Η ESET συνεργάστηκε με την Ομοσπονδιακή Αστυνομία της Βραζιλίας σε μια προσπάθεια να διαταράξει το botnet Grandoreiro. Η ESET συνέβαλε στο έργο παρέχοντας τεχνική ανάλυση, στατιστικές πληροφορίες και γνωστά ονόματα τομέα διακομιστών εντολών και ελέγχου (C&C) και διευθύνσεις IP. Λόγω ενός σχεδιαστικού ελαττώματος στο πρωτόκολλο δικτύου του Grandoreiro, οι ερευνητές της ESET μπόρεσαν επίσης να ρίξουν μια ματιά στη θυματολογία.
Τα αυτοματοποιημένα συστήματα της ESET έχουν επεξεργαστεί δεκάδες χιλιάδες δείγματα Grandoreiro. Ο αλγόριθμος δημιουργίας τομέα (DGA) που χρησιμοποιεί το κακόβουλο λογισμικό από τον Οκτώβριο του 2020 περίπου, παράγει έναν κύριο τομέα και προαιρετικά αρκετούς ασφαλείς τομείς την ημέρα. Το DGA είναι ο μόνος τρόπος με τον οποίο ο Grandoreiro ξέρει πώς να αναφέρει σε έναν διακομιστή C&C. Εκτός από την τρέχουσα ημερομηνία, το DGA δέχεται και στατικές ρυθμίσεις παραμέτρων – έχουμε παρατηρήσει 105 τέτοιες διαμορφώσεις μέχρι τη στιγμή που γράφονται αυτές οι γραμμές.
Οι πάροχοι του Grandoreiro έχουν καταχραστεί παρόχους cloud όπως το Azure και το AWS για να φιλοξενήσουν την υποδομή του δικτύου τους. Οι ερευνητές της ESET παρείχαν δεδομένα ζωτικής σημασίας για τον εντοπισμό των λογαριασμών που είναι υπεύθυνοι για τη ρύθμιση αυτών των διακομιστών. Περαιτέρω έρευνα που διενεργήθηκε από την Ομοσπονδιακή Αστυνομία της Βραζιλίας οδήγησε στο ταυτοποίηση και σύλληψη των ατόμων που έχουν τον έλεγχο αυτών των διακομιστών. Σε αυτήν την ανάρτηση ιστολογίου, εξετάζουμε πώς αποκτήσαμε τα δεδομένα για να βοηθήσουμε τις αρχές επιβολής του νόμου να εκτελέσουν αυτήν την επιχείρηση διακοπής.
Ιστορικό
Γκραντορέιρο είναι ένα από τα πολλά Τρώες τραπεζών της Λατινικής Αμερικής. Είναι ενεργό τουλάχιστον από το 2017 και οι ερευνητές της ESET το παρακολουθούν στενά από τότε. Το Grandoreiro στοχεύει τη Βραζιλία και το Μεξικό, και από το 2019 και την Ισπανία (βλ. Εικόνα 1). Ενώ η Ισπανία ήταν η πιο στοχευμένη χώρα μεταξύ 2020 και 2022, το 2023 παρατηρήσαμε μια σαφή αλλαγή εστίασης προς το Μεξικό και την Αργεντινή, με την τελευταία να είναι νέα στο Grandoreiro.
Από λειτουργικότητας, το Grandoreiro δεν έχει αλλάξει πολύ από το τελευταίο μας blogpost το 2020. Προσφέρουμε μια σύντομη επισκόπηση του κακόβουλου λογισμικού σε αυτήν την ενότητα και εξετάζουμε τις λίγες αλλαγές, κυρίως τη νέα λογική DGA, αργότερα.
Όταν ένας λατινοαμερικανικός trojan τραπεζών παραβιάζει με επιτυχία ένα μηχάνημα, συνήθως εκδίδει ένα αίτημα HTTP GET σε έναν απομακρυσμένο διακομιστή, στέλνοντας κάποιες βασικές πληροφορίες σχετικά με το μηχάνημα που έχει παραβιαστεί. Ενώ παλαιότερες εκδόσεις Grandoreiro εφάρμοζαν αυτήν τη δυνατότητα, με την πάροδο του χρόνου, οι προγραμματιστές αποφάσισαν να την εγκαταλείψουν.
Το Grandoreiro παρακολουθεί περιοδικά το παράθυρο του προσκηνίου για να βρει ένα που ανήκει σε μια διαδικασία προγράμματος περιήγησης Ιστού. Όταν βρεθεί ένα τέτοιο παράθυρο και το όνομά του ταιριάζει με οποιαδήποτε συμβολοσειρά από μια κωδικοποιημένη λίστα συμβολοσειρών που σχετίζονται με τράπεζα, τότε και μόνο τότε το κακόβουλο λογισμικό ξεκινά την επικοινωνία με τον διακομιστή C&C του, στέλνοντας αιτήματα τουλάχιστον μία φορά το δευτερόλεπτο μέχρι να τερματιστεί.
Ο χειριστής πρέπει να αλληλεπιδράσει χειροκίνητα με το παραβιασμένο μηχάνημα για να κλέψει τα χρήματα ενός θύματος. Το κακόβουλο λογισμικό επιτρέπει:
- μπλοκάροντας την οθόνη του θύματος,
- πληκτρολόγηση καταγραφής,
- προσομοίωση δραστηριότητας ποντικιού και πληκτρολογίου,
- κοινή χρήση της οθόνης του θύματος και
- εμφάνιση πλαστών αναδυόμενων παραθύρων.
Το Grandoreiro υφίσταται ταχεία και συνεχή ανάπτυξη. Περιστασιακά, βλέπαμε ακόμη και αρκετές νέες κατασκευές την εβδομάδα, δυσκολεύοντας την παρακολούθηση. Για να αποδείξουν, τον Φεβρουάριο του 2022, οι χειριστές του Grandoreiro πρόσθεσαν ένα αναγνωριστικό έκδοσης στα δυαδικά αρχεία. Στο σχήμα 2 δείχνουμε πόσο γρήγορα άλλαξε το αναγνωριστικό έκδοσης. Κατά μέσο όρο, ήταν μια νέα έκδοση κάθε τέσσερις ημέρες μεταξύ Φεβρουαρίου 2022 και Ιουνίου 2022. Στο κενό ενός μήνα μεταξύ 24 Μαΐουth, 2022 και 22 Ιουνίουnd, 2022 συνεχίσαμε να βλέπουμε νέα δείγματα με προοδευτικούς χρόνους μεταγλώττισης PE, αλλά δεν τους έλειπε το αναγνωριστικό έκδοσης. Στις 27 Ιουνίουth, 2022 το αναγνωριστικό έκδοσης άλλαξε σε V37 και δεν το είδαμε να αλλάζει από τότε, αφήνοντάς μας να συμπεράνουμε ότι αυτή η δυνατότητα απορρίφθηκε.
Τρώες τραπεζών της Λατινικής Αμερικής μοιράζονται πολλά κοινά. Το Grandoreiro είναι παρόμοιο με άλλα trojan τραπεζών της Λατινικής Αμερικής, κυρίως λόγω της προφανούς βασικής λειτουργικότητας και της ομαδοποίησης των προγραμμάτων λήψης του σε προγράμματα εγκατάστασης MSI. Στο παρελθόν, έχουμε παρατηρήσει μερικές περιπτώσεις όπου οι χρήστες λήψης του ήταν κοινόχρηστοι Μεκότιο και Βαδόκριστος, αν και όχι τα τελευταία δύο χρόνια. Η κύρια διάκριση του τραπεζικού trojan του Grandoreiro από τις άλλες οικογένειες ήταν ο μοναδικός δυαδικός μηχανισμός padding που απορροφά μαζικά το τελικό εκτελέσιμο αρχείο (που περιγράφεται στο blogpost το 2020). Με την πάροδο του χρόνου, οι χειριστές του Grandoreiro πρόσθεσαν αυτή την τεχνική αντι-ανάλυσης και στα προγράμματα λήψης του. Προς έκπληξή μας, το τρίτο τρίμηνο του 3, αυτή η δυνατότητα αποσύρθηκε εντελώς από τα δυαδικά αρχεία trojan και downloader τραπεζών και έκτοτε δεν το έχουμε παρατηρήσει.
