محققان ESET دو کمپین گروه OilRig APT را تجزیه و تحلیل کرده اند: فضای بیرونی (2021) و Juicy Mix (2022). هر دوی این کمپینهای جاسوسی سایبری منحصراً سازمانهای اسرائیلی را مورد هدف قرار دادند که با تمرکز این گروه بر خاورمیانه مطابقت دارد و از همان کتاب بازی استفاده کردند: OilRig ابتدا یک وبسایت قانونی را برای استفاده به عنوان سرور C&C به خطر انداخت و سپس از قطرهکنهای VBS برای ارائه یک C# استفاده کرد. درپشتی /.NET برای قربانیان خود، در حالی که انواع ابزارهای پس از سازش را نیز به کار می گیرد که عمدتاً برای استخراج داده ها در سیستم های هدف استفاده می شوند.
در کمپین فضای بیرونی خود، OilRig از یک درب پشتی ساده و بدون سند C#/.NET که Solar نام داشتیم، به همراه دانلودکننده جدیدی به نام SampleCheck5000 (یا SC5k) استفاده کرد که از API خدمات وب مایکروسافت آفیس برای ارتباطات C&C استفاده می کند. برای کمپین Juicy Mix، عوامل تهدید روی Solar بهبود یافتند تا درب پشتی Mango را ایجاد کنند که دارای قابلیتهای اضافی و روشهای مبهمسازی است. علاوه بر شناسایی مجموعه ابزار مخرب، ما همچنین به CERT اسرائیل در مورد وب سایت های در معرض خطر اطلاع دادیم.
نکات کلیدی این وبلاگ:
- ESET دو کمپین OilRig را مشاهده کرد که در سالهای 2021 (فضای بیرونی) و 2022 (Juicy Mix) رخ داد.
- اپراتورها به طور انحصاری سازمانهای اسرائیلی را هدف قرار دادند و وبسایتهای قانونی اسرائیل را برای استفاده در ارتباطات C&C خود به خطر انداختند.
- آنها در هر کمپین از یک درب پشتی مرحله اول C#/.NET که قبلاً مستند نشده بود استفاده کردند: Solar in Outer Space، سپس جانشین آن Mango در Juicy Mix.
- هر دو درب پشتی توسط قطرهکنهای VBS مستقر شدهاند که احتمالاً از طریق ایمیلهای spearphishing منتشر شدهاند.
- انواع مختلفی از ابزارهای پس از سازش در هر دو کمپین به کار گرفته شد، به ویژه دانلودکننده SC5k که از Microsoft Office Exchange Web Services API برای ارتباطات C&C و چندین ابزار برای سرقت داده ها و اعتبارنامه های مرورگر از Windows Credential Manager استفاده می کند.
OilRig که با نام های APT34، Lyceum یا Siamesekitten نیز شناخته می شود، یک گروه جاسوسی سایبری است که حداقل از سال 2014 فعال بوده است. معمولاً باور می شود در ایران مستقر شود. این گروه دولتهای خاورمیانه و انواع مختلفی از حوزههای تجاری از جمله صنایع شیمیایی، انرژی، مالی و مخابراتی را هدف قرار میدهد. OilRig کمپین DNSpionage را در این کشور انجام داد 2018 و 2019که قربانیان لبنان و امارات متحده عربی را هدف قرار داد. در سالهای 2019 و 2020، OilRig به حملات خود ادامه داد HardPass کمپین، که از لینکدین برای هدف قرار دادن قربانیان خاورمیانه در بخش های انرژی و دولتی استفاده کرد. در سال 2021، OilRig خود را به روز کرد DanBot در پشتی و شروع به استقرار کوسه، میلانو درهای پشتی مارلین، که در شماره T3 2021 گزارش تهدید ESET
در این وبلاگ، ما تجزیه و تحلیل فنی درب پشتی Solar و Mango، قطره چکان VBS مورد استفاده برای ارائه Mango و ابزارهای پس از سازش در هر کمپین را ارائه می دهیم.
