Οι ερευνητές της ESET ανακάλυψαν μια καμπάνια βαλλιστικών Bobcat που στοχεύει διάφορες οντότητες στη Βραζιλία, το Ισραήλ και τα Ηνωμένα Αραβικά Εμιράτα, χρησιμοποιώντας μια νέα κερκόπορτα που έχουμε ονομάσει Χορηγός.
Ανακαλύψαμε τον Χορηγό αφού αναλύσαμε ένα ενδιαφέρον δείγμα που εντοπίσαμε στο σύστημα ενός θύματος στο Ισραήλ τον Μάιο του 2022 και εξετάσαμε το εύρος των θυμάτων ανά χώρα. Κατά την εξέταση, μας έγινε φανερό ότι το δείγμα ήταν μια νέα κερκόπορτα που αναπτύχθηκε από την ομάδα Ballistic Bobcat APT.
Ο βαλλιστικός Bobcat, που προηγουμένως παρακολουθήθηκε από την ESET Research ως APT35/APT42 (γνωστός και ως Charming Kitten, TA453, ή PHOSPHORUS), είναι ύποπτος Προηγμένη ομάδα επίμονης απειλής ευθυγραμμισμένη με το Ιράν που απευθύνεται σε οργανισμούς εκπαίδευσης, κυβέρνησης και υγείας, καθώς και ακτιβιστές ανθρωπίνων δικαιωμάτων και δημοσιογράφους. Είναι πιο ενεργό στο Ισραήλ, τη Μέση Ανατολή και τις Ηνωμένες Πολιτείες. Συγκεκριμένα, κατά τη διάρκεια της πανδημίας, στόχευε οργανισμούς που σχετίζονται με τον COVID-19, συμπεριλαμβανομένου του Παγκόσμιου Οργανισμού Υγείας και της Gilead Pharmaceuticals, καθώς και ιατρικό ερευνητικό προσωπικό.
Επικαλύψεις μεταξύ βαλλιστικών εκστρατειών Bobcat Οι εκδόσεις backdoor και Sponsor δείχνουν ένα αρκετά σαφές μοτίβο ανάπτυξης και ανάπτυξης εργαλείων, με στενά στοχευμένες καμπάνιες, καθεμία περιορισμένης διάρκειας. Στη συνέχεια ανακαλύψαμε άλλες τέσσερις εκδόσεις της κερκόπορτας του Sponsor. Συνολικά, είδαμε τον Χορηγό να αναπτύσσεται σε τουλάχιστον 34 θύματα στη Βραζιλία, το Ισραήλ και τα Ηνωμένα Αραβικά Εμιράτα, όπως περιγράφεται στο REF _Ref143075975 h Εικόνα 1
.
Βασικά σημεία αυτής της ανάρτησης ιστολογίου:
- Ανακαλύψαμε μια νέα κερκόπορτα που αναπτύχθηκε από το Ballistic Bobcat που στη συνέχεια ονομάσαμε Χορηγός.
- Το Ballistic Bobcat ανέπτυξε τη νέα κερκόπορτα τον Σεπτέμβριο του 2021, ενώ ολοκλήρωνε την καμπάνια που τεκμηριώθηκε στο CISA Alert AA21-321A και στην καμπάνια PowerLess.
- Η κερκόπορτα του Χορηγού χρησιμοποιεί αρχεία διαμόρφωσης που είναι αποθηκευμένα στο δίσκο. Αυτά τα αρχεία αναπτύσσονται διακριτικά από αρχεία δέσμης και έχουν σχεδιαστεί εσκεμμένα ώστε να φαίνονται αβλαβή, επιχειρώντας έτσι να αποφύγουν τον εντοπισμό από μηχανές σάρωσης.
- Ο χορηγός αναπτύχθηκε σε τουλάχιστον 34 θύματα στη Βραζιλία, το Ισραήλ και τα Ηνωμένα Αραβικά Εμιράτα. ονομάσαμε αυτή τη δραστηριότητα καμπάνια Πρόσβασης χορηγιών.
Αρχική πρόσβαση
Το Ballistic Bobcat απέκτησε αρχική πρόσβαση εκμεταλλευόμενος γνωστές ευπάθειες σε διακομιστές Microsoft Exchange που εκτίθενται στο Διαδίκτυο πραγματοποιώντας πρώτα σχολαστικές σαρώσεις του συστήματος ή του δικτύου για τον εντοπισμό πιθανών αδυναμιών ή τρωτών σημείων και στη συνέχεια στοχεύοντας και εκμεταλλευόμενοι αυτές τις αδυναμίες που εντοπίστηκαν. Η ομάδα είναι γνωστό ότι έχει αυτή τη συμπεριφορά εδώ και αρκετό καιρό. Ωστόσο, πολλά από τα 34 θύματα που εντοπίστηκαν στην τηλεμετρία ESET θα μπορούσαν καλύτερα να περιγραφούν ως θύματα ευκαιρίας και όχι ως προεπιλεγμένα και ερευνημένα θύματα, καθώς υποψιαζόμαστε ότι το Ballistic Bobcat εμπλέκεται στην παραπάνω περιγραφόμενη συμπεριφορά σάρωσης και εκμετάλλευσης επειδή δεν ήταν η μόνη απειλή φορέας με πρόσβαση σε αυτά τα συστήματα. Ονομάσαμε αυτή τη δραστηριότητα βαλλιστικών Bobcat χρησιμοποιώντας την κερκόπορτα του Χορηγού ως καμπάνια Πρόσβασης χορηγιών.
Η κερκόπορτα του Χορηγού χρησιμοποιεί αρχεία διαμόρφωσης στο δίσκο, που απορρίπτονται από αρχεία δέσμης, και τα δύο είναι αβλαβή ώστε να παρακάμπτονται οι μηχανές σάρωσης. Αυτή η αρθρωτή προσέγγιση είναι αυτή που το Ballistic Bobcat έχει χρησιμοποιήσει αρκετά συχνά και με μέτρια επιτυχία τα τελευταία δυόμισι χρόνια. Σε παραβιασμένα συστήματα, το Ballistic Bobcat συνεχίζει επίσης να χρησιμοποιεί μια ποικιλία εργαλείων ανοιχτού κώδικα, τα οποία περιγράφουμε – μαζί με την κερκόπορτα του Χορηγού – σε αυτό το blogpost.
Victimology
Η σημαντική πλειοψηφία των 34 θυμάτων εντοπίστηκε στο Ισραήλ, με μόνο δύο να βρίσκονται σε άλλες χώρες:
- Βραζιλία, σε ιατρικό συνεταιρισμό και φορέα ασφάλισης υγείας, και
- τα Ηνωμένα Αραβικά Εμιράτα, σε άγνωστη οργάνωση.
REF _Ref112861418 h Τραπέζι 1
περιγράφει τους κλάδους και τις οργανωτικές λεπτομέρειες για τα θύματα στο Ισραήλ.
