Path	Lines of Code
cortado/cli.py	197
cortado/rtas/__init__.py	121
cortado/rtas/_cli.py	79
cortado/rtas/_common.py	429
cortado/rtas/_const.py	15
cortado/rtas/adobe_hijack.py	32
cortado/rtas/adobe_priv_helper_tool.py	22
cortado/rtas/app_bundler_execution.py	28
cortado/rtas/app_hijack.py	25
cortado/rtas/appcompat_shim.py	22
cortado/rtas/applescript_decoded_via_base64.py	14
cortado/rtas/at_command.py	53
cortado/rtas/at_job.py	17
cortado/rtas/atom_init_coffee.py	23
cortado/rtas/attempt_to_establish_vscode.py	19
cortado/rtas/auth_plugin.py	14
cortado/rtas/automator_workflows.py	28
cortado/rtas/background_process_from_tmp.py	19
cortado/rtas/bash_cmdline_history.py	20
cortado/rtas/bifrost_attack.py	19
cortado/rtas/binary_execution_from_shared_memory.py	22
cortado/rtas/binary_masquerade.py	22
cortado/rtas/bitsadmin_download.py	25
cortado/rtas/bitsadmin_execution.py	25
cortado/rtas/browser_cred_access.py	21
cortado/rtas/browser_debugging.py	44
cortado/rtas/browser_exec_downloaded_file.py	22
cortado/rtas/brute_force_login.py	43
cortado/rtas/builtin_cmd_file_delete.py	37
cortado/rtas/c2_dns_from_iso.py	27
cortado/rtas/calendar_file_mod.py	21
cortado/rtas/cat_network_activity.py	24
cortado/rtas/certutil_file_obfuscation.py	29
cortado/rtas/certutil_webrequest.py	22
cortado/rtas/child_w3wp.py	18
cortado/rtas/cloud_eicar.py	19
cortado/rtas/clr_logs_creation.py	26
cortado/rtas/cmd_shell_via_word.py	20
cortado/rtas/cmstp_image_load.py	32
cortado/rtas/collection_keylog_hook_keystate.py	81
cortado/rtas/collection_keylog_rawinputdevice.py	233
cortado/rtas/comsvcs_dump.py	36
cortado/rtas/crashdump_disabled.py	19
cortado/rtas/credaccess_reg_query_privesc_token_manip.py	123
cortado/rtas/credaccess_sam_from_vss.py	47
cortado/rtas/credential_access_dump_hashes_via_cmd.py	18
cortado/rtas/credential_access_known_utilities.py	18
cortado/rtas/credential_access_osascript_phishing.py	19
cortado/rtas/credential_dumping.py	19
cortado/rtas/credential_dumping_via_proc.py	33
cortado/rtas/credman_discovery.py	23
cortado/rtas/cron_tab_file_create.py	17
cortado/rtas/cscript_suspicious_args.py	27
cortado/rtas/curl_data_exfil.py	18
cortado/rtas/curl_payload_download.py	21
cortado/rtas/curl_sus_payload.py	21
cortado/rtas/cve_2019_14287.py	26
cortado/rtas/cve_2023_0386.py	22
cortado/rtas/darkradiation.py	20
cortado/rtas/dcom_lateral_movement_with_mmc.py	25
cortado/rtas/ddns_lolbas.py	22
cortado/rtas/ddns_unsigned.py	21
cortado/rtas/decoy_document_creation_via_curl.py	9
cortado/rtas/defensive_evasion_reflective_loading.py	15
cortado/rtas/defensive_evasion_safari_modification.py	25
cortado/rtas/delete_bootconf.py	21
cortado/rtas/delete_catalogs.py	17
cortado/rtas/delete_quarantine_attrib.py	23
cortado/rtas/delete_usnjrnl.py	17
cortado/rtas/delete_volume_shadows.py	16
cortado/rtas/directory_service_plugin_file.py	18
cortado/rtas/disable_iptables_controls.py	20
cortado/rtas/disable_os_security_updates.py	35
cortado/rtas/disable_security_controls.py	23
cortado/rtas/disable_windows_fw.py	26
cortado/rtas/discovery_builtin_cmd.py	17
cortado/rtas/discovery_virtual_machine_grep.py	20
cortado/rtas/dmg_create_in_tmp.py	21
cortado/rtas/dock_plist.py	17
cortado/rtas/double_persist.py	21
cortado/rtas/dscl_auth_validation_via_unsigned_or_untrusted_binary.py	13
cortado/rtas/dscl_hidden_account.py	19
cortado/rtas/dseditgroup_admin_add.py	17
cortado/rtas/dsenableroot_account.py	16
cortado/rtas/dylib_injection.py	28
cortado/rtas/dynwrapx_image_load.py	37
cortado/rtas/echo_tmp_file_create.py	23
cortado/rtas/edmond_child_process.py	17