تخصیص
پیوند اولیه ای که به ما اجازه داد کمپین Outer Space را به OilRig متصل کنیم، استفاده از همان دامپر داده سفارشی کروم (که توسط محققان ESET تحت نام MKG ردیابی می شود) است. کمپین بیرون به دریا. ما مشاهده کردیم که درب پشتی خورشیدی همان نمونه MKG را که در Out to Sea در سیستم هدف به کار میرود، همراه با دو نوع دیگر.
علاوه بر همپوشانی در ابزارها و هدفگیری، شباهتهای متعددی بین درب پشتی Solar و دربهای پشتی مورد استفاده در Out to Sea مشاهده کردیم که بیشتر مربوط به آپلود و دانلود است: هم Solar و هم Shark، درب پشتی OilRig دیگر، از URI با طرحهای آپلود و دانلود ساده استفاده میکنند. برای برقراری ارتباط با سرور C&C، با یک "d" برای دانلود و یک "u" برای آپلود. علاوه بر این، دانلود کننده SC5k از دایرکتوری های فرعی آپلود و دانلود مانند سایر درب های پشتی OilRig، یعنی ALMA، Shark، DanBot و Milan استفاده می کند. این یافتهها بهعنوان تأییدی دیگر بر این امر است که مقصر فضای بیرونی در واقع OilRig است.
در مورد پیوندهای کمپین Juicy Mix با OilRig، علاوه بر هدف قرار دادن سازمانهای اسرائیلی - که برای این گروه جاسوسی معمول است - شباهتهایی بین مانگو، درب پشتی مورد استفاده در این کمپین، و سولار وجود دارد. علاوه بر این، هر دو درب پشتی توسط قطره چکان های VBS با همان تکنیک مبهم سازی رشته مستقر شدند. انتخاب ابزارهای پس از سازش به کار رفته در Juicy Mix نیز منعکس کننده کمپین های قبلی OilRig است.
مروری بر کمپین فضای بیرونی
Outer Space که به دلیل استفاده از یک طرح نامگذاری مبتنی بر نجوم در نامها و وظایف خود نامگذاری شده است، یک کمپین OilRig از سال 2021 است. در این کمپین، این گروه یک سایت منابع انسانی اسرائیل را به خطر انداخت و متعاقباً از آن به عنوان یک سرور C&C برای قبلی خود استفاده کرد. در پشتی C#/.NET بدون سند، خورشیدی. Solar یک درب پشتی ساده با عملکردهای اولیه مانند خواندن و نوشتن از روی دیسک و جمع آوری اطلاعات است.
از طریق Solar، گروه سپس یک دانلودکننده جدید SC5k را مستقر کرد که از Office Exchange Web Services API برای دانلود ابزارهای اضافی برای اجرا استفاده می کند، همانطور که در نشان داده شده است. REF _Ref142655526 h شکل 1
. به منظور استخراج داده های مرورگر از سیستم قربانی، OilRig از یک دامپر داده کروم به نام MKG استفاده کرد.
مروری بر کمپین Juicy Mix
در سال 2022 OilRig کمپین دیگری را با هدف قرار دادن سازمان های اسرائیلی راه اندازی کرد، این بار با یک مجموعه ابزار به روز. ما نام کمپین Juicy Mix را برای استفاده از درب پشتی جدید OilRig، Mango (بر اساس نام اسمبلی داخلی و نام فایل آن، Mango.exe). در این کمپین، عوامل تهدید یک وب سایت پورتال شغلی قانونی اسرائیل را برای استفاده در ارتباطات C&C به خطر انداختند. سپس ابزارهای مخرب این گروه علیه یک سازمان بهداشت و درمان مستقر در اسرائیل به کار گرفته شد.
درب پشتی مرحله اول Mango جانشین Solar است که به زبان C#/.NET نیز نوشته شده است، با تغییرات قابل توجهی که شامل قابلیت های exfiltration، استفاده از API های بومی و اضافه شدن کد فرار تشخیص است.