Τραπέζι Πίνακας SEQ * ΑΡΑΒΙΚΑ 1. Κάθετες και οργανωτικές λεπτομέρειες για τα θύματα στο Ισραήλ
Κάθετος |
Περιγραφή |
Αυτοκίνητο |
· Μια εταιρεία αυτοκινήτων που ειδικεύεται στις προσαρμοσμένες τροποποιήσεις. · Εταιρεία επισκευής και συντήρησης αυτοκινήτων. |
Διαβιβάσεις |
· Ισραηλινό μέσο ενημέρωσης. |
Μηχανική |
· Εταιρία πολιτικού μηχανικού. · Εταιρεία περιβαλλοντικής μηχανικής. · Μια εταιρεία αρχιτεκτονικού σχεδιασμού. |
Χρηματοπιστωτικές υπηρεσίες |
· Μια εταιρεία χρηματοοικονομικών υπηρεσιών που ειδικεύεται στην επενδυτική συμβουλευτική. · Μια εταιρεία που διαχειρίζεται δικαιώματα. |
Φροντίδα Υγείας |
· Ένας πάροχος ιατρικής περίθαλψης. |
Ασφάλιση |
· Μια ασφαλιστική εταιρεία που λειτουργεί ασφαλιστική αγορά. · Εμπορική ασφαλιστική εταιρεία. |
Νόμος |
· Μια εταιρεία που ειδικεύεται στο ιατρικό δίκαιο. |
Βιομηχανίες |
· Πολλαπλές εταιρείες κατασκευής ηλεκτρονικών. · Μια εταιρεία που κατασκευάζει εμπορικά προϊόντα με βάση το μέταλλο. · Μια πολυεθνική εταιρεία παραγωγής τεχνολογίας. |
Λιανεμποριο |
· Έμπορος λιανικής τροφίμων. · Πολυεθνικός λιανοπωλητής διαμαντιών. · Πωλητής προϊόντων περιποίησης δέρματος. · Έμπορος λιανικής και εγκαταστάτης επεξεργασίας παραθύρων. · Ένας παγκόσμιος προμηθευτής ηλεκτρονικών ανταλλακτικών. · Ένας προμηθευτής ελέγχου φυσικής πρόσβασης. |
Τεχνολογία |
· Μια εταιρεία τεχνολογίας υπηρεσιών πληροφορικής. · Πάροχος λύσεων πληροφορικής. |
Τηλεπικοινωνίες |
· Μια εταιρεία τηλεπικοινωνιών. |
Αγνωστος |
· Πολλαπλοί άγνωστοι οργανισμοί. |
απόδοση
Τον Αύγουστο του 2021, το Ισραηλινό θύμα πάνω από το οποίο λειτουργεί ασφαλιστική αγορά δέχθηκε επίθεση από το Ballistic Bobcat με τα εργαλεία Η CISA ανέφερε τον Νοέμβριο του 2021. Οι δείκτες συμβιβασμού που παρατηρήσαμε είναι:
- MicrosoftOutlookUpdateSchedule,
- MicrosoftOutlookUpdateSchedule.xml,
- GoogleChangeManagement, να
- GoogleChangeManagement.xml.
Τα εργαλεία βαλλιστικών Bobcat επικοινωνούσαν με τον ίδιο διακομιστή εντολών και ελέγχου (C&C) όπως στην αναφορά CISA: 162.55.137[.]20.
Στη συνέχεια, τον Σεπτέμβριο του 2021, το ίδιο θύμα έλαβε την επόμενη γενιά εργαλείων βαλλιστικών Bobcat: το PowerLess backdoor και το υποστηρικτικό του σύνολο εργαλείων. Οι δείκτες συμβιβασμού που παρατηρήσαμε ήταν:
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
- windowsprocesses.exe, να
- http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.
Τον Νοέμβριο του 18th, 2021, η ομάδα στη συνέχεια ανέπτυξε ένα άλλο εργαλείο (Πλινκ) που καλύφθηκε στην έκθεση της CISA, όπως MicrosoftOutLookUpdater.exe. Δέκα μέρες μετά, στις 28 Νοεμβρίουth, 2021, το Ballistic Bobcat ανέπτυξε το Πράκτορας Merlin (το τμήμα πράκτορα ενός Διακομιστής και πράκτορας C&C μετά την εκμετάλλευση ανοιχτού κώδικα γραμμένο στο Go). Στο δίσκο, αυτός ο πράκτορας Merlin ονομάστηκε googleUpdate.exe, χρησιμοποιώντας την ίδια σύμβαση ονομασίας όπως περιγράφεται στην έκθεση CISA για απόκρυψη σε κοινή θέα.
Ο πράκτορας Merlin εκτέλεσε ένα αντίστροφο κέλυφος του Meterpreter που καλούσε πίσω σε έναν νέο διακομιστή C&C, 37.120.222[.]168:80. Στις 12 Δεκεμβρίουth, 2021, το αντίστροφο κέλυφος έριξε ένα αρχείο δέσμης, install.bat, και μέσα σε λίγα λεπτά από την εκτέλεση του αρχείου δέσμης, οι χειριστές του Ballistic Bobcat έσπρωξαν το νεότερο backdoor τους, το Sponsor. Αυτή θα αποδειχθεί ότι είναι η τρίτη έκδοση του backdoor.
Τεχνική ανάλυση
Αρχική πρόσβαση
Καταφέραμε να εντοπίσουμε ένα πιθανό μέσο αρχικής πρόσβασης για 23 από τα 34 θύματα που παρατηρήσαμε στην τηλεμετρία ESET. Παρόμοια με αυτά που αναφέρθηκαν στο Ανίσχυρος και έλαμψε αναφέρει ότι το Ballistic Bobcat πιθανότατα εκμεταλλεύτηκε μια γνωστή ευπάθεια, CVE-2021-26855, σε διακομιστές Microsoft Exchange για να αποκτήσετε βάση σε αυτά τα συστήματα.
Για 16 από τα 34 θύματα, φαίνεται ότι ο Ballistic Bobcat δεν ήταν ο μόνος παράγοντας απειλής με πρόσβαση στα συστήματά τους. Αυτό μπορεί να υποδηλώνει, μαζί με τη μεγάλη ποικιλία των θυμάτων και την προφανή έλλειψη προφανούς αξίας πληροφοριών για μερικά θύματα, ότι το Ballistic Bobcat εμπλέκεται σε συμπεριφορά σάρωσης και εκμετάλλευσης, σε αντίθεση με μια στοχευμένη εκστρατεία εναντίον προεπιλεγμένων θυμάτων.
Εργαλειοθήκη
Εργαλεία ανοιχτού κώδικα
Το Ballistic Bobcat χρησιμοποίησε μια σειρά από εργαλεία ανοιχτού κώδικα κατά τη διάρκεια της εκστρατείας Sponsoring Access. Αυτά τα εργαλεία και οι λειτουργίες τους παρατίθενται στο REF _Ref112861458 h Τραπέζι 2
.
Τραπέζι Πίνακας SEQ * ΑΡΑΒΙΚΑ 2. Εργαλεία ανοιχτού κώδικα που χρησιμοποιούνται από το Ballistic Bobcat
Όνομα |
Περιγραφή |
host2ip.exe
|
Χάρτες α όνομα κεντρικού υπολογιστή σε μια διεύθυνση IP εντός του τοπικού δικτύου. |
CSRSS.EXE
|
RevSocks, μια εφαρμογή αντίστροφης σήραγγας. |
mi.exe
|
Mimikatz, με αρχικό όνομα αρχείου από midongle.exe και γεμάτη με το Συσκευαστής PE Armadillo. |
gost.exe
|
GO Simple Tunnel (ΧΩΡΙΣ), μια εφαρμογή τούνελ γραμμένη στο Go. |
chisel.exe
|
Σμίλη, μια σήραγγα TCP/UDP πάνω από HTTP χρησιμοποιώντας επίπεδα SSH. |
csrss_protected.exe
|
RevSocks τούνελ, προστατευμένο με τη δοκιμαστική έκδοση του Προστασία λογισμικού Enigma Protector. |
plink.exe
|
Πλινκ (PuTTY Link), ένα εργαλείο σύνδεσης γραμμής εντολών. |
WebBrowserPassView.exe
|
A εργαλείο ανάκτησης κωδικού πρόσβασης για κωδικούς πρόσβασης που είναι αποθηκευμένοι σε προγράμματα περιήγησης ιστού.