Από τον Φεβρουάριο του 2022, παρακολουθούμε α δεύτερη παραλλαγή του Grandoreiro που διαφέρει σημαντικά από τον κύριο. Το είδαμε, σε μικρές καμπάνιες, τον Μάρτιο, τον Μάιο και τον Ιούνιο του 2022. Με βάση τη συντριπτική πλειονότητα των τομέων διακομιστή C&C που δεν επιλύονται, τα βασικά χαρακτηριστικά του αλλάζουν αρκετά συχνά και το πρωτόκολλο δικτύου του δεν λειτουργεί σωστά, πιστεύουμε ακράδαντα ότι είναι ένα έργο σε εξέλιξη? Ως εκ τούτου, θα επικεντρωθούμε στην κύρια παραλλαγή σε αυτό το blogpost.
Μακροπρόθεσμη παρακολούθηση Grandoreiro
Τα συστήματα ESET που έχουν σχεδιαστεί για αυτοματοποιημένη, μακροπρόθεσμη παρακολούθηση επιλεγμένων οικογενειών κακόβουλου λογισμικού παρακολουθούν το Grandoreiro από τα τέλη του 2017, εξάγουν πληροφορίες έκδοσης, διακομιστές C&C, στόχους και, από τα τέλη του 2020, διαμορφώσεις DGA.
Παρακολούθηση DGA
Η διαμόρφωση DGA είναι κωδικοποιημένη στο δυαδικό αρχείο Grandoreiro. Κάθε διαμόρφωση μπορεί να αναφέρεται με μια συμβολοσειρά που καλούμε dga_id. Η χρήση διαφορετικών διαμορφώσεων για το DGA αποδίδει διαφορετικούς τομείς. Βουτάμε πιο βαθιά στον μηχανισμό DGA αργότερα στο κείμενο.
Η ESET έχει εξαγάγει συνολικά 105 διαφορετικά dga_ids από τα γνωστά σε εμάς δείγματα Grandoreiro. 79 από αυτές τις διαμορφώσεις τουλάχιστον μία φορά δημιούργησαν έναν τομέα που επιλύθηκε σε μια ενεργή διεύθυνση IP διακομιστή C&C κατά τη διάρκεια της παρακολούθησης.
Οι δημιουργημένοι τομείς καταχωρούνται μέσω της υπηρεσίας Dynamic DNS (DDNS) της No-IP. Οι πάροχοι του Grandoreiro κάνουν κατάχρηση της υπηρεσίας για να αλλάζουν συχνά τους τομείς τους για να αντιστοιχούν στο DGA και να αλλάζουν διευθύνσεις IP κατά βούληση. Η συντριπτική πλειονότητα των διευθύνσεων IP στις οποίες αποφασίζουν αυτοί οι τομείς παρέχονται από παρόχους cloud, κυρίως AWS και Azure. Ο Πίνακας 1 απεικονίζει ορισμένα στατιστικά στοιχεία σχετικά με τις διευθύνσεις IP που χρησιμοποιούνται για διακομιστές Grandoreiro C&C.
Πίνακας 1. Στατιστικά στοιχεία σχετικά με τις διευθύνσεις IP Grandoreiro C&C από τότε που ξεκινήσαμε την παρακολούθηση
Πληροφορίες | Μέτρια | Ελάχιστο | Ανώτατο όριο |
Αριθμός νέων διευθύνσεων IP C&C ανά ημέρα | 3 | 1 | 34 |
Αριθμός ενεργών διευθύνσεων IP C&C ανά ημέρα | 13 | 1 | 27 |
Διάρκεια ζωής της διεύθυνσης IP C&C (σε ημέρες) | 5 | 1 | 425 |
Πολύ σύντομα αφότου αρχίσαμε να παρακολουθούμε τους δημιουργηθέντες τομείς και τις συσχετισμένες διευθύνσεις IP τους, αρχίσαμε να παρατηρούμε ότι πολλοί τομείς που δημιουργούνται από DGA με διαφορετικές διαμορφώσεις επιστρέφουν στην ίδια διεύθυνση IP (όπως φαίνεται στην Εικόνα 3). Αυτό σημαίνει ότι σε μια δεδομένη ημέρα, τα θύματα σε κίνδυνο από Grandoreiro δείγματα με διαφορετικά dga_id όλα συνδέονται στον ίδιο διακομιστή C&C. Αυτό το φαινόμενο δεν ήταν τυχαίο – το παρατηρούσαμε σχεδόν σε καθημερινή βάση κατά την παρακολούθηση.
Σε πολύ πιο σπάνιες περιπτώσεις, έχουμε επίσης παρατηρήσει μια διεύθυνση IP που χρησιμοποιείται ξανά από διαφορετική dga_id μερικές ημέρες αργότερα. Μόνο που αυτή τη φορά, οι παράμετροι που χρησιμοποιούσε το Grandoreiro για τη δημιουργία μιας σύνδεσης (εξηγείται αργότερα στο κείμενο) άλλαξαν επίσης. Αυτό σημαίνει ότι, στο μεταξύ, η πλευρά του διακομιστή C&C πρέπει να έχει επανεγκατασταθεί ή να έχει ρυθμιστεί εκ νέου.
Η αρχική μας υπόθεση ήταν ότι το dga_id είναι μοναδική για κάθε διαμόρφωση DGA. Αυτό αργότερα αποδείχτηκε λάθος - έχουμε παρατηρήσει δύο σετ διαφορετικών διαμορφώσεων που μοιράζονται το ίδιο dga_id. Ο Πίνακας 2 δείχνει και τα δύο, "jjk" και "gh", όπου τα "jjk" και "jjk(2)" αντιστοιχούν σε δύο διαφορετικές διαμορφώσεις DGA, ίδιες με τις "gh" και "gh(2)".
Ο Πίνακας 2 δείχνει τα συμπλέγματα που μπορέσαμε να παρατηρήσουμε. Όλες οι διαμορφώσεις DGA που μοιράζονται τουλάχιστον μία διεύθυνση IP βρίσκονται στο ίδιο σύμπλεγμα και οι συσχετισμένες τους dga_ids παρατίθενται. Οι ομάδες που αντιπροσωπεύουν λιγότερο από το 1% όλων των θυμάτων αγνοούνται.
Πίνακας 2. Grandoreiro DGA συστάδες
Αναγνωριστικό συμπλέγματος |
dga_id λίστα |
Μέγεθος συμπλέγματος |
% όλων των διακομιστών C&C |
% όλων των θυμάτων |
1 |
b, bbh, bbj, bbn, bhg, cfb, cm, cob, cwe, dee, dnv, dvg, dzr, E, eeo, eri, ess, fhg, αλεπού, gh, gh(2), hjo, ika, jam , jjk, jjk(2), JKM, jpy, k, kcy, kWn, md7, md9, MRx, mtb, n, Nkk, nsw, nuu, occ, p, PCV, pif, rfg, rox3, s, sdd, sdg, sop, tkk, twr, tyj, u, ur4, vfg, vgy, vki, wtt, ykl, Z, zaf, zhf |
62 |
93.6% |
94% |
2 |
jl2, jly |
2 |
2.4% |
2.5% |
3 |
ibr |
1 |
0.8% |
1.6% |
4 |
JYY |
1 |
1.6% |
1.1% |
Το μεγαλύτερο σύμπλεγμα περιέχει το 78% όλων των ενεργών dga_idμικρό. Ευθύνεται για το 93.6% όλων των διευθύνσεων IP διακομιστή C&C και το 94% όλων των θυμάτων που έχουμε δει. Το μόνο άλλο σύμπλεγμα που αποτελείται από περισσότερα από 1 dga_id είναι το σύμπλεγμα 2.