cortado/rtas/eggshell_backdoor.py	21
cortado/rtas/eicar.py	26
cortado/rtas/elevated_osascript_execution.py	26
cortado/rtas/emond_child_process.py	20
cortado/rtas/emond_plist.py	14
cortado/rtas/empire_stager.py	23
cortado/rtas/enum_commands.py	55
cortado/rtas/enumeration_linpeas.py	22
cortado/rtas/env_variable_hijacking.py	21
cortado/rtas/evasion_addinproc_certoc_odbc_gfxdwn.py	35
cortado/rtas/evasion_loadlib_via_callback.py	19
cortado/rtas/evasion_ntdll_from_unusual_path.py	30
cortado/rtas/evasion_oversized_dll_load.py	48
cortado/rtas/evasion_patch_etw_amsi.py	61
cortado/rtas/evasion_unhook_ldrloaddll.py	20
cortado/rtas/exec_certoc_dll.py	17
cortado/rtas/exec_cmd_adfind.py	17
cortado/rtas/exec_cmd_appcmd_logging.py	17
cortado/rtas/exec_cmd_arp.py	14
cortado/rtas/exec_cmd_aspnet_regiis.py	19
cortado/rtas/exec_cmd_attrib_hidden.py	19
cortado/rtas/exec_cmd_auditpol.py	22
cortado/rtas/exec_cmd_clear_history.py	14
cortado/rtas/exec_cmd_compiled_html.py	20
cortado/rtas/exec_cmd_endpoint_security_masquerading.py	19
cortado/rtas/exec_cmd_fltmc_unload.py	17
cortado/rtas/exec_cmd_fsutil_fsinfo.py	14
cortado/rtas/exec_cmd_hidden_share.py	17
cortado/rtas/exec_cmd_mklink.py	14
cortado/rtas/exec_cmd_mpcmdrun_download.py	17
cortado/rtas/exec_cmd_msdt.py	26
cortado/rtas/exec_cmd_mssql_xp_cmdshell.py	20
cortado/rtas/exec_cmd_net_stop.py	22
cortado/rtas/exec_cmd_net_use.py	19
cortado/rtas/exec_cmd_netsh_advfirewall_network_discovery.py	21
cortado/rtas/exec_cmd_netsh_remotedesktop.py	21
cortado/rtas/exec_cmd_nltest.py	16
cortado/rtas/exec_cmd_non_executable_file.py	16
cortado/rtas/exec_cmd_ntdsdit.py	14
cortado/rtas/exec_cmd_posh_mailbox.py	16
cortado/rtas/exec_cmd_psexesvc.py	26
cortado/rtas/exec_cmd_pwd_appcmd.py	19
cortado/rtas/exec_cmd_rundll32.py	20
cortado/rtas/exec_cmd_rundll32_davsetcookie.py	20
cortado/rtas/exec_cmd_set_casmailbox.py	18
cortado/rtas/exec_cmd_set_mppreference.py	25
cortado/rtas/exec_cmd_short_name.py	24
cortado/rtas/exec_cmd_susp_args.py	14
cortado/rtas/exec_cmd_windows_firewall_disabled.py	18
cortado/rtas/exec_cmd_wmi_cmdexe.py	18
cortado/rtas/exec_cmd_wmi_subscription.py	17
cortado/rtas/exec_cmd_wmic_antivirus_enum.py	17
cortado/rtas/exec_cmd_workfolders.py	21
cortado/rtas/exec_cmd_xwizard.py	22
cortado/rtas/exec_conhost_indirect.py	22
cortado/rtas/exec_control_panel_cpl.py	15
cortado/rtas/exec_cscript_archive_args.py	26
cortado/rtas/exec_cscript_suspicious_powershell.py	23
cortado/rtas/exec_curl_output.py	15
cortado/rtas/exec_dll_file_compressed.py	31
cortado/rtas/exec_dnguard_program.py	25
cortado/rtas/exec_echo_named_pipe.py	16
cortado/rtas/exec_explorer_trampoline.py	30
cortado/rtas/exec_forfiles.py	17
cortado/rtas/exec_from_mount.py	20
cortado/rtas/exec_from_python.py	22
cortado/rtas/exec_from_terminal.py	20
cortado/rtas/exec_gfxdownloadwrapper.py	18
cortado/rtas/exec_ingress_tool_posh.py	19
cortado/rtas/exec_java_revshell_linux.py	26
cortado/rtas/exec_java_via_scripting.py	38
cortado/rtas/exec_ms_dotnet_clickonce.py	39
cortado/rtas/exec_msdt_diagcab.py	26
cortado/rtas/exec_msiexec_dllregisterserver.py	18
cortado/rtas/exec_nodejs.py	17
cortado/rtas/exec_nohup.py	20
cortado/rtas/exec_odbcconf.py	19
cortado/rtas/exec_officecmd.py	22
cortado/rtas/exec_persistence_from_iso.py	33
cortado/rtas/exec_privhelper_tool.py	22
cortado/rtas/exec_renamed_msbuild.py	24
cortado/rtas/exec_renamed_winword.py	26
cortado/rtas/exec_scripting_persistence_locations.py	46
cortado/rtas/exec_scripting_unusual_extension.py	17
cortado/rtas/exec_scripting_via_html_app.py	22