|
sqlextractor.exe
|
A εργαλείο για αλληλεπίδραση και εξαγωγή δεδομένων από βάσεις δεδομένων SQL. |
procdump64.exe
|
ProcDump, μια Βοηθητικό πρόγραμμα γραμμής εντολών Sysinternals για παρακολούθηση εφαρμογών και δημιουργία ενδείξεων σφαλμάτων. |
Αρχεία δέσμης
Το Ballistic Bobcat ανέπτυξε αρχεία δέσμης στα συστήματα των θυμάτων λίγες στιγμές πριν αναπτύξει την κερκόπορτα του Sponsor. Οι διαδρομές αρχείων που γνωρίζουμε είναι:
- C:inetpubwwwrootaspnet_clientInstall.bat
- %USERPROFILE%DesktopInstall.bat
- %WINDOWS%TasksInstall.bat
Δυστυχώς, δεν μπορέσαμε να αποκτήσουμε κανένα από αυτά τα ομαδικά αρχεία. Ωστόσο, πιστεύουμε ότι γράφουν αβλαβή αρχεία διαμόρφωσης στο δίσκο, τα οποία απαιτεί η κερκόπορτα του Χορηγού για να λειτουργήσει πλήρως. Αυτά τα ονόματα αρχείων ρυθμίσεων λήφθηκαν από τα backdoors του Χορηγού αλλά δεν συλλέχθηκαν ποτέ:
- config. txt
- node.txt
- error.txt
- Uninstall.bat
Πιστεύουμε ότι τα αρχεία δέσμης και τα αρχεία διαμόρφωσης αποτελούν μέρος της διαδικασίας σπονδυλωτής ανάπτυξης που η Ballistic Bobcat έχει ευνοήσει τα τελευταία χρόνια.
Χορηγός backdoor
Τα backdoors χορηγών είναι γραμμένα σε C++ με χρονικές σημάνσεις μεταγλώττισης και διαδρομές Βάσης Δεδομένων Προγράμματος (PDB) όπως φαίνεται στο REF _Ref112861527 h Τραπέζι 3
. Σημείωση για τους αριθμούς έκδοσης: η στήλη Εκδοχή αντιπροσωπεύει την έκδοση που παρακολουθούμε εσωτερικά με βάση τη γραμμική εξέλιξη των κερκόπορτων χορηγών όπου γίνονται αλλαγές από τη μια έκδοση στην άλλη. ο Εσωτερική έκδοση Η στήλη περιέχει τους αριθμούς έκδοσης που παρατηρούνται σε κάθε κερκόπορτα Χορηγού και περιλαμβάνονται για ευκολία σύγκρισης κατά την εξέταση αυτών και άλλων πιθανών δειγμάτων χορηγού.
Τραπέζι 3. Χρονικές σημάνσεις και PDB συλλογής χορηγών
Εκδοχή |
Εσωτερική έκδοση |
Χρονική σήμανση συλλογής |
ΠΠ |
1 |
1.0.0 |
2021-08-29 09:12:51 |
D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb |
2 |
1.0.0 |
2021-10-09 12:39:15 |
D:TempSponsorReleaseSponsor.pdb |
3 |
1.4.0 |
2021-11-24 11:51:55 |
D:TempSponsorReleaseSponsor.pdb |
4 |
2.1.1 |
2022-02-19 13:12:07 |
D:TempSponsorReleaseSponsor.pdb |
5 |
1.2.3.0 |
2022-06-19 14:14:13 |
D:TempAluminaReleaseAlumina.pdb |
Η αρχική εκτέλεση του Sponsor απαιτεί το όρισμα χρόνου εκτέλεσης εγκαθιστώ, χωρίς την οποία ο Χορηγός αποχωρεί χαριτωμένα, πιθανότατα μια απλή τεχνική κατά της εξομοίωσης/κατά του sandbox. Εάν περάσει αυτό το όρισμα, ο Χορηγός δημιουργεί μια υπηρεσία που ονομάζεται SystemNetwork (σε v1) Και Ενημέρωση (σε όλες τις άλλες εκδόσεις). Ρυθμίζει τις υπηρεσίες Τύπος εκκίνησης προς την Αυτόματο, και του ορίζει να εκτελεί τη δική του διαδικασία Χορηγού και του εκχωρεί πλήρη πρόσβαση. Στη συνέχεια ξεκινά την υπηρεσία.
Ο χορηγός, που τώρα εκτελείται ως υπηρεσία, επιχειρεί να ανοίξει τα προαναφερθέντα αρχεία διαμόρφωσης που είχαν τοποθετηθεί προηγουμένως στο δίσκο. Ψάχνει για config. txt και node.txt, τόσο στον τρέχοντα κατάλογο εργασίας. Εάν το πρώτο λείπει, ο Χορηγός ορίζει την υπηρεσία σε Διακόπηκε και βγαίνει με χάρη.
Διαμόρφωση backdoor
Διαμόρφωση χορηγού, αποθηκευμένη σε config. txt, περιέχει δύο πεδία:
- Ένα διάστημα ενημέρωσης, σε δευτερόλεπτα, για να επικοινωνείτε περιοδικά με τον διακομιστή C&C για εντολές.
- Μια λίστα διακομιστών C&C, που αναφέρεται ως ρελέ στα δυαδικά αρχεία του Χορηγού.
Οι διακομιστές C&C αποθηκεύονται κρυπτογραφημένοι (RC4) και το κλειδί αποκρυπτογράφησης υπάρχει στην πρώτη γραμμή του config. txt. Κάθε ένα από τα πεδία, συμπεριλαμβανομένου του κλειδιού αποκρυπτογράφησης, έχει τη μορφή που εμφανίζεται REF _Ref142647636 h Εικόνα 3
.
Αυτά τα υποπεδία είναι:
- config_start: δείχνει το μήκος του config_name, εάν υπάρχει, ή μηδέν, εάν όχι. Χρησιμοποιείται από την πίσω πόρτα για να γνωρίζει πού config_data ξεκινά.
- config_len: μήκος του config_data.
- config_name: προαιρετικό, περιέχει ένα όνομα που δίνεται στο πεδίο διαμόρφωσης.
- config_data: η ίδια η διαμόρφωση, κρυπτογραφημένη (στην περίπτωση διακομιστών C&C) ή όχι (όλα τα άλλα πεδία).
REF _Ref142648473 h Εικόνα 4
δείχνει ένα παράδειγμα με χρωματικά κωδικοποιημένα περιεχόμενα μιας πιθανής config. txt αρχείο. Σημειώστε ότι αυτό δεν είναι ένα πραγματικό αρχείο που παρατηρήσαμε, αλλά ένα κατασκευασμένο παράδειγμα.
Τα δύο τελευταία πεδία σε config. txt κρυπτογραφούνται με RC4, χρησιμοποιώντας την αναπαράσταση συμβολοσειράς του κατακερματισμού SHA-256 του καθορισμένου κλειδιού αποκρυπτογράφησης, ως κλειδί για την κρυπτογράφηση των δεδομένων. Βλέπουμε ότι τα κρυπτογραφημένα byte αποθηκεύονται με εξαγωνική κωδικοποίηση ως κείμενο ASCII.
Συλλογή πληροφοριών υποδοχής
Ο χορηγός συλλέγει πληροφορίες σχετικά με τον κεντρικό υπολογιστή στον οποίο εκτελείται, αναφέρει όλες τις συλλεγμένες πληροφορίες στον διακομιστή C&C και λαμβάνει ένα αναγνωριστικό κόμβου, το οποίο είναι γραμμένο στο node.txt. REF _Ref142653641 h Τραπέζι 4
REF _Ref112861575 h
παραθέτει κλειδιά και τιμές στο μητρώο των Windows που χρησιμοποιεί ο Χορηγός για να λάβει τις πληροφορίες και παρέχει ένα παράδειγμα των δεδομένων που συλλέγονται.