Μερικοί πηγές ισχυρίζονται ότι το Grandoreiro λειτουργεί ως malware-as-a-service (MaaS). Το backend διακομιστή Grandoreiro C&C δεν επιτρέπει την ταυτόχρονη δραστηριότητα περισσότερων του ενός χειριστή ταυτόχρονα. Με βάση τον Πίνακα 2, η συντριπτική πλειονότητα των διευθύνσεων IP που παράγονται από DGA μπορούν να ομαδοποιηθούν χωρίς σαφές μοτίβο διανομής. Τέλος, λαμβάνοντας υπόψη τις μεγάλες απαιτήσεις εύρους ζώνης του πρωτοκόλλου δικτύου (βουτάμε σε αυτό στο τέλος του blogpost), πιστεύουμε ότι οι διαφορετικοί διακομιστές C&C χρησιμοποιούνται ως πρωτόγονο σύστημα εξισορρόπησης φορτίου και ότι είναι πιο πιθανό το Grandoreiro να λειτουργεί από μεμονωμένη ομάδα ή από μερικές ομάδες που συνεργάζονται στενά μεταξύ τους.
Παρακολούθηση C&C
Η εφαρμογή του πρωτοκόλλου δικτύου του Grandoreiro επέτρεψε στους ερευνητές της ESET να ρίξουν μια ματιά πίσω από την κουρτίνα και να πάρουν μια γεύση από τη θυματολογία. Οι διακομιστές Grandoreiro C&C δίνουν πληροφορίες για τα συνδεδεμένα θύματα κατά τη στιγμή της αρχικής αίτησης σε κάθε θύμα που συνδέθηκε πρόσφατα. Τούτου λεχθέντος, τα δεδομένα επηρεάζονται από τον αριθμό των αιτημάτων, τα διαστήματα τους και την εγκυρότητα των δεδομένων που παρέχονται από τους διακομιστές C&C.
Κάθε θύμα που συνδέεται με τον διακομιστή C&C Grandoreiro αναγνωρίζεται από ένα login_string – μια συμβολοσειρά Grandoreiro δημιουργείται κατά τη δημιουργία της σύνδεσης. Διαφορετικές εκδόσεις χρησιμοποιούν διαφορετικές μορφές και διαφορετικές μορφές περιέχουν διαφορετικές πληροφορίες. Συνοψίζουμε τις πληροφορίες που μπορούν να ληφθούν από το login_string στον Πίνακα 3. Η στήλη Εμφάνιση εμφανίζει ένα ποσοστό όλων των μορφών που έχουμε δει και περιέχουν το αντίστοιχο είδος πληροφοριών.
Πίνακας 3. Επισκόπηση των πληροφοριών που μπορούν να ληφθούν από ένα θύμα Grandoreiro login_string
Πληροφορίες |
Περιστατικό |
Περιγραφή |
Λειτουργικό σύστημα |
100% |
ΛΣ της μηχανής του θύματος. |
το όνομα του υπολογιστή |
100% |
Όνομα μηχανής του θύματος. |
Χώρα |
100% |
Χώρα που στοχεύει το δείγμα Grandoreiro (ενσωματωμένη στο δείγμα κακόβουλου λογισμικού). |
Εκδοχή |
100% |
Εκδοχή (έκδοση_string) του δείγματος Grandoreiro. |
Κωδικό όνομα τράπεζας |
92% |
Κωδικό όνομα της τράπεζας που ενεργοποίησε τη σύνδεση C&C (ανατέθηκε από τους προγραμματιστές του Grandoreiro). |
Uptime |
25% |
Χρόνος (σε ώρες) που λειτουργεί το μηχάνημα του θύματος. |
Η ανάλυση της οθόνης |
8% |
Ανάλυση οθόνης της κύριας οθόνης του θύματος. |
Επωνυμία Φαρμακείου |
8% |
Όνομα χρήστη του θύματος. |
Τρία από τα πεδία αξίζουν μια πιο προσεκτική εξήγηση. Το Country είναι μια συμβολοσειρά με σκληρό κώδικα στο δυαδικό σύστημα Grandoreiro και όχι πληροφορίες που λαμβάνονται μέσω κατάλληλων υπηρεσιών. Ως εκ τούτου, χρησιμεύει περισσότερο σαν ένα προορίζονται χώρα του θύματος.
Το κωδικό όνομα τράπεζας είναι μια συμβολοσειρά που οι προγραμματιστές του Grandoreiro σχετίζονται με μια συγκεκριμένη τράπεζα ή άλλο χρηματοπιστωτικό ίδρυμα. Το θύμα επισκέφτηκε τον ιστότοπο αυτής της τράπεζας, η οποία ενεργοποίησε τη σύνδεση C&C.
Η έκδοση_string είναι μια συμβολοσειρά που προσδιορίζει μια συγκεκριμένη κατασκευή Grandoreiro. Είναι κωδικοποιημένο στο κακόβουλο λογισμικό και περιέχει μια συμβολοσειρά που προσδιορίζει μια συγκεκριμένη σειρά κατασκευής, μια έκδοση (για την οποία μιλήσαμε ήδη στην εισαγωγή) και μια χρονική σήμανση. Ο Πίνακας 4 απεικονίζει τις διαφορετικές μορφές και τις πληροφορίες που διατηρούν. Σημειώστε ότι ορισμένες από τις χρονικές σημάνσεις περιέχουν μόνο μήνα και ημέρα, ενώ άλλες περιέχουν επίσης το έτος.
Πίνακας 4. Κατάλογος διαφορετικών έκδοση_string μορφές και η ανάλυση τους
Συμβολοσειρά έκδοσης |
Αναγνωριστικό έκδοσης |
Εκδοχή |
Timestamp |
ΔΑΝΙΛΟ |
ΔΑΝΙΛΟ |
N / A |
N / A |
(V37)(P1X)1207 |
P1X |
V37 |
12/07 |
(MX)2006 |
MX |
N / A |
20/06 |
fox50.28102020 |
fox50 |
N / A |
28/10/2020 |
MADMX(RELOAD)EMAIL2607 |
MADMX(Επαναφόρτωση)EMAIL |
N / A |
26/07 |
Κάποιος μπορεί να μπει στον πειρασμό να πει ότι το Build ID προσδιορίζει πραγματικά τον χειριστή. Ωστόσο, δεν πιστεύουμε ότι ισχύει κάτι τέτοιο. Η μορφή αυτής της συμβολοσειράς είναι πολύ χαοτική, μερικές φορές αναφέρεται μόνο σε ένα μήνα κατά τον οποίο πιθανώς δημιουργήθηκε το δυαδικό (όπως (ΑΓΟΣΤΟ)2708). Επιπλέον, το πιστεύουμε ακράδαντα P1X αναφέρεται σε μια κονσόλα που χρησιμοποιείται από τους χειριστές Grandoreiro που ονομάζεται PIXLOGGER.
Παρακολούθηση διακομιστή C&C – ευρήματα
Σε αυτήν την ενότητα, εστιάζουμε σε αυτό που βρήκαμε υποβάλλοντας ερωτήματα στους διακομιστές C&C. Όλα τα στατιστικά δεδομένα που παρατίθενται σε αυτήν την ενότητα έχουν ληφθεί απευθείας από διακομιστές Grandoreiro C&C και όχι από τηλεμετρία ESET.
Τα παλιά δείγματα είναι ακόμα ενεργά
Κάθε login_string παρατηρήσαμε ότι περιέχει το έκδοση_string και η συντριπτική πλειονότητα αυτών περιέχει τις πληροφορίες χρονικής σφραγίδας (βλ. Πίνακας 3 και Πίνακας 4). Ενώ πολλά από αυτά περιέχουν μόνο την ημέρα και τον μήνα, όπως φαίνεται να είναι η επιλογή του προγραμματιστή περιστασιακά, το παλαιότερο δείγμα επικοινωνίας είχε χρονοσήμανση 15/09/2020 – δηλαδή από τη στιγμή που αυτή η DGA εισήχθη για πρώτη φορά στο Grandoreiro. Το πιο πρόσφατο δείγμα είχε χρονοσήμανση 12/23/2023.