cortado/rtas/exec_shell_kworker.py	22
cortado/rtas/exec_shortcut_embedded_obj.py	24
cortado/rtas/exec_sliver_posh.py	18
cortado/rtas/exec_sqlserver_suspicious_child.py	19
cortado/rtas/exec_susp_explorer.py	15
cortado/rtas/exec_susp_msiexec.py	20
cortado/rtas/exec_susp_parent_child.py	20
cortado/rtas/exec_svchost_child_schedule.py	20
cortado/rtas/exec_tclsh.py	20
cortado/rtas/exec_unusual_directory.py	20
cortado/rtas/exec_unusual_path_msmpeng.py	27
cortado/rtas/exec_vs_prebuildevent.py	27
cortado/rtas/exec_vsls_agent.py	18
cortado/rtas/exec_winword_susp_parent.py	21
cortado/rtas/execution_iso_dll_rundll32.py	24
cortado/rtas/execution_iso_dll_sideload.py	24
cortado/rtas/execution_linux_curl_cve_2023_38545.py	25
cortado/rtas/execution_node_child_process.py	28
cortado/rtas/execution_pubprn.py	29
cortado/rtas/extexport_sideload.py	27
cortado/rtas/file_ads_creation.py	22
cortado/rtas/file_create_dpapi_key.py	21
cortado/rtas/file_create_exchange_um.py	26
cortado/rtas/file_create_exec_pdf_reader.py	25
cortado/rtas/file_create_lsass_dump.py	16
cortado/rtas/file_create_mimilsa_log.py	18
cortado/rtas/file_create_ms_addins.py	21
cortado/rtas/file_create_mstsc_startup.py	22
cortado/rtas/file_create_outlook_vba.py	19
cortado/rtas/file_create_powershell_profile.py	19
cortado/rtas/file_create_scripting_startup.py	22
cortado/rtas/file_create_smss_exec.py	23
cortado/rtas/file_create_task_file.py	16
cortado/rtas/file_create_vbs_startup.py	21
cortado/rtas/file_creation_teamviewer.py	18
cortado/rtas/file_delete_spool_driver.py	16
cortado/rtas/file_delete_vbk.py	21
cortado/rtas/file_double_extension.py	15
cortado/rtas/file_exe_ususual_extension.py	20
cortado/rtas/file_html_smuggling.py	35
cortado/rtas/file_mod_via_chmod.py	18
cortado/rtas/file_ms_template_macros.py	20
cortado/rtas/file_potential_dll_hijacking.py	33
cortado/rtas/file_script_startup_folder.py	25
cortado/rtas/file_susp_browser_extension.py	22
cortado/rtas/finder_sync_plugin.py	23
cortado/rtas/findstr_pw_search.py	14
cortado/rtas/firewall_allowlist_modif_unsigned.py	22
cortado/rtas/fltmc_unload.py	18
cortado/rtas/funzip_extract_content.py	48
cortado/rtas/gdb_init_secret_dump.py	20
cortado/rtas/git_creds_access.py	24
cortado/rtas/globalflags.py	25
cortado/rtas/grep_software_discovery.py	23
cortado/rtas/hidden_file_mount.py	22
cortado/rtas/hidden_plist.py	16
cortado/rtas/hosts_file_modify.py	42
cortado/rtas/html_help_file_written_exec.py	25
cortado/rtas/image_load_dnguard.py	25
cortado/rtas/image_load_msbuild_vaultcli.py	33
cortado/rtas/image_load_phantomdll.py	34
cortado/rtas/image_load_rdp_client_dll.py	26
cortado/rtas/image_load_script_interpreter_wmiutils.py	31
cortado/rtas/image_load_taskhost.py	30
cortado/rtas/image_load_vaultcli.py	25
cortado/rtas/impersonate_trusted_installer.py	73
cortado/rtas/inhibit_system_recovery.py	50
cortado/rtas/inhibit_system_recovery_and_rename.py	27
cortado/rtas/inhibit_system_recovery_cmd.py	19
cortado/rtas/inhibit_system_recovery_lolbas_child.py	25
cortado/rtas/inhibit_system_recovery_office.py	27
cortado/rtas/inhibit_system_recovery_renamed.py	19
cortado/rtas/installutil_network.py	54
cortado/rtas/ip_discovery_unsigned.py	21
cortado/rtas/iqy_file_writes.py	33
cortado/rtas/iterm2_autolaunch.py	30
cortado/rtas/javascript_payload.py	19
cortado/rtas/kcc_kerberos_dump.py	19
cortado/rtas/kerberos_netconn_file_creation.py	20
cortado/rtas/kernel_module_removal_execution.py	18
cortado/rtas/kernelext_agent_unload.py	27
cortado/rtas/kext_load.py	24
cortado/rtas/keychain_cred_access.py	22