Πίνακας 4. Πληροφορίες που συγκεντρώθηκαν από τον Χορηγό
Κλειδί μητρώου |
αξία |
Παράδειγμα |
HKEY_LOCAL_MACHINESYSTEMCcurrentControlSetServicesTcpipParameters
|
Όνομα κεντρικού υπολογιστή
|
D-835MK12
|
HKEY_LOCAL_MACHINESYSTEMCcurrentControlSetControlTimeZoneInformation
|
TimeZoneKeyName
|
Τυπική ώρα Ισραήλ
|
HKEY_USERS.DEFAULTCΠίνακας Ελέγχου Διεθνής
|
Τοπικό όνομα
|
he-IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSσύστημαBIOS
|
BaseBoardProduct
|
10NX0010IL
|
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor
|
ProcessorNameString
|
CPU Intel(R) Core(TM) i7-8565U @ 1.80GHz
|
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
|
Ονομα προϊόντος
|
Windows 10 EnterpriseN
|
CurrentVersion
|
6.3
|
|
CurrentBuildNumber
|
19044
|
|
Τύπος εγκατάστασης
|
Πελάτης
|
Ο χορηγός συλλέγει επίσης τον τομέα Windows του κεντρικού υπολογιστή χρησιμοποιώντας τα ακόλουθα WMIC εντολή:
wmic computersystem get domain
Τέλος, ο Χορηγός χρησιμοποιεί τα API των Windows για τη συλλογή του τρέχοντος ονόματος χρήστη (GetUserNameW), καθορίστε εάν η τρέχουσα διαδικασία Sponsor εκτελείται ως εφαρμογή 32 ή 64 bit (GetCurrentProcess, Τότε IsWow64Process (ΤρέχουσαΔιαδικασία)), και καθορίζει εάν το σύστημα λειτουργεί με μπαταρία ή είναι συνδεδεμένο σε πηγή τροφοδοσίας AC ή DC (GetSystemPowerStatus).
Ένα παράξενο σχετικά με τον έλεγχο εφαρμογής 32 ή 64 bit είναι ότι όλα τα δείγματα του Sponsor που παρατηρήθηκαν ήταν 32 bit. Αυτό θα μπορούσε να σημαίνει ότι ορισμένα από τα εργαλεία του επόμενου σταδίου απαιτούν αυτές τις πληροφορίες.
Οι πληροφορίες που συλλέγονται αποστέλλονται σε ένα μήνυμα με κωδικοποίηση base64 που, πριν από την κωδικοποίηση, ξεκινά με r και έχει τη μορφή που φαίνεται στο REF _Ref142655224 h Εικόνα 5
.
Οι πληροφορίες κρυπτογραφούνται με RC4 και το κλειδί κρυπτογράφησης είναι ένας τυχαίος αριθμός που δημιουργείται επί τόπου. Το κλειδί κατακερματίζεται με τον αλγόριθμο MD5, όχι με το SHA-256 όπως αναφέρθηκε προηγουμένως. Αυτό ισχύει για όλες τις επικοινωνίες όπου ο Χορηγός πρέπει να στείλει κρυπτογραφημένα δεδομένα.
Ο διακομιστής C&C απαντά με έναν αριθμό που χρησιμοποιείται για την αναγνώριση του θύματος υπολογιστή σε μεταγενέστερες επικοινωνίες, στον οποίο γίνεται εγγραφή node.txt. Σημειώστε ότι ο διακομιστής C&C επιλέγεται τυχαία από τη λίστα όταν το r αποστέλλεται μήνυμα και ο ίδιος διακομιστής χρησιμοποιείται σε όλες τις επόμενες επικοινωνίες.
Βρόχος επεξεργασίας εντολών
Ο χορηγός ζητά εντολές σε βρόχο, σε κατάσταση αναστολής λειτουργίας σύμφωνα με το διάστημα που ορίζεται στο config. txt. Τα βήματα είναι:
- Στείλτε a chk=Δοκιμή μήνυμα επανειλημμένα, μέχρι να απαντήσει ο διακομιστής C&C Ok.
- Στείλτε a c (IS_CMD_AVAIL) μήνυμα στον διακομιστή C&C και λάβετε μια εντολή χειριστή.
- Επεξεργαστείτε την εντολή.
- Εάν υπάρχει έξοδος προς αποστολή στον διακομιστή C&C, στείλτε ένα a (ACK) μήνυμα, συμπεριλαμβανομένης της εξόδου (κρυπτογραφημένο) ή
- Εάν η εκτέλεση απέτυχε, στείλτε ένα f
(
ΑΠΕΤΥΧΕ) μήνυμα. Το μήνυμα σφάλματος δεν αποστέλλεται.
- Κοιμηθείτε.
Η c αποστέλλεται μήνυμα για να ζητηθεί μια εντολή για εκτέλεση και έχει τη μορφή (πριν από την κωδικοποίηση του base64) που φαίνεται στο REF _Ref142658017 h Εικόνα 6
.
Η encrypted_none Το πεδίο στο σχήμα είναι το αποτέλεσμα της κρυπτογράφησης της συμβολοσειράς με σκληρό κώδικα Ν/Α με RC4. Το κλειδί για την κρυπτογράφηση είναι ο κατακερματισμός του MD5 node_id.
Η διεύθυνση URL που χρησιμοποιείται για την επικοινωνία με τον διακομιστή C&C είναι κατασκευασμένη ως εξής: http://<IP_or_domain>:80. Αυτό μπορεί να υποδηλώνει ότι 37.120.222[.]168:80 είναι ο μόνος διακομιστής C&C που χρησιμοποιήθηκε σε όλη την καμπάνια Sponsoring Access, καθώς ήταν η μόνη διεύθυνση IP που παρατηρήσαμε μηχανήματα-θύματα να προσεγγίζουν τη θύρα 80.
Εντολές χειριστή
Οι εντολές χειριστή οριοθετούνται στο REF _Ref112861551 h Τραπέζι 5
και εμφανίζονται με τη σειρά με την οποία βρίσκονται στον κώδικα. Η επικοινωνία με τον διακομιστή C&C πραγματοποιείται μέσω της θύρας 80.