همراه با Mango، ما همچنین دو داپر دادههای مرورگر که قبلاً مستند نشده بود، برای سرقت کوکیها، تاریخچه مرور، و اعتبارنامههای مرورگرهای کروم و اج و یک دزد Windows Credential Manager شناسایی کردیم که همه آنها را به OilRig نسبت میدهیم. این ابزارها همگی علیه همان هدفی مانند مانگو و همچنین در سایر سازمانهای در معرض خطر اسرائیل در سالهای 2021 و 2022 مورد استفاده قرار گرفتند. REF _Ref125475515 h شکل 2
نمای کلی از نحوه استفاده از اجزای مختلف در کمپین Juicy Mix را نشان می دهد.
تجزیه و تحلیل فنی
در این بخش، ما یک تحلیل فنی از درهای پشتی Solar و Mango و دانلودر SC5k و همچنین ابزارهای دیگری که در سیستم های هدف در این کمپین ها مستقر شده اند، ارائه می دهیم.
قطره چکان های VBS
برای ایجاد جای پایی بر روی سیستم هدف، قطره چکان های ویژوال بیسیک اسکریپت (VBS) در هر دو کمپین مورد استفاده قرار گرفت که به احتمال زیاد توسط ایمیل های spearphishing پخش می شدند. تجزیه و تحلیل ما در زیر بر روی اسکریپت VBS مورد استفاده برای حذف Mango متمرکز است (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A) توجه داشته باشید که قطره چکان سولار بسیار شبیه است.
هدف قطره چکان ارائه درپشتی Mango تعبیه شده، برنامه ریزی یک کار برای ماندگاری، و ثبت سازش با سرور C&C است. درب پشتی تعبیه شده به عنوان یک سری زیر رشته های base64 ذخیره می شود که به هم پیوسته و base64 رمزگشایی می شوند. همانطور که در نشان داده شده است REF _Ref125477632 h شکل 3
، اسکریپت همچنین از یک تکنیک ساده زدایی رشته ای استفاده می کند که در آن رشته ها با استفاده از عملیات حسابی و پیش از میلاد تابع.
علاوه بر این، قطره چکان VBS Mango نوع دیگری از مبهم سازی رشته و کد را برای تنظیم پایداری و ثبت در سرور C&C اضافه می کند. همانطور که در نشان داده شده است REF _Ref125479004 h * ادغام شکل 4
، برای رفع ابهام برخی رشته ها، اسکریپت جایگزین هر کاراکتر در مجموعه می شود #*+-_)(}{@$%^& با 0، سپس رشته را به اعداد سه رقمی تقسیم می کند که سپس با استفاده از پیش از میلاد
تابع. به عنوان مثال، رشته 116110101109117+99111$68+77{79$68}46-50108109120115}77 ترجمه به Msxml2.DOMDdocument.
هنگامی که درب پشتی روی سیستم تعبیه شد، قطره چکان برای ایجاد یک کار برنامه ریزی شده حرکت می کند که Mango (یا Solar، در نسخه دیگر) را هر 14 دقیقه اجرا می کند. در نهایت، اسکریپت یک نام رمزگذاری شده با base64 از کامپیوتر در معرض خطر را از طریق یک درخواست POST ارسال می کند تا درب پشتی را با سرور C&C خود ثبت کند.
درب پشتی خورشیدی
خورشیدی درب پشتی مورد استفاده در کمپین فضایی OilRig است. این درب پشتی با داشتن قابلیتهای اولیه، میتواند از جمله برای دانلود و اجرای فایلها و استخراج خودکار فایلهای مرحلهبندی شده استفاده شود.
ما نام Solar را بر اساس نام فایل استفاده شده توسط OilRig انتخاب کردیم، Solar.exe. این نام مناسب است زیرا درب پشتی از یک طرح نامگذاری نجومی برای نام های تابع و وظایف خود در سراسر باینری استفاده می کند (عطارد, ناهید, مارس, زمینو مشتری).
سولار با انجام مراحل نشان داده شده در زیر اجرا را آغاز می کند REF _Ref98146919 h * ادغام شکل 5
.
درب پشتی دو کار ایجاد می کند، زمین
و ناهید، که در حافظه اجرا می شود. هیچ تابع توقف برای هیچ یک از دو کار وجود ندارد، بنابراین آنها به طور نامحدود اجرا می شوند. زمین
قرار است هر 30 ثانیه اجرا شود و ناهید
تنظیم شده است که هر 40 ثانیه اجرا شود.