cortado/rtas/keychain_dump.py	19
cortado/rtas/keychain_pwd_cmdline.py	21
cortado/rtas/lateral_command_psexec.py	17
cortado/rtas/lateral_commands.py	66
cortado/rtas/launchagent_plist.py	25
cortado/rtas/launchd_load_plist.py	27
cortado/rtas/launchdaemon_persistence.py	24
cortado/rtas/ldapsearch_group_enumeration.py	21
cortado/rtas/link_to_tmp.py	19
cortado/rtas/linux_command_and_control_cupsd_foomatic_rip_netcon.py	23
cortado/rtas/linux_command_and_control_curl_wget_hidden_directory_output.py	26
cortado/rtas/linux_command_and_control_ip_address_arg_from_hidden_executable.py	26
cortado/rtas/linux_command_and_control_telegram_api_request.py	24
cortado/rtas/linux_command_execution_via_env.py	18
cortado/rtas/linux_compilation_in_sus_dir.py	31
cortado/rtas/linux_compress_sensitive_files.py	30
cortado/rtas/linux_cron_hidden_execution.py	25
cortado/rtas/linux_decoded_or_decrypted_payload_written_to_sus_dir.py	23
cortado/rtas/linux_defense_evasion_base64_xxd_decode_arg_evasion.py	24
cortado/rtas/linux_defense_evasion_busybox_indirect_shell_spawn.py	27
cortado/rtas/linux_defense_evasion_hex_payload_execution.py	24
cortado/rtas/linux_defense_evasion_lolbin_so_load.py	24
cortado/rtas/linux_defense_evasion_process_hiding_via_hidepid_mount.py	24
cortado/rtas/linux_defense_evasion_process_injection_via_dd.py	24
cortado/rtas/linux_defense_evasion_process_masquerading_via_exec.py	30
cortado/rtas/linux_defense_evasion_proxy_execution_via_crash.py	30
cortado/rtas/linux_defense_evasion_proxy_execution_via_ld_so.py	30
cortado/rtas/linux_defense_evasion_proxy_execution_via_php.py	30
cortado/rtas/linux_defense_evasion_proxy_execution_via_pidstat.py	30
cortado/rtas/linux_defense_evasion_proxy_execution_via_sed.py	30
cortado/rtas/linux_defense_evasion_proxy_execution_via_split.py	30
cortado/rtas/linux_defense_evasion_proxy_execution_via_sysctl.py	30
cortado/rtas/linux_defense_evasion_proxy_execution_via_tcpdump.py	24
cortado/rtas/linux_defense_evasion_shebang_decoded_via_builtin_utility.py	26
cortado/rtas/linux_defense_evasion_sysctl_kernel_feature_activity.py	24
cortado/rtas/linux_discovery_command_from_sus_dir.py	28
cortado/rtas/linux_exec_interactive_shell.py	23
cortado/rtas/linux_execution_bind_shell_via_nc_traditional.py	24
cortado/rtas/linux_execution_bind_shell_via_node.py	24
cortado/rtas/linux_execution_bind_shell_via_socket.py	24
cortado/rtas/linux_execution_cupsd_foomatic_rip_shell_execution.py	30
cortado/rtas/linux_execution_cupsd_foomatic_rip_suspicious_child_execution.py	26
cortado/rtas/linux_execution_gsocket_activity.py	24
cortado/rtas/linux_execution_hidden_process_unusual_execution.py	24
cortado/rtas/linux_execution_interactive_shell_spawn_from_hidden_process.py	24
cortado/rtas/linux_execution_kill_from_executable_in_unusual_location.py	29
cortado/rtas/linux_execution_linux_powershell_outbound_network_connection.py	32
cortado/rtas/linux_execution_of_file_dropped_by_openssl.py	35
cortado/rtas/linux_execution_renice_ulimit.py	28
cortado/rtas/linux_execution_reverse_or_bind_shell_via_utility.py	24
cortado/rtas/linux_execution_reverse_shell_or_listener_via_socat.py	24
cortado/rtas/linux_execution_setsid_nohup_unusual_execution.py	24
cortado/rtas/linux_file_made_executable_by_sus_parent.py	20
cortado/rtas/linux_hack_tool.py	17
cortado/rtas/linux_hidden_executable_netcon.py	26
cortado/rtas/linux_hidden_file_mount.py	18
cortado/rtas/linux_impact_enable_write_access_to_msr.py	24
cortado/rtas/linux_impact_potential_mining_pool_detection.py	23