Πίνακας 5. Εντολές και περιγραφές χειριστή
εντολή |
Περιγραφή |
p |
Στέλνει το αναγνωριστικό διαδικασίας για την εκτελούμενη διαδικασία Χορηγού. |
e |
Εκτελεί μια εντολή, όπως καθορίζεται σε ένα επόμενο πρόσθετο όρισμα, στον κεντρικό υπολογιστή Sponsor χρησιμοποιώντας την ακόλουθη συμβολοσειρά: c:windowssystem32cmd.exe /c > result.txt 2>&1 Τα αποτελέσματα αποθηκεύονται σε result.txt στον τρέχοντα κατάλογο εργασίας. Στέλνει ένα a μήνυμα με την κρυπτογραφημένη έξοδο στον διακομιστή C&C εάν εκτελεστεί επιτυχώς. Εάν αποτύχει, στέλνει ένα f μήνυμα (χωρίς να προσδιορίσετε το σφάλμα). |
d |
Λαμβάνει ένα αρχείο από τον διακομιστή C&C και το εκτελεί. Αυτή η εντολή έχει πολλά επιχειρήματα: το όνομα αρχείου προορισμού στο οποίο θα εγγραφεί το αρχείο, ο κατακερματισμός MD5 του αρχείου, ένας κατάλογος στον οποίο θα εγγραφεί το αρχείο (ή ο τρέχων κατάλογος εργασίας, από προεπιλογή), ένα Boolean για να υποδείξει εάν θα εκτελεστεί το αρχείο ή όχι, και τα περιεχόμενα του εκτελέσιμου αρχείου, κωδικοποιημένα με base64. Εάν δεν προκύψουν σφάλματα, α a το μήνυμα αποστέλλεται στον διακομιστή C&C με Μεταφόρτωση και εκτέλεση αρχείου με επιτυχία or Μεταφόρτωση αρχείου με επιτυχία χωρίς εκτέλεση (κρυπτογραφημένο). Εάν παρουσιαστούν σφάλματα κατά την εκτέλεση του αρχείου, α f αποστέλλεται μήνυμα. Εάν ο κατακερματισμός MD5 των περιεχομένων του αρχείου δεν ταιριάζει με τον παρεχόμενο κατακερματισμό, an e (CRC_ERROR) το μήνυμα αποστέλλεται στον διακομιστή C&C (συμπεριλαμβανομένου μόνο του κλειδιού κρυπτογράφησης που χρησιμοποιείται και καμία άλλη πληροφορία). Η χρήση του όρου Μεταφόρτωση εδώ είναι δυνητικά μπερδεμένο καθώς οι χειριστές και οι κωδικοποιητές του Ballistic Bobcat λαμβάνουν την άποψη από την πλευρά του διακομιστή, ενώ πολλοί μπορεί να το δουν ως λήψη που βασίζεται στο τράβηγμα του αρχείου (δηλαδή τη λήψη του) από το σύστημα χρησιμοποιώντας την κερκόπορτα του Χορηγού. |
u |
Προσπάθειες λήψης αρχείου χρησιμοποιώντας το URLDownloadFileW Windows API και εκτελέστε το. Η επιτυχία στέλνει ένα a μήνυμα με το κλειδί κρυπτογράφησης που χρησιμοποιείται και καμία άλλη πληροφορία. Η αποτυχία στέλνει ένα f μήνυμα με παρόμοια δομή. |
s |
Εκτελεί ένα αρχείο που βρίσκεται ήδη στο δίσκο, Uninstall.bat στον τρέχοντα κατάλογο εργασίας, που πιθανότατα περιέχει εντολές για τη διαγραφή αρχείων που σχετίζονται με την κερκόπορτα. |
n |
Αυτή η εντολή μπορεί να παρέχεται ρητά από έναν χειριστή ή μπορεί να συναχθεί από τον Χορηγό ως η εντολή που πρέπει να εκτελεστεί απουσία οποιασδήποτε άλλης εντολής. Αναφέρεται εντός του Χορηγού ως NO_CMD, εκτελεί μια τυχαία αναστολή λειτουργίας πριν από την επανέλεγχο με τον διακομιστή C&C. |
b |
Ενημερώνει τη λίστα των C&C που είναι αποθηκευμένα σε config. txt στον τρέχοντα κατάλογο εργασίας. Οι νέες διευθύνσεις C&C αντικαθιστούν τις προηγούμενες. δεν προστίθενται στη λίστα. Στέλνει ένα a μήνυμα με |
i |
Ενημερώνει το προκαθορισμένο διάστημα check-in που καθορίζεται στο config. txt. Στέλνει ένα a μήνυμα με Το νέο διάστημα αντικαταστάθηκε με επιτυχία στον διακομιστή C&C, εάν ενημερωθεί επιτυχώς. |
Ενημερώσεις για τον Χορηγό
Οι βαλλιστικοί κωδικοποιητές Bobcat έκαναν αναθεωρήσεις κώδικα μεταξύ Sponsor v1 και v2. Οι δύο πιο σημαντικές αλλαγές στο τελευταίο είναι:
- Βελτιστοποίηση κώδικα όπου αρκετές μεγαλύτερες συναρτήσεις ελαχιστοποιήθηκαν σε συναρτήσεις και υποσυναρτήσεις και
- Συγκάλυψη του Χορηγού ως πρόγραμμα ενημέρωσης συμπεριλαμβάνοντας το ακόλουθο μήνυμα στη διαμόρφωση της υπηρεσίας:
Οι ενημερώσεις εφαρμογών είναι εξαιρετικές τόσο για χρήστες εφαρμογών όσο και για εφαρμογές – οι ενημερώσεις σημαίνουν ότι οι προγραμματιστές εργάζονται πάντα για τη βελτίωση της εφαρμογής, έχοντας κατά νου μια καλύτερη εμπειρία πελάτη με κάθε ενημέρωση.
Υποδομή δικτύου
Εκτός από το piggybacking στην υποδομή C&C που χρησιμοποιείται στην καμπάνια PowerLess, η Ballistic Bobcat παρουσίασε επίσης έναν νέο διακομιστή C&C. Η ομάδα χρησιμοποίησε επίσης πολλαπλές διευθύνσεις IP για την αποθήκευση και την παράδοση εργαλείων υποστήριξης κατά τη διάρκεια της καμπάνιας Πρόσβασης χορηγιών. Έχουμε επιβεβαιώσει ότι καμία από αυτές τις IP δεν είναι σε λειτουργία αυτήν τη στιγμή.
Συμπέρασμα
Το Ballistic Bobcat συνεχίζει να λειτουργεί σε ένα μοντέλο σάρωσης και εκμετάλλευσης, αναζητώντας στόχους ευκαιριών με μη επιδιορθωμένα τρωτά σημεία σε διακομιστές Microsoft Exchange που εκτίθενται στο διαδίκτυο. Η ομάδα συνεχίζει να χρησιμοποιεί ένα ποικίλο σύνολο εργαλείων ανοιχτού κώδικα που συμπληρώνεται με πολλές προσαρμοσμένες εφαρμογές, συμπεριλαμβανομένης της κερκόπορτας του Χορηγού. Συνιστάται στους υπερασπιστές να επιδιορθώνουν τυχόν συσκευές που εκτίθενται στο διαδίκτυο και να παραμείνουν σε επαγρύπνηση για νέες εφαρμογές που εμφανίζονται στους οργανισμούς τους.
Για οποιαδήποτε απορία σχετικά με την έρευνά μας που δημοσιεύτηκε στο WeLiveSecurity, επικοινωνήστε μαζί μας στο απειλητικό@eset.com.
Η ESET Research προσφέρει ιδιωτικές αναφορές πληροφοριών APT και ροές δεδομένων. Για οποιαδήποτε απορία σχετικά με αυτήν την υπηρεσία, επισκεφθείτε τη διεύθυνση ESET Threat Intelligence .