زمین وظیفه اصلی است که مسئول بخش عمده ای از عملکردهای خورشیدی است. با استفاده از تابع با سرور C&C ارتباط برقرار می کند MercuryToSun، که اطلاعات اولیه نسخه سیستم و بدافزار را به سرور C&C ارسال می کند و سپس پاسخ سرور را مدیریت می کند. زمین اطلاعات زیر را به سرور C&C ارسال می کند:
- رشته (@); کل رشته رمزگذاری شده است.
- رشته 1.0.0.0، رمزگذاری شده (احتمالاً شماره نسخه).
- رشته 30000، رمزگذاری شده (احتمالاً زمان اجرای برنامه ریزی شده زمین
رمزگذاری و رمزگشایی در توابعی به نام اجرا می شوند مشتری E
و مشتری D، به ترتیب. هر دوی آنها تابعی به نام را فراخوانی می کنند JupiterX، که یک حلقه XOR را همانطور که در نشان داده شده است پیاده سازی می کند REF _Ref98146962 h شکل 6
.
کلید از یک متغیر رشته سراسری کدگذاری شده مشتق شده است، 6sEj7*0B7#7و پیک: در این مورد، یک رشته هگز تصادفی از 2 تا 24 کاراکتر. پس از رمزگذاری XOR، رمزگذاری استاندارد base64 اعمال می شود.
وب سرور یک شرکت منابع انسانی اسرائیلی که OilRig در مقطعی قبل از استقرار Solar به خطر انداخته بود، به عنوان سرور C&C استفاده شد:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
قبل از ضمیمه شدن به URI، nonce رمزگذاری رمزگذاری می شود و مقدار رشته پرس و جو اولیه، rt، تنظیم شده است d در اینجا، احتمالا برای "دانلود".
آخرین مرحله از MercuryToSun
عملکرد پردازش یک پاسخ از سرور C&C است. این کار را با بازیابی زیر رشته ای از پاسخ، که بین کاراکترها یافت می شود، انجام می دهد QQ@ و kk. این پاسخ یک رشته دستورالعمل است که با ستاره از هم جدا شده اند (*) که در یک آرایه پردازش می شود. زمین
سپس دستورات درب پشتی را اجرا می کند که شامل دانلود بارهای اضافی از سرور، فهرست کردن فایل ها در سیستم قربانی و اجرای فایل های اجرایی خاص است.
سپس خروجی فرمان با استفاده از تابع فشرده می شود نپتون
و با همان کلید رمزگذاری و یک nonce جدید رمزگذاری شده است. سپس نتایج در سرور C&C آپلود می شود، به این ترتیب:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
MachineGuid و nonce های جدید با رمزگذاری می شوند مشتری E
تابع، و در اینجا مقدار rt تنظیم شده است u، احتمالا برای "آپلود".
ناهید، وظیفه دیگر برنامه ریزی شده، برای استخراج خودکار داده ها استفاده می شود. این کار کوچک محتوای فایل ها را از یک دایرکتوری کپی می کند (همچنین به نام ناهید) به سرور C&C. این فایلها احتمالاً توسط ابزار OilRig که هنوز شناسایی نشده است، در اینجا رها شدهاند. پس از آپلود یک فایل، وظیفه آن را از دیسک حذف می کند.
درب پشتی انبه
برای کمپین Juicy Mix، OilRig از درب پشتی خورشیدی به Mango تغییر مکان داد. گردش کار مشابهی با Solar و قابلیت های همپوشانی دارد، اما با این وجود چندین تغییر قابل توجه وجود دارد:
- استفاده از TLS برای ارتباطات C&C.
- استفاده از API های بومی، به جای API های NET، برای اجرای فایل ها و دستورات پوسته.
- اگرچه به طور فعال مورد استفاده قرار نگرفت، کد فرار تشخیص معرفی شد.