cortado/rtas/linux_initd_unusual_binary_execution.py	27
cortado/rtas/linux_motd_netcon.py	36
cortado/rtas/linux_payload_decoded_and_decrypted_via_builtin_util.py	22
cortado/rtas/linux_persistence_apt_package_manager_execution.py	31
cortado/rtas/linux_persistence_direct_crontab_modification.py	29
cortado/rtas/linux_persistence_dpkg_netcon.py	39
cortado/rtas/linux_persistence_initd_netcon.py	25
cortado/rtas/linux_persistence_initd_unusual_binary_execution.py	29
cortado/rtas/linux_persistence_kworker_file_creation.py	24
cortado/rtas/linux_persistence_motd_netcon_parent_child.py	32
cortado/rtas/linux_persistence_rpm_netcon.py	33
cortado/rtas/linux_persistence_scheduled_task_executing_sus_located_binary.py	26
cortado/rtas/linux_persistence_suspicious_echo_execution.py	24
cortado/rtas/linux_persistence_udevadm_at_execution.py	26
cortado/rtas/linux_persistence_webserver_curl_wget_download_ip_args.py	26
cortado/rtas/linux_persistence_webserver_curl_wget_piped_to_interpreter.py	26
cortado/rtas/linux_persistence_webserver_curl_wget_suspicious_redirect.py	24
cortado/rtas/linux_powershell_encoded_command.py	21
cortado/rtas/linux_powershell_sus_child_process.py	23
cortado/rtas/linux_python_hidden_file_execution.py	20
cortado/rtas/linux_python_netcon_file_creation.py	43
cortado/rtas/linux_reverse_shell.py	16
cortado/rtas/linux_reverse_shell_via_netcat.py	24
cortado/rtas/linux_reverse_shell_via_utility.py	26
cortado/rtas/linux_shell_exec_of_non_executable_file.py	23
cortado/rtas/linux_so_load_via_ssh_keygen.py	20
cortado/rtas/linux_sus_netcon_command_exec.py	31
cortado/rtas/linux_sus_netcon_file_creation.py	31
cortado/rtas/linux_sus_process_execution_and_background_via_shell.py	25
cortado/rtas/linux_systemd_executing_sus_located_binary.py	27
cortado/rtas/linux_systemd_netcon.py	35
cortado/rtas/linux_unusual_scheduled_task_command_exection.py	25
cortado/rtas/login_hook.py	17
cortado/rtas/login_window_plist.py	14
cortado/rtas/lua_image_load.py	42
cortado/rtas/mac_office_descendant.py	15
cortado/rtas/macos_installer_curl.py	26
cortado/rtas/masquerading_untrusted_path.py	20
cortado/rtas/message_of_the_day_execution.py	28
cortado/rtas/mimikatz_cmdline.py	16
cortado/rtas/mimipenguin_execution.py	33
cortado/rtas/modification_of_wdigest_security_provider.py	19
cortado/rtas/modify_bootconf.py	28
cortado/rtas/modify_sublime_app.py	25
cortado/rtas/mount_smbfs.py	19
cortado/rtas/ms_office_drop_exe.py	31
cortado/rtas/ms_office_task_creation.py	36
cortado/rtas/msbuild_network.py	29
cortado/rtas/msbuild_unusual_args.py	25
cortado/rtas/msequationeditor_file_written_exec.py	29
cortado/rtas/msequationeditor_net_conn.py	21
cortado/rtas/mshta_network.py	29
cortado/rtas/msiexec_http_installer.py	30
cortado/rtas/msiexec_remote_msi.py	16
cortado/rtas/msiexec_remote_msi_install.py	26
cortado/rtas/msoffice_addins_file.py	20
cortado/rtas/msoffice_dcom_accessvbom.py	23
cortado/rtas/msoffice_descendant_reg_mod_persistence.py	30
cortado/rtas/msoffice_dll_image_load.py	33
cortado/rtas/msoffice_file_dll_sideload.py	36
cortado/rtas/msoffice_file_drop_exec_wmi.py	31
cortado/rtas/msoffice_file_exec_script_interpreter.py	29
cortado/rtas/msoffice_onenote_susp_child.py	17
cortado/rtas/msoffice_potential_proc_inj.py	21
cortado/rtas/msoffice_reg_mod.py	25
cortado/rtas/msoffice_signed_binary_spawn.py	23
cortado/rtas/msoffice_startup_persistence.py	24
cortado/rtas/msoffice_untrusted_exec.py	27
cortado/rtas/msoffice_wmi_imageload.py	28
cortado/rtas/msxsl_image_load.py	31
cortado/rtas/msxsl_network.py	23
cortado/rtas/multiarch_file_drops.py	21