Διανομή λειτουργικού συστήματος
Δεδομένου ότι όλα τα login_string Οι μορφές περιέχουν πληροφορίες λειτουργικού συστήματος, μπορούμε να ζωγραφίσουμε μια ακριβή εικόνα του τι λειτουργικά συστήματα έπεσαν θύμα, όπως φαίνεται στην Εικόνα 4.
(προβλεπόμενη) διανομή ανά χώρα
Αναφέραμε ήδη ότι το Grandoreiro χρησιμοποιεί μια κωδικοποιημένη τιμή αντί να ρωτήσει μια υπηρεσία για να αποκτήσει τη χώρα του θύματος. Το σχήμα 5 δείχνει την κατανομή που έχουμε παρατηρήσει.
Αυτή η διανομή αναμένεται από το Grandoreiro. Είναι ενδιαφέρον ότι δεν συσχετίζεται με τον χάρτη θερμότητας που απεικονίζεται στο Σχήμα 1. Η πιο λογική εξήγηση είναι ότι οι κατασκευές δεν επισημαίνονται σωστά για να μοιάζουν με τους επιδιωκόμενους στόχους τους. Για παράδειγμα, η αύξηση των επιθέσεων στην Αργεντινή δεν αντικατοπτρίζεται καθόλου από τη σκληρή σήμανση. Η Βραζιλία αντιπροσωπεύει σχεδόν το 41% του συνόλου των θυμάτων, ακολουθούμενη από το Μεξικό με 30% και την Ισπανία με το 28%. Η Αργεντινή, η Πορτογαλία και το Περού αντιπροσωπεύουν λιγότερο από 1%. Είναι ενδιαφέρον ότι έχουμε δει μερικά (λιγότερα από 10) θύματα να επισημαίνονται ως PM (Saint Pierre and Miquelon), GR (Ελλάδα), ή FR (Γαλλία). Πιστεύουμε ότι είναι είτε τυπογραφικά λάθη είτε έχουν άλλη σημασία αντί να στοχεύουν σε αυτές τις χώρες.
Σημειώστε επίσης ότι ενώ Ο Grandoreiro πρόσθεσε στόχους από πολλές χώρες εκτός της Λατινικής Αμερικής Ήδη από το 2020, έχουμε παρατηρήσει λίγες έως καθόλου καμπάνιες που στοχεύουν αυτές τις χώρες και το Σχήμα 5 το υποστηρίζει.
Αριθμός θυμάτων
Παρατηρήσαμε ότι ο μέσος αριθμός των θυμάτων που συνδέονται σε μια ημέρα είναι 563. Ωστόσο, αυτός ο αριθμός σίγουρα περιέχει διπλότυπα, γιατί εάν ένα θύμα παραμείνει συνδεδεμένο για μεγάλο χρονικό διάστημα, όπως παρατηρήσαμε συχνά, τότε ο διακομιστής Grandoreiro C&C θα το αναφέρει σε πολλαπλά αιτήματα.
Προσπαθώντας να αντιμετωπίσουμε αυτό το ζήτημα, ορίσαμε α μοναδικός θύμα ως άτομο με ένα μοναδικό σύνολο χαρακτηριστικών αναγνώρισης (όπως όνομα υπολογιστή, όνομα χρήστη, κ.λπ.), ενώ παραλείπονται εκείνα που υπόκεινται σε αλλαγές (όπως χρόνος λειτουργίας). Με αυτό, καταλήξαμε σε 551 μοναδικός θύματα συνδέθηκαν σε μια μέρα κατά μέσο όρο.
Λαμβάνοντας υπόψη ότι έχουμε παρατηρήσει θύματα που συνδέονταν συνεχώς με τους διακομιστές C&C για διάστημα μεγαλύτερο του ενός έτους, υπολογίσαμε έναν μέσο αριθμό 114 νέο μοναδικό θύματα που συνδέονται με τους διακομιστές C&C κάθε μέρα. Φτάσαμε σε αυτόν τον αριθμό αδιαφορώντας μοναδικός θύματα που έχουμε ήδη παρατηρήσει στο παρελθόν.
Εσωτερικά Grandoreiro
Ας επικεντρωθούμε, σε βάθος, στα δύο πιο κρίσιμα χαρακτηριστικά του Grandoreiro: το DGA και το πρωτόκολλο δικτύου.
DGA
Οι χειριστές του Grandoreiro έχουν εφαρμόσει διάφορα είδη DGA όλα αυτά τα χρόνια, με το πιο πρόσφατο να εμφανίζεται τον Ιούλιο του 2020. Αν και παρατηρήσαμε μερικές μικρές αλλαγές, ο πυρήνας του αλγορίθμου δεν έχει αλλάξει από τότε.
Το DGA χρησιμοποιεί μια συγκεκριμένη διαμόρφωση που είναι κωδικοποιημένη στο δυαδικό αρχείο, αποθηκευμένη ως πολλαπλές συμβολοσειρές. Το σχήμα 6 εμφανίζει μια τέτοια διαμόρφωση (με dga_id "bbj"), επαναδιαμορφώθηκε σε JSON για καλύτερη αναγνωσιμότητα.
Στη συντριπτική πλειονότητα των περιπτώσεων, το base_domain Το πεδίο είναι freedynamicdns.org or zapto.org. Όπως ήδη αναφέρθηκε, το Grandoreiro χρησιμοποιεί No-IP για την εγγραφή του τομέα του. ο base64_alpha Το πεδίο αντιστοιχεί στο προσαρμοσμένο αλφάβητο base64 που χρησιμοποιεί η DGA. ο μήνας_υποκατάσταση χρησιμοποιείται για να αντικαταστήσει έναν αριθμό μήνα για έναν χαρακτήρα.
Η dga_table αποτελεί το κύριο μέρος της διαμόρφωσης. Αποτελείται από 12 συμβολοσειρές, η καθεμία με 35 πεδία που οριοθετούνται από |. Η πρώτη καταχώρηση κάθε γραμμής είναι η dga_id. Η δεύτερη και η τελευταία καταχώρηση αντιπροσωπεύουν τον μήνα για τον οποίο προορίζεται η γραμμή. Τα υπόλοιπα 32 πεδία αντιπροσωπεύουν το καθένα μια τιμή για διαφορετική ημέρα του μήνα (αφήνοντας τουλάχιστον ένα πεδίο αχρησιμοποίητο).
Η λογική του DGA φαίνεται στο Σχήμα 7. Ο αλγόριθμος επιλέγει πρώτα τη σωστή γραμμή και τη σωστή καταχώρηση από αυτήν, αντιμετωπίζοντάς την ως κλειδί τεσσάρων byte. Στη συνέχεια μορφοποιεί την τρέχουσα ημερομηνία σε μια συμβολοσειρά και την κρυπτογραφεί με το κλειδί χρησιμοποιώντας ένα απλό XOR. Στη συνέχεια προϋποθέτει το dga_id στο αποτέλεσμα, κωδικοποιεί το αποτέλεσμα χρησιμοποιώντας το base64 με ένα προσαρμοσμένο αλφάβητο και, στη συνέχεια, αφαιρεί τυχόν = padding χαρακτήρες. Το τελικό αποτέλεσμα είναι ο υποτομέας που μαζί με base_domain, πρόκειται να χρησιμοποιηθεί ως διακομιστής C&C για την τρέχουσα ημέρα. Το τμήμα που επισημαίνεται με κόκκινο είναι ένας μηχανισμός ασφαλείας και θα το συζητήσουμε στη συνέχεια.
