый файл с 10-значным уникальным паролем был передан по ссылке, чтобы обойти службы безопасности. После распаковки вредоносный файл LNK, замаскированный под документ DOCX, привел к файлу сценария PowerShell с именем "swolf-first.ps1.".

Посредством развертывания запланированной задачи, выдаваемой за обновление браузера MS Edge, злоумышленники запустили скрытые команды PowerShell. Впоследствии злоумышленник под именем учетной записи "fox tian" загрузил на Google Диск файл под названием "calc.txt", содержащий вредоносные инструкции PowerShell. Эти команды, направленные на сохранение файла RTF и распаковку данных в формате Gz, указывают на сложную стратегию атаки. Злоумышленники использовали настроенную версию средства удаленного управления XenoRAT, известную как "Пользовательский XenoRAT", для установления соединений с сервером C2 в Германии. XenoRAT обладает различными функциями удаленного управления, такими как доступ к веб-камере, регистрация ключей и появление BSOD, а также использует функцию скрытых виртуальных сетевых вычислений (HVNC).

Анализ, проведенный GSC, показал, что IP-адрес инфраструктуры угроз (159.100.29.38) базировался в Германии, с подключениями к корейскому электронному хостингу IC hosting и доменам, связанным с корейскими портальными компаниями и биржами виртуальных активов. Поисковая система criminal IP intelligence AI SPERA предоставила дополнительную информацию о прошлой деятельности IP. GSC также идентифицировала IP как адрес сервера C2 в ходе APT-атаки и обнаружила соединения с доменами, похожими на домены северокорейских организаций.

Атаки APT в Корее перешли к безфайловым операциям с использованием команд PowerShell, чтобы избежать обнаружения традиционными продуктами безопасности. Genian EDR, решение для обнаружения аномалий терминала и реагирования на них, позволяет на ранней стадии идентифицировать угрозы с помощью правил XBA, когда вредоносные команды PowerShell взаимодействуют с сетью. Отслеживая такие действия, как нештатные сетевые подключения к Google Диску и создание файлов документов, службы безопасности могут быстро и эффективно обнаруживать потенциальные угрозы и реагировать на них. Возможности Genian EDR расширяются до обнаружения подозрительных сетевых соединений с помощью команд PowerShell и модулей XenoRAT, обеспечивая улучшенную видимость для реагирования на инциденты и расследования угроз.

#ParsedReport #CompletenessMedium
22-02-2024

HijackLoader Expands Techniques to Improve Defense Evasion

https://cs-staging-2-www.crowdstrike.com/blog/hijackloader-expands-techniques

Report completeness: Medium

Actors/Campaigns:
Doppelgnger

Threats:
Hijackloader
Idat_loader
Process_hollowing_technique
Process_doppelganging_technique
Heavens_gate_technique
Cobalt_strike
Process_injection_technique

TTPs:

IOCs:
Url: 4
Path: 3
File: 4
Hash: 2

Algorithms:
xor

Functions:
Gate, WriteFileW

Win API:
RtlDecompressBuffer, NtWriteVirtualMemory, NtProtectVirtualMemory, CreateProcessW, NtReadFile, NtDelayExecution, NtCreateSection, NtMapViewOfSection, NtSuspendThread, NtGetContextThread, have more...

Platforms:
x64

Links:
https://github.com/hasherezade/transacted\_hollowing/blob/main/transacted\_file.cpp#L13C29
https://gist.github.com/Cr4sh/76b66b612a5d1dc2c614#file-wow64\_call-cpp-L61

#ParsedReport #ExtractedSchema

Classified images:
schema: 12, dump: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - обсуждение сложного варианта вредоносного ПО HijackLoader, известного как IDAT Loader, и его эволюционирующих методов обхода, позволяющих избежать обнаружения решениями безопасности. Исследователи CrowdStrike идентифицировали этот новый вариант, используя расширенные возможности обнаружения и машинное обучение. Вредоносная программа демонстрирует сложное многоступенчатое поведение, используя тактику уклонения, такую как удаление процесса, двойное проникновение и методы обхода перехвата, такие как Heaven's Gate. В тексте также подчеркивается, как вредоносная программа внедряет шелл-код в процессы, такие как cmd.exe, для скрытного выполнения вредоносных действий. CrowdStrike использует многоуровневый подход для обнаружения и предотвращения угроз, таких как HijackLoader, на ранних этапах цепочки атак, сопоставляя свою тактику с платформой MITRE ATT&CK для получения дополнительной информации.
-----

Усложняющийся вариант HijackLoader (IDAT Loader) все чаще используется злоумышленниками для развертывания дополнительных полезных нагрузок и инструментов.