IoC
Αρχεία
SHA-1 |
Όνομα |
Ανίχνευση |
Περιγραφή |
098B9A6CE722311553E1D8AC5849BA1DC5834C52
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat backdoor, Χορηγός (v1). |
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat backdoor, Χορηγός (v2). |
764EB6CA3752576C182FC19CFF3E86C38DD51475
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat backdoor, Χορηγός (v3). |
2F3EDA9D788A35F4C467B63860E73C3B010529CC
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat backdoor, Χορηγός (v4). |
E443DC53284537513C00818392E569C79328F56F
|
N / A |
Win32/Agent.UXG |
Ballistic Bobcat backdoor, Χορηγός (v5, γνωστός και ως Alumina). |
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61
|
N / A |
WinGo/Agent.BT |
Αντίστροφη σήραγγα RevSocks. |
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6
|
N / A |
καθαρός |
ProcDump, ένα βοηθητικό πρόγραμμα γραμμής εντολών για την παρακολούθηση εφαρμογών και τη δημιουργία ενδείξεων σφαλμάτων. |
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A
|
N / A |
Generik.EYWYQYF |
Μιμικάτζ. |
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A
|
N / A |
WinGo/Riskware.Gost.D |
GO Simple Tunnel (GOST). |
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617
|
N / A |
WinGo/HackTool.Chisel.A |
Αντίστροφη σήραγγα σμίλης. |
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252
|
N / A |
N / A |
Host2IP εργαλείο ανακάλυψης. |
519CA93366F1B1D71052C6CE140F5C80CE885181
|
N / A |
Win64/Packed.Enigma.BV |
Τούνελ RevSocks, προστατευμένο με τη δοκιμαστική έκδοση του λογισμικού προστασίας Enigma Protector. |
4709827C7A95012AB970BF651ED5183083366C79
|
N / A |
N / A |
Plink (PuTTY Link), ένα εργαλείο σύνδεσης γραμμής εντολών. |
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8
|
N / A |
Win32/PSWTool.WebBrowserPassView.I |
Ένα εργαλείο ανάκτησης κωδικού πρόσβασης για κωδικούς πρόσβασης που είναι αποθηκευμένοι σε προγράμματα περιήγησης ιστού. |
E52AA118A59502790A4DD6625854BD93C0DEAF27
|
N / A |
MSIL/HackTool.SQLDump.A |
Ένα εργαλείο για την αλληλεπίδραση και την εξαγωγή δεδομένων από βάσεις δεδομένων SQL. |
Διαδρομές αρχείων
Ακολουθεί μια λίστα διαδρομών όπου η κερκόπορτα του Χορηγού αναπτύχθηκε σε μηχανήματα θυματοποιημένα.
%SYSTEMDRIVE%inetpubwwwrootaspnet_client
%USERPROFILE%AppDataLocalTempfile
%USERPROFILE%AppDataLocalTemp2low
%USERPROFILE%Desktop
%USERPROFILE%Λήψηsa
%WINDIR%
%WINDIR%INFMSEΑνταλλαγή DSN
%WINDIR%Tasks
%WINDIR%Temp%WINDIR%Tempcrashpad1Files
Δίκτυο
IP
Provider
Πρωτοεμφανίστηκε
Τελευταία δει
Περιγραφή
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
PowerLess C&C.
37.120.222[.]168
Μ247 Ε.Π.Ε
2021-11-28
2021-12-12
Χορηγός C&C.
198.144.189[.]74
Colocrossing
2021-11-29
2021-11-29
Ιστότοπος λήψης εργαλείων υποστήριξης.
5.255.97[.]172
Η Infrastructure Group BV
2021-09-05
2021-10-28
Ιστότοπος λήψης εργαλείων υποστήριξης.
IP
Provider
Πρωτοεμφανίστηκε
Τελευταία δει
Περιγραφή
162.55.137[.]20
Hetzner Online GMBH
2021-06-14
2021-06-15
PowerLess C&C.
37.120.222[.]168
Μ247 Ε.Π.Ε
2021-11-28
2021-12-12
Χορηγός C&C.
198.144.189[.]74
Colocrossing
2021-11-29
2021-11-29
Ιστότοπος λήψης εργαλείων υποστήριξης.
5.255.97[.]172
Η Infrastructure Group BV
2021-09-05
2021-10-28
Ιστότοπος λήψης εργαλείων υποστήριξης.
Αυτός ο πίνακας κατασκευάστηκε χρησιμοποιώντας έκδοση 13 του πλαισίου MITER ATT & CK.
Τακτική |
ID |
Όνομα |
Περιγραφή |
Αναγνώριση |
Ενεργή σάρωση: Σάρωση ευπάθειας |
Το Ballistic Bobcat σαρώνει για ευάλωτες εκδόσεις των διακομιστών Microsoft Exchange προς εκμετάλλευση. |
|
Ανάπτυξη πόρων |
Ανάπτυξη δυνατοτήτων: Κακόβουλο λογισμικό |
Το Ballistic Bobcat σχεδίασε και κωδικοποίησε την κερκόπορτα του Sponsor. |
|
Αποκτήστε δυνατότητες: Εργαλείο |
Το Ballistic Bobcat χρησιμοποιεί διάφορα εργαλεία ανοιχτού κώδικα ως μέρος της καμπάνιας Sponsoring Access. |
||
Αρχική πρόσβαση |
Εκμεταλλευτείτε την εφαρμογή δημόσιου προσανατολισμού |
Το Ballistic Bobcat στοχεύει εκτεθειμένα στο διαδίκτυο Διακομιστές Microsoft Exchange. |
|
Εκτέλεση |
Διερμηνέας εντολών και δέσμης ενεργειών: Windows Command Shell |
Η κερκόπορτα του Χορηγού χρησιμοποιεί το κέλυφος εντολών των Windows για την εκτέλεση εντολών στο σύστημα του θύματος. |
|
Υπηρεσίες συστήματος: Εκτέλεση υπηρεσίας |
Η κερκόπορτα του Χορηγού ορίζεται ως υπηρεσία και ξεκινά τις κύριες λειτουργίες του μετά την εκτέλεση της υπηρεσίας. |
||
Επιμονή |
Δημιουργία ή τροποποίηση διαδικασίας συστήματος: Υπηρεσία Windows |
Ο χορηγός διατηρεί την επιμονή δημιουργώντας μια υπηρεσία με αυτόματη εκκίνηση που εκτελεί τις κύριες λειτουργίες του σε βρόχο. |
|
Κλιμάκωση προνομίων |
Έγκυροι λογαριασμοί: Τοπικοί λογαριασμοί |
Οι χειριστές βαλλιστικών Bobcat προσπαθούν να κλέψουν τα διαπιστευτήρια έγκυρων χρηστών αφού πρώτα εκμεταλλευτούν ένα σύστημα πριν αναπτύξουν την κερκόπορτα του Χορηγού. |
|
Αμυντική υπεκφυγή |
Αποσυμφόρηση/Αποκωδικοποίηση αρχείων ή πληροφοριών |
Ο Χορηγός αποθηκεύει πληροφορίες στο δίσκο που είναι κρυπτογραφημένες και ασαφείς και τις αποσυμφορεί κατά τη διάρκεια εκτέλεσης. |
|
Ασαφή αρχεία ή πληροφορίες |
Τα αρχεία διαμόρφωσης που απαιτεί η κερκόπορτα του Χορηγού στο δίσκο είναι κρυπτογραφημένα και ασαφή. |
||
Έγκυροι λογαριασμοί: Τοπικοί λογαριασμοί |
Ο χορηγός εκτελείται με δικαιώματα διαχειριστή, πιθανότατα χρησιμοποιώντας διαπιστευτήρια που βρήκαν οι χειριστές στο δίσκο. μαζί με τις αβλαβείς συμβάσεις ονομασίας του Ballistic Bobcat, αυτό επιτρέπει στον Χορηγό να αναμειχθεί στο παρασκήνιο. |
||
Πρόσβαση διαπιστευτηρίων |
Διαπιστευτήρια από καταστήματα κωδικών πρόσβασης: Διαπιστευτήρια από προγράμματα περιήγησης Ιστού |
Οι χειριστές βαλλιστικών Bobcat χρησιμοποιούν εργαλεία ανοιχτού κώδικα για να κλέψουν διαπιστευτήρια από καταστήματα κωδικών πρόσβασης μέσα σε προγράμματα περιήγησης ιστού. |
|
Ανακάλυψη |
Απομακρυσμένη ανακάλυψη συστήματος |
Το Ballistic Bobcat χρησιμοποιεί το εργαλείο Host2IP, το οποίο χρησιμοποιούσε στο παρελθόν η Agrius, για να ανακαλύψει άλλα συστήματα μέσα σε προσβάσιμα δίκτυα και να συσχετίσει τα ονόματα κεντρικών υπολογιστών και τις διευθύνσεις IP τους. |
|
Διοίκησης και Ελέγχου |
Συμπίεση δεδομένων |
Η κερκόπορτα του Χορηγού θολώνει τα δεδομένα πριν τα στείλει στον διακομιστή C&C. |
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- ChartPrime. Ανεβάστε το Trading Game σας με το ChartPrime. Πρόσβαση εδώ.
- BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
- πηγή: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 09
- 1
- 10
- 11
- 12
- 13
- 14
- 15%
- 150
- 16
- 179
- 20
- 2021
- 2022
- 23
- 24
- 25
- 31
- 39
- 51
- 60
- 7
- 8
- 80
- 9
- a
- Ικανός
- ΠΛΗΡΟΦΟΡΙΕΣ
- πάνω από
- AC
- πρόσβαση
- Σύμφωνα με
- Λογαριασμοί
- ενεργός
- ακτιβιστές
- δραστηριότητα
- πραγματικός
- προστιθέμενη
- Επιπλέον
- Πρόσθετος
- διεύθυνση
- διευθύνσεις
- διαχειριστής
- προηγμένες
- Μετά το
- κατά
- Πράκτορας
- aka
- Ειδοποίηση
- αλγόριθμος
- Όλα
- επιτρέπει
- κατά μήκος
- ήδη
- Επίσης
- πάντοτε
- an
- αναλύθηκε
- και
- Άλλος
- κάθε
- api
- APIs
- app
- εμφανής
- εμφανίζομαι
- εμφανίζεται
- Εφαρμογή
- εφαρμογές
- πλησιάζω
- εφαρμογές
- APT
- Άραβας
- Αραβικά Εμιράτα
- αραβικός
- αρχιτεκτονική
- ΕΙΝΑΙ
- επιχείρημα
- επιχειρήματα
- AS
- ζητώ
- At
- προσπάθεια
- Προσπάθειες
- Αύγουστος
- Αυτόματο
- αυτοκινήτων
- επίγνωση
- πίσω
- κερκόπορτα
- Κερκόπορτες
- φόντο
- βασίζονται
- μπαταρία
- BE
- έγινε
- επειδή
- ήταν
- πριν
- συμπεριφορά
- Πιστεύω
- ΚΑΛΎΤΕΡΟΣ
- Καλύτερα
- μεταξύ
- Μείγμα
- και οι δύο
- Βραζιλία
- browsers
- χτισμένο
- αλλά
- by
- C + +
- που ονομάζεται
- Εκστρατεία
- Καμπάνιες
- CAN
- δυνατότητες
- ο οποίος
- περίπτωση
- Κέντρο
- Αλλαγές
- έλεγχος
- έλεγχος
- επιλέγονται
- πολιτικής
- καθαρός
- κωδικός
- κωδικοποιημένο
- συλλέγουν
- Στήλη
- COM
- εμπορικός
- Επικοινωνία
- Διαβιβάσεις
- Εταιρείες
- εταίρα
- σύγκριση
- συμβιβασμός
- Συμβιβασμένος
- υπολογιστή
- Διεξαγωγή
- διαμόρφωση
- ΕΠΙΒΕΒΑΙΩΜΕΝΟΣ
- σύγχυση
- συνδεδεμένος
- σύνδεση
- επικοινωνήστε μαζί μας
- Περιέχει
- περιεχόμενα
- συνεχίζεται
- έλεγχος
- Σύμβαση
- συνεργατική
- θα μπορούσε να
- χώρες
- χώρα
- καλύπτονται
- Crash
- δημιουργεί
- δημιουργία
- Διαπιστεύσεις
- Ρεύμα
- έθιμο
- πελάτης
- εμπειρία του πελάτη
- ημερομηνία
- βάση δεδομένων
- βάσεις δεδομένων
- Ημ.
- dc
- Δεκέμβριος
- Προεπιλογή
- Υπερασπιστές
- ορίζεται
- παραδώσει
- διανομή
- αναπτυχθεί
- ανάπτυξη
- ανάπτυξη
- περιγράφουν
- περιγράφεται
- Υπηρεσίες
- σχεδιασμένα
- καθέκαστα
- εντοπιστεί
- Ανίχνευση
- Προσδιορίστε
- καθορίζει
- προγραμματιστές
- Ανάπτυξη
- Συσκευές
- Διαμάντι
- ανακαλύπτουν
- ανακάλυψαν
- ανακάλυψη
- διανομή
- διάφορα
- κάνει
- τομέα
- κατεβάσετε
- έπεσε
- διάρκεια
- κατά την διάρκεια
- e
- κάθε
- ευκολία
- Ανατολή
- Εκπαίδευση
- Ηλεκτρονικός
- Ηλεκτρονική
- εμιράτα
- μισθωτών
- κρυπτογραφημένα
- κρυπτογράφηση
- ασκούν
- ασχολούνται
- Μηχανική
- Κινητήρες
- Αίνιγμα
- Εταιρεία
- οντότητες
- περιβάλλοντος
- σφάλμα
- λάθη
- Έρευνα ESET
- εμφανές
- Εξετάζοντας
- παράδειγμα
- ανταλλαγή
- εκτελέσει
- εκτελέστηκε
- Εκτελεί
- εκτέλεσης
- εκτέλεση
- εξόδους
- εμπειρία
- Εκμεταλλεύομαι
- Κακοποιημένα
- εκμετάλλευση
- Απέτυχε
- Αποτυχία
- αρκετά
- λίγοι
- πεδίο
- Πεδία
- Εικόνα
- Αρχεία
- Αρχεία
- οικονομικός
- των χρηματοπιστωτικών υπηρεσιών
- εταιρεία χρηματοπιστωτικών υπηρεσιών
- Εταιρεία
- Όνομα
- Εξής
- τροφή
- Για
- μορφή
- Βρέθηκαν
- τέσσερα
- από
- πλήρη
- πλήρως
- λειτουργία
- λειτουργίες
- Κέρδος
- συγκεντρώθηκαν
- παράγεται
- παραγωγής
- γενεά
- γεωγραφικός
- παίρνω
- δεδομένου
- Παγκόσμιο
- Go
- Κυβέρνηση
- επιχορηγήσεις
- εξαιρετική
- Group
- Ήμισυ
- χασίσι
- κατακερματισμός
- Έχω
- Υγεία
- ασφάλεια υγείας
- υγειονομική περίθαλψη
- εδώ
- Κρύβω
- οικοδεσπότης
- Ωστόσο
- HTML
- http
- HTTPS
- ανθρώπινος
- τα ανθρώπινα δικαιώματα
- i
- ID
- προσδιορίζονται
- προσδιορίσει
- if
- εικόνα
- βελτίωση
- in
- Σε άλλες
- περιλαμβάνονται
- Συμπεριλαμβανομένου
- υποδεικνύω
- υποδηλώνει
- δείκτες
- πληροφορίες
- Υποδομή
- αρχικός
- αρχικά
- Αρχίζει
- Ερωτήσεις
- μέσα
- ασφάλιση
- Νοημοσύνη
- αλληλεπιδρώντας
- ενδιαφέρον
- εσωτερικώς
- σε
- εισήγαγε
- επένδυση
- IP
- Διεύθυνση IP
- Διευθύνσεις IP
- Ισραήλ
- IT
- ΤΟΥ
- εαυτό
- Δημοσιογράφοι
- τήρηση
- Κλειδί
- πλήκτρα
- Ξέρω
- γνωστός
- Έλλειψη
- Επίθετο
- αργότερα
- Νόμος
- στρώματα
- ελάχιστα
- Μήκος
- Πιθανός
- Περιωρισμένος
- γραμμή
- LINK
- Λιστα
- Εισηγμένες
- τοπικός
- που βρίσκεται
- πλέον
- κοιτάζοντας
- ΦΑΊΝΕΤΑΙ
- μηχανήματα
- που
- διατηρεί
- συντήρηση
- Η πλειοψηφία
- διαχειρίζεται
- κατασκευής
- πολοί
- αγορά
- Ταίριασμα
- Ενδέχεται..