Το Grandoreiro έχει εφαρμόσει, σε ορισμένες εκδόσεις, έναν ασφαλή μηχανισμό για όταν ο κύριος τομέας αποτυγχάνει να επιλυθεί. Αυτός ο μηχανισμός δεν υπάρχει σε όλες τις εκδόσεις και η λογική του έχει αλλάξει μερικές φορές, αλλά η βασική ιδέα απεικονίζεται στο σχήμα 7. Χρησιμοποιεί μια διαμόρφωση που είναι σταθερή στα δείγματα που αναλύσαμε και μπορεί να δημιουργηθεί από τον απλό κώδικα που φαίνεται στο σχήμα 8. Κάθε καταχώρηση αποτελείται από ένα κλειδί, ένα πρόθεμα και έναν βασικό τομέα.
Ο αλγόριθμος ασφαλούς αποτυχίας καταλαμβάνει ένα μέρος του κύριου υποτομέα C&C. Στη συνέχεια, επαναλαμβάνει όλες τις εγγραφές διαμόρφωσης, τις κρυπτογραφεί χρησιμοποιώντας XOR και προτάσσει ένα πρόθεμα, παρόμοιο με το κύριο μέρος του αλγορίθμου.
Από τον Σεπτέμβριο του 2022, έχουμε αρχίσει να παρατηρούμε δείγματα που χρησιμοποιούν ένα ελαφρώς τροποποιημένο DGA. Ο αλγόριθμος παραμένει σχεδόν πανομοιότυπος, αλλά αντί να κωδικοποιεί το βασικό64 τον υποτομέα στο τελευταίο βήμα, προστίθεται ένα πρόθεμα με σκληρό κώδικα. Με βάση την παρακολούθησή μας, αυτή η μέθοδος έχει γίνει η κυρίαρχη από τον Ιούλιο του 2023 περίπου.
Πρωτόκολλο δικτύου
Το Grandoreiro χρησιμοποιεί το RTC Portal, ένα σύνολο εξαρτημάτων Delphi που είναι χτισμένα πάνω από το RealThinClient SDK που είναι χτισμένο πάνω σε HTTP(S). Η Πύλη RTC ήταν διακόπηκε το 2017 και ο πηγαίος κώδικας του δημοσιεύτηκε στις GitHub. Ουσιαστικά, το RTC Portal επιτρέπει σε ένα ή περισσότερα Controls να έχουν απομακρυσμένη πρόσβαση σε έναν ή περισσότερους κεντρικούς υπολογιστές. Οι κεντρικοί υπολογιστές και τα στοιχεία ελέγχου διαχωρίζονται από ένα στοιχείο διαμεσολαβητή που ονομάζεται πύλη.
Οι χειριστές Grandoreiro χρησιμοποιούν μια κονσόλα (που λειτουργεί ως Control) για να συνδεθούν με τον διακομιστή C&C (που ενεργεί ως Gateway) και για να επικοινωνήσουν με τα παραβιασμένα μηχανήματα (που ενεργούν ως Hosts). Για να συνδεθείτε στο Gateway, απαιτούνται τρεις παράμετροι: ένα μυστικό κλειδί, το μήκος του κλειδιού και μια σύνδεση.
Το μυστικό κλειδί χρησιμοποιείται για την κρυπτογράφηση της αρχικής αίτησης που αποστέλλεται στον διακομιστή. Επομένως, ο διακομιστής πρέπει επίσης να γνωρίζει το μυστικό κλειδί, ώστε να αποκρυπτογραφήσει το αρχικό αίτημα πελάτη.
Το μήκος του κλειδιού καθορίζει το μήκος των κλειδιών για την κρυπτογράφηση της κίνησης, που καθορίζεται κατά τη χειραψία. Η κίνηση κρυπτογραφείται χρησιμοποιώντας έναν προσαρμοσμένο κρυπτογράφηση ροής. Δημιουργούνται δύο διαφορετικά κλειδιά – ένα για την εισερχόμενη και ένα για την εξερχόμενη κυκλοφορία.
Η σύνδεση μπορεί να είναι οποιαδήποτε συμβολοσειρά. Το Gateway απαιτεί κάθε συνδεδεμένο στοιχείο να έχει μια μοναδική σύνδεση.
Το Grandoreiro χρησιμοποιεί δύο διαφορετικούς συνδυασμούς τιμών μυστικού κλειδιού και μήκους κλειδιού, πάντα κωδικοποιημένοι στο δυαδικό αρχείο, και έχουμε ήδη συζητήσει το login_string που χρησιμοποιείται ως σύνδεση.
Η τεκμηρίωση του RTC αναφέρει ότι μπορεί να χειριστεί μόνο περιορισμένο αριθμό συνδέσεων ταυτόχρονα. Λαμβάνοντας υπόψη ότι κάθε συνδεδεμένος κεντρικός υπολογιστής πρέπει να στέλνει τουλάχιστον ένα αίτημα ανά δευτερόλεπτο, διαφορετικά η σύνδεσή του διακόπτεται, πιστεύουμε ότι ο λόγος που το Grandoreiro χρησιμοποιεί πολλούς διακομιστές C&C είναι μια προσπάθεια να μην κατακλύσει κανέναν από αυτούς.
Συμπέρασμα
Σε αυτό το blogpost, έχουμε δώσει μια ματιά πίσω από την κουρτίνα της μακροπρόθεσμης παρακολούθησης του Grandoreiro που βοήθησε να καταστεί δυνατή αυτή η λειτουργία διακοπής. Περιγράψαμε σε βάθος πώς λειτουργεί το DGA του Grandoreiro, πόσες διαφορετικές διαμορφώσεις υπάρχουν ταυτόχρονα και πώς μπορέσαμε να εντοπίσουμε πολλές επικαλύψεις διευθύνσεων IP μεταξύ τους.
Έχουμε επίσης παράσχει στατιστικές πληροφορίες που λαμβάνονται από τους διακομιστές C&C. Αυτές οι πληροφορίες παρέχουν μια εξαιρετική επισκόπηση της θυματολογίας και της στόχευσης, ενώ μας επιτρέπουν επίσης να δούμε το πραγματικό επίπεδο του αντίκτυπου.
Η επιχείρηση αναστάτωσης υπό την ηγεσία της Ομοσπονδιακής Αστυνομίας της Βραζιλίας στόχευε σε άτομα που πιστεύεται ότι βρίσκονται ψηλά στην ιεραρχία των επιχειρήσεων Grandoreiro. Η ESET θα συνεχίσει να παρακολουθεί άλλα λατινοαμερικανικά τραπεζικά trojans ενώ παρακολουθείτε στενά για οποιαδήποτε δραστηριότητα του Grandoreiro μετά από αυτήν τη λειτουργία διακοπής.
Για οποιαδήποτε απορία σχετικά με την έρευνά μας που δημοσιεύτηκε στο WeLiveSecurity, επικοινωνήστε μαζί μας στο απειλητικό@eset.com.
Η ESET Research προσφέρει ιδιωτικές αναφορές πληροφοριών APT και ροές δεδομένων. Για οποιαδήποτε απορία σχετικά με αυτήν την υπηρεσία, επισκεφθείτε τη διεύθυνση ESET Threat Intelligence .