HijackLoader использует передовые методы уклонения, чтобы избежать обнаружения решениями безопасности.

Исследователи CrowdStrike определили новый вариант, используя возможности машинного обучения и обнаружения на основе поведения.

Сложное многоэтапное поведение анализируемого образца HijackLoader, включая деобфускацию, проверку подключения, загрузку двоичного объекта конфигурации второго этапа, расшифровку, загрузку библиотеки DLL Windows и выполнение шеллкода второго этапа.

Методы уклонения, используемые вредоносной программой, такие как выдалбливание процесса, дублирование процесса, отцепление и обход перехвата в пользовательском режиме с использованием Heaven's Gate.

Внедрение последующего шелл-кода в cmd.exe процесс с помощью интерактивных методов опустошения процесса.

Запись окончательной полезной нагрузки в дочерний процесс logagent.exe с помощью шеллкода четвертого этапа с использованием метода обхода перехвата.

Многоуровневый подход CrowdStrike к обнаружению вредоносных программ, таких как HijackLoader, использующий возможности машинного обучения и обнаружения на основе поведения с помощью датчика CrowdStrike Falcon.

Сопоставление тактики, методов и процедур HijackLoader с платформой MITRE ATT&CK для получения информации о моделях поведения и методах, используемых вредоносным ПО.

#ParsedReport #CompletenessLow
23-02-2024

Doppelgnger NG \| Russian Cyberwarfare campaign

https://www.clearskysec.com/dg

Report completeness: Low

Actors/Campaigns:
Doppelgnger (motivation: cyber_espionage)
Fancy_bear (motivation: cyber_espionage)

Geo:
Ukraine, France, Russian, Germany, Israel

ChatGPT TTPs:
do not use without manual check
T1566, T1565, T1593, T1583, T1584

IOCs:
Domain: 183

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в раскрытии и анализе российской инициативы по ведению информационной войны под названием Doppelgnger NG, которая предполагает распространение ложной информации через поддельные веб-сайты и платформы социальных сетей в глобальном масштабе. Кампания была связана с российской группой кибершпионажа APT28, что свидетельствует о сотрудничестве между двумя организациями в манипулировании общественным мнением, влиянии на геополитическую динамику и достижении стратегических целей посредством тайных онлайн-операций. Эволюция и расширение Doppelgnger NG подчеркивают постоянную угрозу, исходящую от спонсируемых государством кампаний информационной войны, и проблемы в выявлении такой деятельности и противодействии ей.
-----

ClearSky Cyber Security и SentinelLabs обнаружили российскую операцию по ведению информационной войны "Doppelgänger NG", включающую распространение ложной информации по всему миру через поддельные веб-сайты и платформы социальных сетей.

Операции Doppelgänger NG возобновились в 2024 году с использованием новой инфраструктуры и были связаны с российской группой кибершпионажа APT28, что подразумевает сотрудничество между двумя организациями.

Кампания была нацелена на такие страны, как Соединенные Штаты, Германия, Израиль, Франция и Украина, используя более 150 доменов, на которых размещались сфабрикованные новости, для манипулирования общественным мнением.

Расширяя список своих жертв и используя новую инфраструктуру, Doppelgänger NG стремилась повлиять на ключевые заинтересованные стороны в стратегических странах, исказить реальность и усилить существующую напряженность.

Взаимосвязанный характер доменов и каналов социальных сетей в сети Doppelgänger NG предполагает систематические усилия по манипулированию общественным восприятием и посеянию раздора.

Многоаспектный подход кампании, включающий различные направления распространения ложной информации, создает серьезную проблему для эффективного противодействия онлайн-дезинформации.

Развивающаяся тактика Doppelgänger NG подчеркивает постоянную угрозу спонсируемых государством кампаний информационной войны, подчеркивая важность постоянной бдительности, сотрудничества и технологических достижений для смягчения последствий.

#ParsedReport #CompletenessLow
22-02-2024

Cisco Talos Blog. TikTok s latest actions to combat misinformation shows it s not just a U.S. problem

https://blog.talosintelligence.com/threat-source-newsletter-feb-22-2024

Report completeness: Low

Actors/Campaigns:
Volt_typhoon (motivation: information_theft, cyber_espionage)

Threats:
Chrysaor
Astaroth
Mekotio
Ousaban

Victims:
U.s. political system, Political opponents in poland, Blackberry, iphone, android device users, Indonesian iphone users, Communications, manufacturing, utility, it, education sectors, u.s. emergency services, Latin american and european targets