cortado/rtas/net_user_add.py	31
cortado/rtas/network_connection_desktopimgdownldr.py	21
cortado/rtas/network_connection_download_powershell.py	19
cortado/rtas/network_connection_download_script_interpreter.py	22
cortado/rtas/network_connection_external_ip_lookup_non_browser.py	16
cortado/rtas/network_connection_freesslcert.py	21
cortado/rtas/network_connection_iexplore_rundll32.py	39
cortado/rtas/network_connection_kerberos_port.py	16
cortado/rtas/network_connection_nslookup.py	28
cortado/rtas/network_connection_process_unusual_args.py	19
cortado/rtas/network_connection_rdp_tunneling.py	16
cortado/rtas/network_connection_unusual_rundll32.py	20
cortado/rtas/network_file_unzipped_via_unsigned_or_untrusted_binary.py	14
cortado/rtas/networksetup_vpn.py	19
cortado/rtas/office_app_execution.py	21
cortado/rtas/office_application_startup.py	17
cortado/rtas/office_child_process.py	22
cortado/rtas/ojnl_injection.py	25
cortado/rtas/openssl_decode_payload.py	19
cortado/rtas/openssl_file_drop.py	22
cortado/rtas/opera_child_process.py	21
cortado/rtas/osascript_hidden_login_item.py	23
cortado/rtas/osascript_net_conn.py	21
cortado/rtas/osascript_sh_execution.py	17
cortado/rtas/osascript_suspicious_cmdline.py	19
cortado/rtas/outlook_suspicious_child.py	23
cortado/rtas/overlayfs_privesc.py	29
cortado/rtas/path_passed_to_system.py	19
cortado/rtas/payload_decode_bash_cmds.py	30
cortado/rtas/periodic_task_creation.py	16
cortado/rtas/persistence_chrome_extension.py	18
cortado/rtas/persistence_code_extension.py	14
cortado/rtas/persistence_mail_plist.py	21
cortado/rtas/persistence_plist_masquerade.py	31
cortado/rtas/persistence_reopened_app.py	12
cortado/rtas/persistence_shell_via_web_server.py	27
cortado/rtas/persistence_startup_item.py	19
cortado/rtas/persistence_startup_unusual_process.py	32
cortado/rtas/persistence_terminal_plist_mod.py	17
cortado/rtas/persistent_scripts.py	37
cortado/rtas/ping_delayed_exec.py	14
cortado/rtas/pkexec_shell.py	16
cortado/rtas/pkg_install_chmod.py	38
cortado/rtas/plist_creation.py	57
cortado/rtas/plistbuddy_file_modification.py	24
cortado/rtas/polkit_system_service.py	28
cortado/rtas/port_monitor.py	23
cortado/rtas/potential_decoy_document_via_open.py	9
cortado/rtas/potential_vscode_tunnel.py	23
cortado/rtas/powershell_args.py	25
cortado/rtas/powershell_base64_gzip.py	19
cortado/rtas/powershell_delete_shadow_copy.py	18
cortado/rtas/powershell_from_script.py	21
cortado/rtas/powershell_unsigned_defender_exclusion.py	22
cortado/rtas/powershell_vault_access.py	17
cortado/rtas/privilege_escalation_remote_thread.py	24
cortado/rtas/privilege_escalation_tcc_bypass.py	18
cortado/rtas/process_double_extension.py	24
cortado/rtas/process_extension_anomalies.py	25
cortado/rtas/process_name_masquerade.py	23
cortado/rtas/ransomnote_delete_shadows.py	16
cortado/rtas/recycle_bin_process.py	45
cortado/rtas/reg_creation_servicedll.py	19
cortado/rtas/reg_dll_control_panel.py	18
cortado/rtas/reg_mod_amsienable.py	19
cortado/rtas/reg_mod_appcertdlls.py	17
cortado/rtas/reg_mod_appinitdlls.py	17
cortado/rtas/reg_mod_autodialdll.py	20
cortado/rtas/reg_mod_base64_executable.py	19
cortado/rtas/reg_mod_builtindnsclientenabled.py	17
cortado/rtas/reg_mod_disable_uac.py	21
cortado/rtas/reg_mod_disableantispyware.py	22
cortado/rtas/reg_mod_driver_blocklist.py	20
cortado/rtas/reg_mod_enableat.py	17
cortado/rtas/reg_mod_enablescriptblocklogging.py	19
cortado/rtas/reg_mod_ifeo.py	21
cortado/rtas/reg_mod_lsa_ssp.py	24
cortado/rtas/reg_mod_netwire.py	17