IoC
Αρχεία
SHA-1 |
Όνομα |
Ανίχνευση |
Περιγραφή |
FB32344292AB36080F2D040294F17D39F8B4F3A8 |
Notif.FEL.RHKVYIIPFVBCGQJPOQÃ.msi |
Win32/Spy.Grandoreiro.DB |
Πρόγραμμα λήψης MSI |
08C7453BD36DE1B9E0D921D45AEF6D393659FDF5 |
RYCB79H7B-7DVH76Y3-67DVHC6T20-CH377DFHVO-6264704.msi |
Win32/Spy.Grandoreiro.DB |
Πρόγραμμα λήψης MSI |
A99A72D323AB5911ADA7762FBC725665AE01FDF9 |
pcre.dll |
Win32/Spy.Grandoreiro.BM |
Γκραντορέιρο |
4CDF7883C8A0A83EB381E935CD95A288505AA8B8 |
iconv.dll |
Win32/Spy.Grandoreiro.BM |
Grandoreiro (με δυαδική επένδυση) |
Δίκτυο
IP |
Domain |
Πάροχος φιλοξενίας |
Πρωτοεμφανίστηκε |
Περιγραφή |
20.237.166[.]161 |
Δημιουργήθηκε από DGA |
Γαλανός |
2024-01-12 |
Διακομιστής C&C. |
20.120.249[.]43 |
Δημιουργήθηκε από DGA |
Γαλανός |
2024-01-16 |
Διακομιστής C&C. |
52.161.154[.]239 |
Δημιουργήθηκε από DGA |
Γαλανός |
2024-01-18 |
Διακομιστής C&C. |
167.114.138[.]249 |
Δημιουργήθηκε από DGA |
OVH |
2024-01-02 |
Διακομιστής C&C. |
66.70.160[.]251 |
Δημιουργήθηκε από DGA |
OVH |
2024-01-05 |
Διακομιστής C&C. |
167.114.4[.]175 |
Δημιουργήθηκε από DGA |
OVH |
2024-01-09 |
Διακομιστής C&C. |
18.215.238[.]53 |
Δημιουργήθηκε από DGA |
AWS |
2024-01-03 |
Διακομιστής C&C. |
54.219.169[.]167 |
Δημιουργήθηκε από DGA |
AWS |
2024-01-09 |
Διακομιστής C&C. |
3.144.135[.]247 |
Δημιουργήθηκε από DGA |
AWS |
2024-01-12 |
Διακομιστής C&C. |
77.246.96[.]204 |
Δημιουργήθηκε από DGA |
VDSina |
2024-01-11 |
Διακομιστής C&C. |
185.228.72[.]38 |
Δημιουργήθηκε από DGA |
Master da Web |
2024-01-02 |
Διακομιστής C&C. |
62.84.100[.]225 |
N / A |
VDSina |
2024-01-18 |
Διακομιστής διανομής. |
20.151.89[.]252 |
N / A |
Γαλανός |
2024-01-10 |
Διακομιστής διανομής. |
Τεχνικές MITER ATT & CK
Αυτός ο πίνακας κατασκευάστηκε χρησιμοποιώντας έκδοση 14 του πλαισίου MITER ATT & CK.
Τακτική |
ID |
Όνομα |
Περιγραφή |
Ανάπτυξη πόρων |
Ανάπτυξη δυνατοτήτων: Κακόβουλο λογισμικό |
Οι προγραμματιστές του Grandoreiro αναπτύσσουν τα δικά τους προσαρμοσμένα προγράμματα λήψης. |
|
Αρχική πρόσβαση |
Phishing |
Το Grandoreiro εξαπλώνεται μέσω email ηλεκτρονικού ψαρέματος. |
|
Εκτέλεση |
Εκτέλεση χρήστη: Κακόβουλο αρχείο |
Το Grandoreiro πιέζει τα θύματα να εκτελέσουν χειροκίνητα το συνημμένο phishing. |
|
Επιμονή |
Εκκίνηση αυτόματης εκκίνησης ή σύνδεσης: Registry Run Keys / Startup Folder |
Το Grandoreiro χρησιμοποιεί τις τυπικές θέσεις Autostart για επιμονή. |
|
Ροή εκτέλεσης πειρατείας: Παραβίαση εντολής αναζήτησης DLL |
Το Grandoreiro εκτελείται με παραβίαση της σειράς αναζήτησης DLL. |
||
Αμυντική υπεκφυγή |
Αποσυμφόρηση/Αποκωδικοποίηση αρχείων ή πληροφοριών |
Το Grandoreiro διανέμεται συχνά σε αρχεία ZIP που προστατεύονται με κωδικό πρόσβασης. |
|
Συσκευασμένα αρχεία ή πληροφορίες: Binary padding |
Τα Grandoreiro EXE παλαιότερα είχαν μεγεθυνθεί .rsrc τμήματα με μεγάλες εικόνες BMP. |
||
Εκτέλεση δυαδικού διακομιστή μεσολάβησης συστήματος: Msiexec |
Τα προγράμματα λήψης Grandoreiro περιλαμβάνονται σε προγράμματα εγκατάστασης MSI. |
||
Τροποποίηση μητρώου |
Το Grandoreiro αποθηκεύει μέρος των δεδομένων διαμόρφωσής του στο μητρώο των Windows. |
||
Ανακάλυψη |
Ανακάλυψη παραθύρου εφαρμογής |
Το Grandoreiro ανακαλύπτει διαδικτυακούς ιστότοπους τραπεζικών συναλλαγών με βάση τα ονόματα παραθύρων. |
|
Διαδικασία Ανακάλυψης |
Ο Grandoreiro ανακαλύπτει εργαλεία ασφαλείας που βασίζονται σε ονόματα διεργασιών. |
||
Ανακάλυψη λογισμικού: Ανακάλυψη λογισμικού ασφαλείας |
Το Grandoreiro ανιχνεύει την παρουσία προϊόντων τραπεζικής προστασίας. |
||
Ανακάλυψη πληροφοριών συστήματος |
Το Grandoreiro συλλέγει πληροφορίες για τη μηχανή του θύματος, όπως π.χ %COMPUTERNAME% και λειτουργικό σύστημα. |
||
Συλλογή |
Input Capture: GUI Input Capture |
Το Grandoreiro μπορεί να εμφανίζει ψεύτικα αναδυόμενα παράθυρα και να καταγράφει κείμενο που πληκτρολογείται σε αυτά. |
|
Καταγραφή εισόδου: Καταγραφή πληκτρολογίου |
Το Grandoreiro είναι ικανό να καταγράφει πατήματα πλήκτρων. |
||
Συλλογή Email: Τοπική Συλλογή Email |
Οι χειριστές του Grandoreiro ανέπτυξαν ένα εργαλείο για την εξαγωγή διευθύνσεων email από το Outlook. |
||
Διοίκησης και Ελέγχου |
Κωδικοποίηση δεδομένων: Μη τυπική κωδικοποίηση |
Το Grandoreiro χρησιμοποιεί RTC, το οποίο κρυπτογραφεί δεδομένα με έναν προσαρμοσμένο κρυπτογράφηση ροής. |
|
Δυναμική ανάλυση: Αλγόριθμοι δημιουργίας τομέα |
Το Grandoreiro βασίζεται αποκλειστικά στο DGA για να αποκτήσει διευθύνσεις διακομιστή C&C. |
||
Κρυπτογραφημένο κανάλι: Συμμετρική κρυπτογραφία |
Στο RTC, η κρυπτογράφηση και η αποκρυπτογράφηση γίνονται χρησιμοποιώντας το ίδιο κλειδί. |
||
Μη Τυπικό Λιμάνι |
Το Grandoreiro χρησιμοποιεί συχνά μη τυπικές θύρες για διανομή. |
||
Πρωτόκολλο επιπέδου εφαρμογής |
Το RTC είναι χτισμένο πάνω από το HTTP(S). |
||
εκδιήθησης |
Διήθηση πάνω από το κανάλι C2 |
Το Grandoreiro διοχετεύει δεδομένα στον διακομιστή C&C του. |
|
Επίπτωση |
Τερματισμός/Επανεκκίνηση συστήματος |
Το Grandoreiro μπορεί να αναγκάσει μια επανεκκίνηση του συστήματος. |
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.welivesecurity.com/en/eset-research/eset-takes-part-global-operation-disrupt-grandoreiro-banking-trojan/