Industry:
Financial, Ics, Military, Government, Education, Energy

Geo:
Russian, China, Ghana, Indonesia, Greek, Africa, Ukraine, California, Greece, America, Emirates, Chinese, American, Poland, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1566, T1190, T1588.002, T1027, T1562.001, T1608.002, T1499

IOCs:
Hash: 10
File: 6

Soft:
TikTok, Android

Algorithms:
md5

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста - глобальная проблема дезинформации, продолжающееся злоупотребление правительствами шпионскими программами, киберугрозы, исходящие от продвинутых групп постоянных угроз, таких как Volt Typhoon, использование украинскими военными тактики радиоэлектронной борьбы и злоупотребление Google Cloud Run в кампаниях распространения вредоносных программ, нацеленных на жертв в Латинской Америке и Европа.
-----

Проблема дезинформации не ограничивается американской культурой, поскольку это глобальная проблема, затрагивающая все страны на различных платформах. Платформы социальных сетей, такие как TikTok, позволяют отдельным лицам непреднамеренно распространять фейковые новости без злого умысла. Эта проблема еще более усугубляется в США из-за их выдающегося политического ландшафта, который привлекает внимание мировой общественности. Распространение дезинформации во время выборов в одной стране может иметь последствия для выборов в других странах, подчеркивая взаимосвязанный характер дезинформации. Эта проблема является постоянной, и ее сложно устранить, как только она укоренится на платформе.

В качестве отдельного события Польша инициировала официальное расследование возможного неправомерного использования шпионского ПО Pegasus бывшими правительственными чиновниками. Целью расследования является определение того, использовало ли правительство "Закона и справедливости" (PiS) спорное шпионское ПО для слежки за политическими оппонентами и нацеливания на них. Сообщается, что группа NSO, создатели Pegasus, представила новый эксплойт под названием MMS Fingerprint, который позволяет пользователям собирать информацию с различных типов устройств без взаимодействия с пользователем. Кроме того, другому стартапу по разработке шпионского ПО под названием Variston грозит закрытие после того, как утечка эксплойтов нулевого дня в Google раскрыла его деятельность. Variston нацелился на устройства Apple, включая кампанию в Индонезии, и, как сообщается, часть его шпионского ПО была отправлена в Объединенные Арабские Эмираты.

Что касается кибербезопасности, базирующаяся в Китае группа advanced persistent threat (APT) под названием Volt Typhoon продолжает фильтровать конфиденциальную информацию из сетей операционных технологий (OT) по всему миру. Группа нацелилась на организации в различных секторах, включая связь, производство, коммунальные услуги, информационные технологии и образование, с недавним акцентом на критически важные сети в США. В частности, тайфун Volt проник в сеть экстренных служб города США и сети критически важной инфраструктуры в Африке, создавая риски нарушения производственных процессов или содействия будущим наступательным операциям против сетей ICS.

В ответ на российскую агрессию украинские военные используют тактику радиоэлектронной борьбы для противодействия боеприпасам с радарным и GPS-наведением, непреднамеренно вызывая сбои в измерениях GPS и перебои в обслуживании электросети. Совместные усилия инженеров и специалистов по безопасности из различных организаций сыграли важную роль в решении проблемы GPS для радиоэлектронной борьбы, способствуя стабилизации некоторых участков сети передачи данных Украины.

Более того, Google Cloud Run используется не по назначению в масштабных кампаниях по распространению вредоносных программ, нацеленных в первую очередь на жертв в Латинской Америке и Европе. Банковские трояны, такие как Astaroth, Mekotio и Ousaban, распространяются с помощью кампаний рассылки по электронной почте, причем с сентября 2023 года наблюдается увеличение их объема. Talos выпустила новые подписи ClamAV и правила Snort для борьбы с этими банковскими троянами и предупредила Google о необходимости устранения этой активности внутри облачного сервиса.

#ParsedReport #CompletenessLow
23-02-2024

Shadow Ops Exposed: Inside the Leak of China s i-Soon Cyber Espionage Empire

https://socradar.io/shadow-ops-exposed-inside-the-leak-of-chinas-i-soon-cyber-espionage-empire

Report completeness: Low

Actors/Campaigns:
Winnti (motivation: cyber_espionage)
Axiom
Earth_empusa (motivation: cyber_espionage)
Red_delta (motivation: cyber_espionage)
Ta428 (motivation: cyber_espionage)

Threats:
Empire_loader
Beacon

Victims:
Chinese citizens, Foreigners, Ethnic groups, Dissidents

Industry:
Financial, Government, Telco

Geo:
Philippines, Vietnam, India, Chinese, Egypt, Nepal, Mongolia, Kazakhstan, Korea, Taiwanese, Myanmar, Pakistan, Thailand, Kyrgyzstan, Rwanda, Indonesia, China, Afghanistan, Nigeria, Malaysia, Cambodia, Taiwan