cortado/rtas/reg_mod_networkprovider.py	19
cortado/rtas/reg_mod_nullsessionpipes.py	19
cortado/rtas/reg_mod_plugx.py	19
cortado/rtas/reg_mod_point_and_print_dll.py	24
cortado/rtas/reg_mod_port_forwarding.py	17
cortado/rtas/reg_mod_print_processors.py	22
cortado/rtas/reg_mod_remcos.py	19
cortado/rtas/reg_mod_run_key_unusual_proc.py	28
cortado/rtas/reg_mod_shadow_rdp.py	20
cortado/rtas/reg_mod_shim_sb.py	17
cortado/rtas/reg_mod_startup_shell_folder.py	22
cortado/rtas/reg_mod_suspicious_service.py	17
cortado/rtas/reg_mod_systemcertificates.py	19
cortado/rtas/reg_mod_time_provider.py	21
cortado/rtas/reg_mod_unusual_startup_folder.py	19
cortado/rtas/reg_mod_windir.py	21
cortado/rtas/reg_run_key_asterisk.py	19
cortado/rtas/reg_vss_service_disable.py	31
cortado/rtas/registry_hive_export.py	23
cortado/rtas/registry_persistence_create.py	91
cortado/rtas/registry_rdp_enable.py	17
cortado/rtas/regsvr32_scrobj.py	21
cortado/rtas/regsvr32_unusual_args.py	20
cortado/rtas/renamed_autoit.py	24
cortado/rtas/renamed_automaton_interpreter.py	31
cortado/rtas/reverse_shell.py	15
cortado/rtas/root_cert_install.py	17
cortado/rtas/root_crontab_file_modification.py	23
cortado/rtas/rubeus_alike_commandline.py	16
cortado/rtas/rundll32_inf.py	33
cortado/rtas/rundll32_inf_callback.py	25
cortado/rtas/rundll32_javascript_callback.py	21
cortado/rtas/rundll32_unusual_args.py	22
cortado/rtas/rundll32_unusual_dll_extension.py	29
cortado/rtas/schtask_escalation.py	40
cortado/rtas/schtasks_xml_masqueraded.py	18
cortado/rtas/scp_privacy_bypass.py	28
cortado/rtas/screensaver_child_process.py	25
cortado/rtas/screensaver_plist_mod.py	29
cortado/rtas/scrobj_com_hijack.py	19
cortado/rtas/secure_file_deletion.py	19
cortado/rtas/security_authtrampoline.py	21
cortado/rtas/sensitive_file_access.py	53
cortado/rtas/settingcontentms_files.py	18
cortado/rtas/sevenzip_encrypted.py	39
cortado/rtas/shellcode_winexec_calc.py	20
cortado/rtas/shlayer_payload.py	16
cortado/rtas/shortcut_file_suspicious_process.py	16
cortado/rtas/shove_sip_bypass.py	19
cortado/rtas/signed_proxy_file_written_exec.py	33
cortado/rtas/silentprocessexit_lsass.py	17
cortado/rtas/sip_provider.py	48
cortado/rtas/smb_connection.py	23
cortado/rtas/solarmaker_backdoor.py	37
cortado/rtas/spctl_gatekeeper_bypass.py	17
cortado/rtas/special_chars_zip_file.py	16
cortado/rtas/sqlite_db_evasion.py	21
cortado/rtas/src/DoublePersist.cs	19
cortado/rtas/src/LoadLib-Callback64.cpp	59
cortado/rtas/src/create_file.c	33
cortado/rtas/src/ditto_and_spawn.c	37
cortado/rtas/src/faultrep.cpp	34
cortado/rtas/src/linux_ditto_and_spawn_parent_child.c	46
cortado/rtas/src/netcon_exec_chain.go	86
cortado/rtas/src/pkexec_cve20214034/cve-2021-4034.c	16
cortado/rtas/src/pkexec_cve20214034/pwnkit.c	14
cortado/rtas/src/regsvr32.cs	17
cortado/rtas/src/rta_unhook_ldrload.cpp	65
cortado/rtas/src/sleep.c	22
cortado/rtas/src/thread_injector_intel.c	88
cortado/rtas/src/thread_injector_m1.c	83
cortado/rtas/ssh_bruteforce.py	37
cortado/rtas/ssh_it_worm.py	19
cortado/rtas/sticky_keys_write_execute.py	44
cortado/rtas/sudo_exploit.py	27
cortado/rtas/susp_control_panel_dll_explorer.py	38
cortado/rtas/susp_scheduled_task_creation.py	22
cortado/rtas/susp_script_file_name.py	30
cortado/rtas/suspicious_bits_job_notify.py	21
cortado/rtas/suspicious_child_acrobat.py	18
cortado/rtas/suspicious_child_childless_process.py	23
cortado/rtas/suspicious_child_compattelrunner.py	23
cortado/rtas/suspicious_child_dns.py	20
cortado/rtas/suspicious_child_exchange_um.py	21
cortado/rtas/suspicious_child_explorer.py	17