- پشتیبانی از اکسفیلتراسیون خودکار (ناهید
- پشتیبانی از حالت log حذف شده است و نام نمادها مبهم شده است.
برخلاف طرح نامگذاری خورشیدی با مضمون نجوم، انبه نام نمادهای خود را مبهم می کند، همانطور که در REF _Ref142592880 h شکل 7
.
علاوه بر مبهم کردن نام نماد، Mango از روش انباشته رشته نیز استفاده می کند (همانطور که در نشان داده شده است REF _Ref142592892 h شکل 8
REF _Ref141802299 h
) برای مبهم کردن رشته ها، که استفاده از روش های تشخیص ساده را پیچیده می کند.
شبیه به Solar، درب پشتی Mango با ایجاد یک کار در حافظه شروع میشود که برنامهریزی شده برای اجرای نامحدود هر 32 ثانیه یکبار. این وظیفه با سرور C&C ارتباط برقرار می کند و دستورات در پشتی را اجرا می کند، شبیه به Solar. زمین
وظیفه. در حالی که سولار نیز ایجاد می کند ناهید، وظیفه ای برای خروج خودکار، این قابلیت در Mango با یک فرمان درب پشتی جدید جایگزین شده است.
در کار اصلی، Mango ابتدا یک شناسه قربانی تولید می کند، ، برای استفاده در ارتباطات C&C. شناسه به عنوان هش MD5 محاسبه می شود ، به عنوان یک رشته هگزادسیمال قالب بندی شده است.
برای درخواست فرمان پشتی، Mango رشته را ارسال می کند d@ @ | به سرور C&C http://www.darush.co[.]il/ads.asp - یک پورتال شغلی قانونی اسرائیل که احتمالاً قبل از این کمپین توسط OilRig به خطر افتاده است. ما سازمان ملی CERT اسرائیل را در مورد مصالحه مطلع کردیم.
بدنه درخواست به صورت زیر ساخته می شود:
- داده هایی که باید منتقل شوند با استفاده از کلید رمزگذاری XOR رمزگذاری شده است Q&4g، سپس base64 کدگذاری شد.
- یک رشته شبه تصادفی از 3 تا 14 کاراکتر از این الفبا تولید می شود (همانطور که در کد ظاهر می شود): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- داده های رمزگذاری شده در یک موقعیت شبه تصادفی در رشته تولید شده، محصور بین [@ و @] تعیین کننده ها
Mango برای ارتباط با سرور C&C خود از پروتکل TLS (Transport Layer Security) استفاده می کند که برای ارائه یک لایه رمزگذاری اضافی استفاده می شود..
به طور مشابه، فرمان پشتی دریافت شده از سرور C&C، رمزگذاری شده با XOR، کدگذاری base64، و سپس محصور در بین [@ و @] در بدنه پاسخ HTTP. خود فرمان یکی است NCNT
(در این صورت هیچ اقدامی انجام نمیشود)، یا رشتهای از چندین پارامتر که توسط آن محدود شدهاند
@، همانطور که در REF _Ref125491491 h جدول 1
، که دستورات در پشتی Mango را فهرست می کند. توجه داشته باشید که در جدول ذکر نشده است، اما در پاسخ به سرور C&C استفاده می شود.
جدول 1. فهرست دستورات در پشتی Mango
arg1 |
arg2 |
arg3 |
اقدام انجام شده |
مقدار برگشتی |
|
1 یا رشته خالی |
+sp |
N / A |
دستور file/shell مشخص شده (با آرگومان های اختیاری) را با استفاده از Native اجرا می کند CreateProcess API وارد شده از طریق DllImport. اگر آرگومان ها حاوی [S]، جایگزین می شود C: WindowsSystem32. |
خروجی فرمان |
|
+nu |
N / A |
رشته نسخه بدافزار و URL C&C را برمی گرداند. |
|; در این مورد: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
N / A |
محتوای دایرکتوری مشخص شده (یا دایرکتوری فعلی فعلی) را بر می شمارد. |
دایرکتوری از برای هر زیر شاخه:
برای هر فایل: فایل مسیر(های) فایل ها) |
||
+dn |
N / A |
محتوای فایل را از طریق یک درخواست HTTP POST جدید با فرمت به سرور C&C آپلود می کند: u@ @ | @ @2@. |
یکی از: · فایل[ ] روی سرور آپلود می شود. · فایل پیدا نشد! · مسیر فایل خالی! |
||
2 |
داده های کدگذاری شده با Base64 |
نام فایل |
داده های مشخص شده را در یک فایل در پوشه کاری تخلیه می کند. |
فایل دانلود شده در مسیر[ ] |
هر فرمان درب پشتی در یک رشته جدید مدیریت میشود و مقادیر بازگشتی آنها سپس با پایه64 کدگذاری میشوند و با سایر ابردادهها ترکیب میشوند. در نهایت، آن رشته با استفاده از همان پروتکل و روش رمزگذاری که در بالا توضیح داده شد به سرور C&C ارسال می شود.