- :έχει
- :είναι
- :δεν
- :που
- ][Π
- $UP
- 1
- 10
- 114
- 12
- 120
- 160
- 179
- 180
- 2017
- 2019
- 2020
- 2022
- 2023
- 237
- 32
- 35%
- 40
- 7
- 70
- 8
- 84
- 89
- 97
- a
- Ικανός
- Σχετικα
- κατάχρηση
- Αποδέχεται
- πρόσβαση
- Λογαριασμός
- Λογαριασμοί
- ακριβής
- ηθοποιία
- ενεργός
- δραστηριότητα
- πραγματικός
- πραγματικά
- προστιθέμενη
- Επιπλέον
- διεύθυνση
- διευθύνσεις
- Μετά το
- Απευθύνεται
- Στοχεύω
- αλγόριθμος
- Όλα
- επιτρέπουν
- επιτρέπεται
- Επιτρέποντας
- επιτρέπει
- σχεδόν
- Αλφάβητο
- ήδη
- Επίσης
- πάντοτε
- Αμερικανικη
- μεταξύ των
- an
- ανάλυση
- αναλύθηκε
- και
- Άλλος
- κάθε
- εμφανίζονται
- κατάλληλος
- περίπου
- APT
- Αρχείο
- αρχεία
- ΕΙΝΑΙ
- Αργεντίνη
- γύρω
- AS
- ανατεθεί
- βοηθήσει
- συσχετισμένη
- υπόθεση
- At
- Επιθέσεις
- απόπειρα
- Αυτοματοποιημένη
- μέσος
- μακριά
- AWS
- Γαλανός
- Backend
- εύρος ζώνης
- Τράπεζα
- Τράπεζες
- βάση
- βασίζονται
- βασικός
- βάση
- BE
- επειδή
- γίνονται
- ήταν
- πριν
- ξεκίνησε
- πίσω
- είναι
- Πιστεύω
- Πιστεύεται
- ανήκει
- εκτός
- Καλύτερα
- μεταξύ
- bhg
- μεροληπτική
- Μεγαλύτερη
- και οι δύο
- botnet
- Βραζιλία
- πρόγραμμα περιήγησης
- χτίζω
- Χτίζει
- χτισμένο
- ομαδοποιούνται
- αλλά
- by
- υπολογίζεται
- κλήση
- που ονομάζεται
- ήρθε
- Καμπάνιες
- CAN
- δυνατότητες
- ικανός
- πιάνω
- Καταγραφή
- περίπτωση
- περιπτώσεις
- ορισμένες
- σίγουρα
- αλλαγή
- άλλαξε
- Αλλαγές
- αλλαγή
- Κανάλι
- χαρακτήρας
- χαρακτηριστικά
- χαρακτήρες
- επιλογή
- κρυπτογράφημα
- ισχυρισμός
- καθαρός
- πελάτης
- στενά
- πιο κοντά
- Backup
- συστάδα
- κωδικός
- κώδικες
- σύμπτωση
- συνεργάστηκαν
- συλλογή
- Στήλη
- COM
- συνδυασμοί
- επικοινωνούν
- επικοινωνία
- Επικοινωνία
- εντελώς
- συστατικό
- εξαρτήματα
- Συμβιβασμένος
- συμβιβασμός
- υπολογισμός
- υπολογιστή
- καταλήγω
- διαμόρφωση
- Connect
- συνδεδεμένος
- Συνδετικός
- σύνδεση
- Διασυνδέσεις
- θεωρώντας
- Αποτελείται από
- αποτελείται
- πρόξενος
- σταθερός
- συνεχώς
- κατασκευές
- επικοινωνήστε μαζί μας
- περιέχουν
- Περιέχει
- ΣΥΝΕΧΕΙΑ
- συνέχισε
- συνέβαλε
- έλεγχος
- ελέγχους
- συνεργασία
- πυρήνας
- διορθώσει
- Αντίστοιχος
- αντιστοιχεί
- χώρες
- χώρα
- Πορεία
- κρίσιμος
- Ρεύμα
- κουρτίνα
- έθιμο
- da
- καθημερινά
- ημερομηνία
- Ημερομηνία
- ημέρα
- Ημ.
- dDNS
- αποφάσισε
- Αποκρυπτογράφηση
- βαθύτερη
- ορίζεται
- αποδεικνύουν
- βάθος
- περιγράφεται
- αξίζω
- Υπηρεσίες
- σχεδιασμένα
- Ανίχνευση
- καθορίζει
- ανάπτυξη
- αναπτύχθηκε
- προγραμματιστές
- Ανάπτυξη
- διαφορετικές
- δύσκολος
- κατευθείαν
- Ανακαλύπτει
- ανακάλυψη
- συζητήσουν
- συζήτηση
- Display
- οθόνες
- αγνοώντας
- Αναστατώνω
- Αναστάτωση
- διάκριση
- διανέμονται
- διανομή
- κατάδυση
- dns
- τεκμηρίωση
- κάνει
- τομέα
- ΟΝΟΜΑΤΑ ΤΟΜΕΩΝ
- domains
- κυρίαρχο
- γίνεται
- Μην
- Πτώση
- έπεσε
- δυο
- αντίγραφα
- κατά την διάρκεια
- δυναμικός
- e
- κάθε
- Νωρίς
- είτε
- αλλιώς
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- κωδικοποίησης
- κρυπτογράφηση
- κρυπτογραφημένα
- κρυπτογράφηση
- τέλος
- έληξε
- επιβολή
- καταχώριση
- κατ 'ουσίαν,
- εγκαθιδρύω
- εγκατεστημένος
- δημιουργία
- κ.λπ.
- Even
- ΠΑΝΤΑ
- Κάθε
- παράδειγμα
- έξοχος
- εκτελέσει
- εκτελέστηκε
- εκτέλεση
- υπάρχουν
- αναμένεται
- εξήγησε
- εξήγηση
- εκχύλισμα
- αποτυγχάνει
- απομίμηση
- οικογένειες
- Χαρακτηριστικό
- Χαρακτηριστικά
- Φεβρουάριος
- Ομοσπονδιακός
- ομοσπονδιακή αστυνομία
- λίγοι
- λιγότερα
- πεδίο
- Πεδία
- Εικόνα
- Αρχεία
- τελικός
- Τελικά
- οικονομικός
- χρηματοπιστωτικό ίδρυμα
- Εύρεση
- Όνομα
- ελάττωμα
- ροή
- Συγκέντρωση
- ακολουθείται
- Εξής
- Για
- Δύναμη
- μορφή
- μορφές
- Βρέθηκαν
- τέσσερα
- αλεπού
- Πλαίσιο
- Γαλλία
- συχνά
- από
- λειτουργικότητα
- λειτουργία
- περαιτέρω
- χάσμα
- πύλη
- παράγεται
- γενεά
- γεννήτρια
- παίρνω
- Δώστε
- δεδομένου
- Ματιά
- Παγκόσμιο
- Ελλάδα
- Group
- Ομάδα
- είχε
- λαβή
- Έχω
- βαριά
- βοήθησε
- ως εκ τούτου
- ιεραρχία
- Ψηλά
- Τόνισε
- ιστορία
- κρατήστε
- κατέχει
- οικοδεσπότης
- οικοδεσπότες
- ΩΡΕΣ
- Πως
- Πώς να
- Ωστόσο
- http
- HTTPS
- ID
- ιδέα
- identiques
- προσδιορίζονται
- αναγνωριστικό
- αναγνωρίζει
- προσδιορισμό
- if
- απεικονίζει
- εικόνα
- εικόνες
- Επίπτωση
- εκτέλεση
- εφαρμοστεί
- in
- ανακριβής
- Αυξάνουν
- άτομα
- πληροφορίες
- Υποδομή
- αρχικός
- Αρχίζει
- εισαγωγή
- Ερωτήσεις
- μέσα
- αντί
- Ίδρυμα
- Νοημοσύνη
- προορίζονται
- αλληλεπιδρούν
- σε
- εισήγαγε
- Εισαγωγή
- έρευνα
- IP
- Διεύθυνση IP
- Διευθύνσεις IP
- ζήτημα
- θέματα
- IT
- ΤΟΥ
- Ιανουάριος
- JPY
- json
- Ιούλιος
- Ιούνιος
- Διατήρηση
- Κλειδί
- πλήκτρα
- Είδος
- είδη
- Ξέρω
- γνωστός
- ξέρει
- large
- Επίθετο
- αργότερα
- Latin
- Λατινοαμερικανός
- Νόμος
- επιβολή του νόμου
- στρώμα
- ελάχιστα
- αφήνοντας
- Led
- Μήκος
- μείον
- Επίπεδο
- Μου αρέσει
- Πιθανός
- Περιωρισμένος
- γραμμή
- Λιστα
- Εισηγμένες
- τοπικός
- θέσεις
- λογική
- λογικός
- Σύνδεση
- Μακριά
- πολύς καιρός
- μακροπρόθεσμος
- ματιά
- Παρτίδα
- μηχανή
- μηχανήματα
- Κυρίως
- κυρίως
- Η πλειοψηφία
- κάνω
- Κατασκευή
- κακόβουλο
- malware
- Malware-as-a-Service (MaaS)
- χειροκίνητα
- πολοί
- Μάρτιος
- μαρκαρισμένος
- βαθμολόγηση
- μαζικά
- σπίρτα
- Ενδέχεται..