- MD5
- εννοώ
- μέσα
- Εικόνες / Βίντεο
- ιατρικών
- ιατρική φροντίδα
- ιατρική έρευνα
- που αναφέρθηκαν
- μήνυμα
- λεπτολόγος
- Microsoft
- Μέσο
- Μέση Ανατολή
- ενδέχεται να
- νου
- Λεπτ.
- Λείπει
- μοντέλο
- μετριόφρων
- τροποποιήσεις
- τροποποιήσει
- σπονδυλωτή
- Στιγμές
- παρακολούθηση
- πλέον
- πολυεθνικός
- πολλαπλούς
- όνομα
- Ονομάστηκε
- ονοματοδοσία
- δίκτυο
- δίκτυα
- ποτέ
- Νέα
- Νέα
- επόμενη
- Όχι.
- κόμβος
- Ν/Α
- ιδιαίτερα
- μυθιστόρημα
- Νοέμβριος
- τώρα
- αριθμός
- αριθμοί
- αποκτήσει
- λαμβάνεται
- Εμφανή
- of
- προσφορές
- συχνά
- on
- Επί τόπου
- ONE
- αυτά
- διαδικτυακά (online)
- αποκλειστικά
- ανοίξτε
- ανοικτού κώδικα
- λειτουργούν
- λειτουργεί
- λειτουργία
- χειριστής
- φορείς
- Ευκαιρία
- αντίθετος
- or
- τάξη
- επιχειρήσεις
- οργανωτικός
- οργανώσεις
- πρωτότυπο
- ΑΛΛΑ
- δικός μας
- έξω
- έξοδος
- σκιαγραφείται
- παραγωγή
- επί
- δική
- P&E
- συσκευασμένα
- σελίδα
- πανδημία
- μέρος
- εξαρτήματα
- πέρασε
- Κωδικός Πρόσβασης
- Κωδικοί πρόσβασης
- Το παρελθόν
- Patch
- πρότυπο
- επιμονή
- Προσωπικό
- φαρμακευτικά προϊόντα
- φυσικός
- Σκέτη
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- σας παρακαλούμε
- Σημείο
- Απόψεις
- σημεία
- τμήμα
- δυνατός
- δυναμικού
- ενδεχομένως
- δύναμη
- παρόν
- προηγούμενος
- προηγουμένως
- πρωταρχικός
- ιδιωτικός
- προνόμια
- πιθανώς
- διαδικασια μας
- μεταποίηση
- Προϊόντα
- Πρόγραμμα
- εξέλιξη
- προστατεύονται
- προστασία
- παρέχεται
- προμηθευτής
- παρέχει
- δημοσιεύθηκε
- τραβώντας
- πίεσε
- R
- τυχαίος
- Τυχαία
- μάλλον
- φθάνοντας
- λαμβάνω
- έλαβε
- λαμβάνει
- ανάκτηση
- αναφέρεται
- σχετικά με
- κάντε ΕΓΓΡΑΦΗ
- μητρώου
- σχετίζεται με
- παραμένουν
- επισκευή
- ΚΑΤ 'ΕΠΑΝΑΛΗΨΗ
- αντικαθιστώ
- αντικατασταθούν
- αναφέρουν
- αναφέρθηκαν
- Εκθέσεις
- αντιπροσώπευση
- ζητήσει
- αιτήματα
- απαιτούν
- Απαιτεί
- έρευνα
- ερευνητές
- αποτέλεσμα
- έμπορος λιανικής
- αντιστρέψει
- αναθεωρήσεις
- δικαιώματα
- δικαιώματα
- τρέξιμο
- τρέξιμο
- ίδιο
- πριόνι
- σάρωση
- σάρωσης
- δευτερόλεπτα
- δείτε
- στείλετε
- αποστολή
- αποστέλλει
- αποστέλλονται
- Σεπτέμβριος
- Διακομιστές
- υπηρεσία
- Υπηρεσίες
- εταιρεία παροχής υπηρεσιών
- Σέτς
- διάφοροι
- κέλυφος
- δείχνουν
- παρουσιάζεται
- Δείχνει
- πλευρά
- Θέαμα
- σημαντικός
- παρόμοιες
- Απλούς
- ιστοσελίδα
- Δέρμα
- ύπνος
- So
- λογισμικό
- Λύσεις
- μερικοί
- Πηγή
- ειδικεύεται
- ειδικευμένη
- καθορίζεται
- υποστηρικτής
- χορηγίες
- Spot
- Στάδιο
- πρότυπο
- ξεκινά
- εκκίνηση
- Μελών
- Βήματα
- κατάστημα
- αποθηκεύονται
- καταστήματα
- απεργία
- Σπάγγος
- δομή
- μεταγενέστερος
- Ακολούθως
- επιτυχία
- Επιτυχώς
- παρέχεται
- προμηθευτής
- υποστήριξη
- Στήριξη
- σύστημα
- συστήματα
- τραπέζι
- Πάρτε
- λαμβάνεται
- στόχος
- στοχευμένες
- στόχευση
- στόχους
- Τεχνολογία
- τηλεπικοινωνιών
- δέκα
- όρος
- κείμενο
- από
- ότι
- Η
- οι πληροφορίες
- ο κόσμος
- τους
- τότε
- Εκεί.
- εκ τούτου
- Αυτοί
- αυτοί
- Τρίτος
- αυτό
- εκείνοι
- απειλή
- παντού
- ώρα
- χρονοδιάγραμμα
- TM
- προς την
- μαζι
- εργαλείο
- εργαλεία
- Σύνολο
- τροχιά
- θεραπεία
- δίκη
- σήραγγα
- ΣΤΡΟΦΗ
- δύο
- ανίκανος
- Ενωμένος
- Ηνωμένο Αραβικό
- Ηνωμένα Αραβικά Εμιράτα
- United States
- μέχρι
- Ενημέρωση
- ενημερώθηκε
- ενημερώσεις
- επάνω σε
- URL
- us
- χρήση
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιεί
- χρησιμοποιώντας
- χρησιμότητα
- χρησιμοποιούνται
- αξιοποιώντας
- v1
- αξία
- Αξίες
- ποικιλία
- διάφορα
- εκδοχή
- εκδόσεις
- κατακόρυφα
- Θύμα
- θύματα
- Δες
- Επίσκεψη
- Θέματα ευπάθειας
- ευπάθεια
- Ευάλωτες
- ήταν
- we
- ιστός
- Περιηγητές ιστού
- ΛΟΙΠΌΝ
- ήταν
- Τι
- πότε
- ενώ
- αν
- Ποιό
- ενώ
- ευρύς
- πλάτος
- παράθυρο
- παράθυρα
- με
- εντός
- χωρίς
- εργαζόμενος
- κόσμος
- Παγκόσμιος Οργανισμός Υγείας
- θα
- γράφω
- γραπτή
- χρόνια
- Ναί
- zephyrnet
- μηδέν