cortado/rtas/suspicious_child_services.py	19
cortado/rtas/suspicious_child_solarwinds_businesslayerhost.py	18
cortado/rtas/suspicious_child_solarwindsdiagnostics.py	20
cortado/rtas/suspicious_child_svchost_sch.py	22
cortado/rtas/suspicious_child_wmiprvse.py	20
cortado/rtas/suspicious_child_zoom.py	19
cortado/rtas/suspicious_dll_registration_regsvr32.py	13
cortado/rtas/suspicious_file_attribute_clearing.py	9
cortado/rtas/suspicious_file_quarantine_removal_via_find.py	11
cortado/rtas/suspicious_kibana_child.py	28
cortado/rtas/suspicious_lineage_script.py	34
cortado/rtas/suspicious_mining_process.py	19
cortado/rtas/suspicious_msiexec_child.py	23
cortado/rtas/suspicious_office_child.py	18
cortado/rtas/suspicious_office_children.py	27
cortado/rtas/suspicious_office_descendant_fp.py	39
cortado/rtas/suspicious_parent_cmd.py	18
cortado/rtas/suspicious_parent_csc.py	19
cortado/rtas/suspicious_parent_msbuild_explorer.py	23
cortado/rtas/suspicious_parent_msbuild_office.py	23
cortado/rtas/suspicious_parent_msbuild_script.py	23
cortado/rtas/suspicious_parent_sc.py	20
cortado/rtas/suspicious_parent_smss.py	21
cortado/rtas/suspicious_powershell_download.py	29
cortado/rtas/suspicious_wmic_script.py	20
cortado/rtas/suspicious_wscript_parent.py	34
cortado/rtas/system_restore_process.py	26
cortado/rtas/systemkey_credential_access.py	19
cortado/rtas/systemsetup_ssh_enable.py	19
cortado/rtas/tar_dylib.py	21
cortado/rtas/tcc_bypass_mounted_apfs.py	19
cortado/rtas/tcc_modification.py	24
cortado/rtas/trust_provider.py	42
cortado/rtas/uac_cdssync.py	31
cortado/rtas/uac_clipup.py	27
cortado/rtas/uac_computerdefaults.py	24
cortado/rtas/uac_dccw.py	32
cortado/rtas/uac_diskcleanup.py	15
cortado/rtas/uac_dism_dll_side_loading.py	29
cortado/rtas/uac_eventviewer.py	32
cortado/rtas/uac_eventvwr.py	20
cortado/rtas/uac_fodhelper.py	24
cortado/rtas/uac_icmluautil.py	25
cortado/rtas/uac_mmc_deserialization.py	31
cortado/rtas/uac_mmc_hijack.py	26
cortado/rtas/uac_mmc_net_core_profiler.py	27
cortado/rtas/uac_sdclt.py	19
cortado/rtas/uac_sysprep.py	18
cortado/rtas/uac_windir_masq.py	20
cortado/rtas/uac_windows_activation.py	26
cortado/rtas/uac_winfw_mmc.py	26
cortado/rtas/uac_wow64log.py	33
cortado/rtas/uac_wsreset.py	24
cortado/rtas/uncommon_persistence.py	19
cortado/rtas/unshadow_execution.py	22
cortado/rtas/unsigned_startup_item_netconn.py	32
cortado/rtas/unusual_kerberos_client.py	55
cortado/rtas/unusual_ms_tool_network.py	50
cortado/rtas/unusual_parent_child.py	27
cortado/rtas/unusual_parent_chrome_extension.py	20
cortado/rtas/unusual_powershell_engine_image_load.py	19
cortado/rtas/unusual_rdp_client.py	37
cortado/rtas/unzip_to_tmp.py	18
cortado/rtas/user_action_script.py	20
cortado/rtas/user_dir_escalation.py	23
cortado/rtas/user_mode_smb_connection.py	30
cortado/rtas/vaultcmd_commands.py	16
cortado/rtas/volume_muted_via_osascript.py	9
cortado/rtas/vsingle_malware.py	20
cortado/rtas/webproxy_modification.py	17
cortado/rtas/webservice_lolbas.py	24
cortado/rtas/webservice_unsigned.py	19
cortado/rtas/werfault_masquerading.py	19
cortado/rtas/werfault_persistence.py	52
cortado/rtas/wevtutil_log_clear.py	19
cortado/rtas/windefend_svc_stop.py	20
cortado/rtas/windows_script_host_file_written_exec.py	32
cortado/rtas/winrar_encrypted.py	54
cortado/rtas/winrar_startup_folder.py	24
cortado/rtas/wizardupdate_infection.py	17
cortado/rtas/wmi_incoming_logon.py	25
cortado/rtas/wmic_xsl_exec.py	29
cortado/rtas/wuauclt_image_load.py	43
cortado/rtas/xcsset_infection.py	20
cortado/rules.py	112
cortado/utils.py	80