- σημασίες
- μέσα
- Εντομεταξύ
- μηχανισμός
- που αναφέρθηκαν
- μέθοδος
- Μεξικό
- ανήλικος
- τροποποιημένο
- χρήματα
- Παρακολούθηση
- παρακολούθηση
- οθόνες
- Μηνας
- περισσότερο
- πλέον
- MSI
- πολύ
- πολλαπλούς
- πρέπει
- MX
- όνομα
- ονόματα
- ανάγκες
- δίκτυο
- Νέα
- πρόσφατα
- επόμενη
- Όχι.
- σημείωση
- Ειδοποίηση..
- αριθμός
- παρατηρούμε
- αποκτήσει
- λαμβάνεται
- Εμφανή
- OCC
- περιπτώσεις
- περιστατικό
- Οκτώβριος
- of
- προσφορά
- προσφορές
- συχνά
- ηλικιωμένων
- παλαιότερο
- on
- μια φορά
- ONE
- διαδικτυακά (online)
- ηλεκτρονική τραπεζική
- αποκλειστικά
- λειτουργεί
- λειτουργεί
- λειτουργίας
- το λειτουργικό σύστημα
- λειτουργικά συστήματα
- λειτουργία
- χειριστής
- φορείς
- or
- τάξη
- OS
- ΑΛΛΑ
- Άλλα
- δικός μας
- θέα
- εκτός
- επί
- επισκόπηση
- δική
- P&E
- σελίδα
- παράμετροι
- μέρος
- Το παρελθόν
- πρότυπο
- για
- ποσοστό
- εκτελούνται
- περίοδος
- επιμονή
- Περού
- φαινόμενο
- Phishing
- εικόνα
- Pierre
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- σας παρακαλούμε
- Police
- pop-up
- Πύλη
- λιμένες
- Πορτογαλία
- δυνατός
- παρουσία
- παρόν
- πιέσεις
- πρωτόγονος
- ιδιωτικός
- πιθανώς
- διαδικασια μας
- Επεξεργασμένο
- παράγει
- Προϊόντα
- Πρόοδος
- προχωρά
- σχέδιο
- δεόντως
- προστασία
- πρωτόκολλο
- πρωτόκολλα
- αποδείχθηκε
- παρέχεται
- Παρόχους υπηρεσιών
- παρέχει
- χορήγηση
- πληρεξούσιο
- δημοσιεύθηκε
- Python
- Q3
- γρήγορα
- αρκετά
- γρήγορα
- Τιμή
- μάλλον
- λόγος
- πρόσφατος
- Red
- αναφέρεται
- αναφέρεται
- αντανακλάται
- καταχωρηθεί
- Εγγραφή
- μητρώου
- υπόλοιπα
- λείψανα
- μακρινός
- μακρόθεν
- Αφαιρεί
- αναφέρουν
- Εκθέσεις
- εκπροσωπώ
- ζητήσει
- αιτήματα
- απαιτείται
- απαιτήσεις
- Απαιτεί
- έρευνα
- ερευνητές
- Ανάλυση
- επίλυση
- επιλυθεί
- επίλυση
- υπεύθυνος
- αποτέλεσμα
- τρέξιμο
- τρέξιμο
- s
- Είπε
- ΑΓΙΟΣ
- ίδιο
- πριόνι
- λένε
- Οθόνη
- Αναζήτηση
- Δεύτερος
- Μυστικό
- Τμήμα
- τμήματα
- ασφάλεια
- δείτε
- φαίνεται
- δει
- επιλέγονται
- στείλετε
- αποστολή
- αποστέλλονται
- Σεπτέμβριος
- Σειρές
- διακομιστής
- Διακομιστές
- εξυπηρετεί
- υπηρεσία
- Υπηρεσίες
- σειρά
- Σέτς
- τον καθορισμό
- διάφοροι
- Shared
- μοιράζονται
- δείχνουν
- παρουσιάζεται
- Δείχνει
- πλευρά
- σημαντικά
- παρόμοιες
- Απλούς
- ταυτοχρόνως
- αφού
- ενιαίας
- small
- So
- λογισμικό
- μόνο
- μερικοί
- μερικές φορές
- σύντομα
- Πηγή
- πρωτογενής κώδικας
- Ισπανία
- συγκεκριμένες
- Spot
- Spreads
- πρότυπο
- ξεκίνησε
- εκκίνηση
- Μελών
- στατικός
- στατιστικός
- στατιστική
- Βήμα
- Ακόμη
- αποθηκεύονται
- καταστήματα
- μετάδοση
- Σπάγγος
- δυνατά
- θέμα
- Επιτυχώς
- τέτοιος
- συνοψίζω
- Υποστηρίζει
- έκπληξη
- διακόπτης
- σύστημα
- συστήματα
- τραπέζι
- Πάρτε
- παίρνει
- στοχευμένες
- στόχευση
- στόχους
- Τεχνικός
- Τεχνική Ανάλυση
- τεχνική
- δεκάδες
- κείμενο
- από
- ότι
- Η
- οι πληροφορίες
- Η γραμμή
- τους
- Τους
- τότε
- επομένως
- Αυτοί
- αυτοί
- νομίζω
- αυτό
- εκείνοι
- αν και?
- χιλιάδες
- απειλή
- τρία
- Μέσω
- ώρα
- φορές
- timestamp
- Τίτλος
- προς την
- μαζι
- εργαλείο
- εργαλεία
- κορυφή
- Σύνολο
- προς
- τροχιά
- Παρακολούθηση
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- θεραπεία
- ενεργοποιήθηκε
- Trojan
- δύο
- υφίσταται
- μοναδικός
- μέχρι
- αχρησιμοποίητος
- επάνω σε
- uptime
- us
- χρήση
- μεταχειρισμένος
- χρησιμοποιεί
- χρησιμοποιώντας
- συνήθως
- χρησιμοποιώ
- χρησιμοποιεί
- αξία
- Αξίες
- Παραλλαγή
- Σταθερή
- εκδοχή
- πληροφορίες έκδοσης
- πολύ
- μέσω
- Θύμα
- θύματα
- Επίσκεψη
- επισκέφθηκε
- ήταν
- Τρόπος..
- we
- ιστός
- πρόγραμμα περιήγησης στο Web
- Ιστοσελίδα : www.example.gr
- ιστοσελίδες
- εβδομάδα
- ΛΟΙΠΌΝ
- ήταν
- Τι
- πότε
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- πλάτος
- θα
- παράθυρο
- παράθυρα
- με
- εντός
- Εργασία
- λειτουργεί
- γραφή
- έτος
- χρόνια
- αποδόσεις
- zephyrnet
- Zip