ChatGPT TTPs:
do not use without manual check
T1001, T1566, T1583, T1595, T1590, T1204, T1543, T1589

IOCs:
Email: 1

Soft:
Android, Telegram, WeChat

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, table: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что массовая утечка данных из китайской охранной фирмы i-Soon выявила обширную шпионскую деятельность, инструменты взлома и поддерживаемые государством кибероперации, проливающие свет на сложную сеть ИТ-компаний, участвующих в кибервойне в Китае.
-----

Беспрецедентная онлайн-утечка документов из частной китайской охранной фирмы i-Soon (Anxun на мандаринском) вызвала обеспокоенность у китайских властей, правоохранительных органов, исследователей кибербезопасности и других заинтересованных сторон. Утечка на GitHub выявила огромное количество данных, включая хакерские инструменты и сервисы, используемые фирмой, которая, как известно, действует как группа передовых постоянных угроз (APT) от имени Министерства общественной безопасности Китая. Считается, что эта преднамеренная утечка была организована недовольным сотрудником компании.

Просочившиеся документы проливают свет на причастность и-Суна к шпионской деятельности, направленной против различных групп, включая этнические меньшинства и диссидентов в Китае, особенно в таких регионах, как Гонконг и Синьцзян. Тактика, раскрытая в утечке, демонстрирует, как китайские чиновники следили за диссидентами за рубежом, проникали в зарубежные компьютерные сети и распространяли пропекинские сообщения на платформах социальных сетей. Сообщается, что нарушение включало кражу терабайт данных из нескольких стран, что указывает на широкий размах шпионской деятельности Китая.

Инцидент стал известен, когда 15 января человек создал адрес электронной почты I-SOON@proton.me, который позже был использован для загрузки значительной коллекции документов, связанных с i-Soon, на GitHub. Эти документы, обнаруженные и распространенные тайваньским аналитиком, продемонстрировали агрессивные маркетинговые стратегии компании, особенно подчеркивая ее антитеррористические инициативы по обеспечению контрактов, особенно в Синьцзяне. Утечки также позволили получить представление об инструментах проникновения в сеть i-Soon, таких как уникальные устройства наблюдения, замаскированные под блоки питания для извлечения данных.

Утечка данных намекала на потенциальные связи между i-Soon и известными группами APT, предполагая наличие более крупной сети поддерживаемых государством киберопераций. Прошлые расследования шпионской деятельности Китая выявили связи между i-Soon и другими организациями, участвующими в спонсируемых государством хакерских кампаниях, что указывает на сложную сеть IT-компаний в Китае, вовлеченных в кибервойну. Утечки также подчеркнули стратегическое значение Чэнду, где базируется i-Soon, как центра киберопераций и намекнули на его участие в международных усилиях по кибершпионажу.

Утечка документов выявила оперативную тактику, сходную с тактикой других групп APT, таких как Jackpot Panda, Poison Carp, TA428 и Mustang Panda, расширяющую сферу киберактивности Министерства общественной безопасности Китая. Примеры данных, обнаруженных в результате утечки, включали скомпрометированные телекоммуникационные записи и базы данных служб, основанных на местоположении, что подчеркивало масштабы усилий Китая по сбору разведывательной информации. Подробные сведения о пользовательских троянах удаленного доступа (RATs), разработанных для различных операционных систем, включая iOS и Android, продемонстрировали сложные возможности, используемые злоумышленниками для получения конфиденциальной информации.

Утечка данных i-Soon служит наглядным напоминанием о меняющемся ландшафте киберугроз, с которыми сталкиваются организации по всему миру. Такие инструменты, как SOCRadar, рекомендуются организациям, стремящимся усилить свою защиту от таких сложных угроз. Используя передовые аналитические алгоритмы и экспертов-аналитиков, SOCRadar обеспечивает проактивный мониторинг веб-страниц на предмет потенциальных утечек данных и раскрытия интеллектуальной собственности, защищая организации от кражи личных данных и других киберрисков.

#technique

Amaterasu, a kernel-level tool for killing anti-virus processes

https://mp-weixin-qq-com.translate.goog/s/i-kGysEehnP3UJz1lQTrLw?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=ru&_x_tr_pto=wapp

#ParsedReport #CompletenessLow
26-02-2024

Shadow hunting: Analysis of APT-LY-1009s attack activities using VenomRAT and Telegram Bot against the Armenian government

https://www.ctfiot.com/160910.html

Report completeness: Low

Threats:
Apt-ly-1009_groop
Venomrat
Mohlat_stealer
Upx_tool

Victims:
Government of the republic of armenia

Industry:
Government

Geo:
Armenia

ChatGPT TTPs:
do not use without manual check
T1566, T1204, T1059, T1140, T1105, T1027, T1218, T1071, T1041, T1560, have more...

Soft:
Telegram, WeChat

Languages:
powershell, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (RSTReportsAnalyser + ChatGPT + Auto Translate)

------
Основная идея: Лаборатория информационного поиска Anheng обнаружила серию изощренных кибератак, приписываемых неизвестной группе угроз APT-LY-1009 или Darkclaw Eagle, нацеленных на правительство Республики Армения. Эти атаки включают в себя внедрение вредоносного ПО Venom RAT, Telegram-бота для эксфильтрации данных и похитителя информации по имени Mohlat Stealer, использующего тактику, включающую фишинговые электронные письма и вредоносные вложения. Деятельность группы угроз и схемы атак подробно описаны в отчете, опубликованном Охотничьей лабораторией для заинтересованных сторон.
-----

Лаборатория информационного поиска Anheng недавно обнаружила вредоносный файл LNK, который был загружен из Армении во время их ежедневных мероприятий по поиску угроз. После выполнения файл LNK загружает удаленный HTA-файл, который затем запускает несколько инструкций скрипта, загружает загрузчик вредоносных файлов и выпускает файл-приманку. В конечном счете, в память загружается троянец дистанционного управления с открытым исходным кодом, известный как Venom RAT. Этот инцидент был связан с группой APT, нацеленной на правительство Республики Армения. В сентябре 2023 года Hunting Lab перехватила документ, содержащий вредоносный макрокод, который был загружен в Ереване, столице Армении. Когда макрокод выполняется, он извлекает вредоносный файл для выполнения инструкций сценария и в конечном итоге загружает Venom RAT в память.

Из-за сходства целей, тактики атак и взаимосвязи инфраструктуры между двумя инцидентами, зафиксированными в сентябре 2023 года и январе текущего года, организация, стоящая за этими атаками, была идентифицирована как неизвестная группа угроз с маркировкой APT-LY-1009 или Darkclaw Eagle. В настоящее время эта группа угроз находится под наблюдением. В дополнение к развертыванию вредоносного ПО Venom RAT исследователи также выявили присутствие Telegram-бота в сетевых ресурсах APT-LY-1009. Этот бот использовался для сбора информации с целевых хостов и облегчения загрузки данных. Проанализировав путь PDB, содержащийся в образце, исследователи идентифицировали похитителя информации по имени Mohlat Stealer, который был разработан в двух версиях - C# и Rust. Некоторые экземпляры этого похитителя информации были упакованы с использованием UPX.

Дальнейшие расследования выявили несколько атак APT-LY-1009, направленных против правительственных служащих в Армении. Эти атаки включали фишинговые электронные письма с вредоносными вложениями, содержащими макрокод. После выполнения макрокод запускает загрузку исполняемого файла для выполнения команд Powershell, который, в свою очередь, загружает загрузчик и, наконец, расшифровывает и загружает Venom RAT в память. В дополнение к этим цепочкам атак исследователи также обнаружили дополнительные фишинговые URL-адреса, исходящие из Армении, которые были связаны с теми же схемами атак. Некоторые из этих файлов маскировались под объявления о вакансиях в правительстве Армении, чтобы заманить жертв. Вредоносные компоненты, распространявшиеся в ходе этих атак, включали версии C# и Rust, связанные с Telegram-ботом, с целью кражи информации о хостинге у пользователей.

Охотничья лаборатория исследовательского института Аньхэн опубликовала эксклюзивный отчет под названием "Анализ атак APT-LY-1009 с использованием VenomRAT и Telegram-бота против правительства Армении". Заинтересованные стороны могут получить более подробную информацию из отчета, загрузив его с помощью предоставленных методов, таких как сканирование QR-кода, включенного в публикацию.

#ParsedReport #CompletenessMedium
23-02-2024

Xeno RAT: A New Remote Access Trojan with Advance Capabilities

https://www.cyfirma.com/outofband/xeno-rat-a-new-remote-access-trojan-with-advance-capabilities

Report completeness: Medium

Threats:
Xenorat
Process_injection_technique

Industry:
Education

TTPs:
Tactics: 5
Technics: 6

IOCs:
Domain: 1
IP: 2
Path: 2
File: 7
Hash: 6

Soft:
Discord, WhatsApp, Active Directory, Sysinternals

Algorithms:
md5, sha256, zip