تکنیک فرار از شناسایی استفاده نشده
جالب اینجاست که یک مورد استفاده نشده پیدا کردیم روش تشخیص فرار در انبه تابعی که مسئول اجرای فایلها و دستورات دانلود شده از سرور C&C است، یک پارامتر دوم اختیاری را میگیرد - شناسه فرآیند. در صورت تنظیم، Mango سپس از آن استفاده می کند UpdateProcThreadAttribute
API برای تنظیم PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) ویژگی برای فرآیند مشخص شده به مقدار: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000)، همانطور که در نشان داده شده است REF _Ref125480118 h شکل 9
.
هدف این تکنیک این است که راه حل های امنیتی نقطه پایانی را از بارگیری قلاب های کد حالت کاربر خود از طریق یک DLL در این فرآیند مسدود کند. در حالی که این پارامتر در نمونه مورد تجزیه و تحلیل ما استفاده نشده است، می تواند در نسخه های بعدی فعال شود.
نسخه 1.1.1
غیر مرتبط با کمپین Juicy Mix، در جولای 2023 نسخه جدیدی از درپشتی Mango (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A)، توسط چندین کاربر تحت این نام در VirusTotal آپلود شده است Menorah.exe. نسخه داخلی در این نمونه از 1.0.0 به 1.1.1 تغییر یافت، اما تنها تغییر قابل توجه استفاده از سرور C&C متفاوت است. http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
همراه با این نسخه، ما یک سند Microsoft Word را نیز کشف کردیم (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) با یک ماکرو مخرب که درب پشتی را رها می کند. REF _Ref143162004 h شکل 10
پیام اخطار جعلی را نشان میدهد که کاربر را وسوسه میکند تا ماکروها را برای سند فعال کند، و محتوای فریبنده که پس از آن نمایش داده میشود، در حالی که کد مخرب در پسزمینه اجرا میشود.
شکل 10. سند Microsoft Word با یک ماکرو مخرب که Mango v1.1.1 را حذف می کند.
ابزارهای پس از سازش
در این بخش، مجموعهای از ابزارهای پس از سازش مورد استفاده در کمپینهای OilRig's Outer Space و Juicy Mix با هدف دانلود و اجرای بارهای اضافی و سرقت دادهها از سیستمهای در معرض خطر را بررسی میکنیم.
دانلودر SampleCheck5000 (SC5k).
SampleCheck5000 (یا SC5k) دانلودی است که برای دانلود و اجرای ابزارهای OilRig اضافی استفاده میشود، که به دلیل استفاده از Microsoft Office Exchange Web Services API برای ارتباطات C&C قابل توجه است: مهاجمان پیامهای پیشنویس را در این حساب ایمیل ایجاد میکنند و دستورات در پشتی را در آنجا پنهان میکنند. متعاقباً، دانلودکننده به همان حساب وارد میشود و پیشنویسها را برای بازیابی دستورات و بارهای اجرایی برای اجرا تجزیه میکند.
SC5k از مقادیر از پیش تعریف شده - URL Microsoft Exchange، آدرس ایمیل و رمز عبور - برای ورود به سرور Exchange راه دور استفاده می کند، اما همچنین از گزینه لغو این مقادیر با استفاده از یک فایل پیکربندی در فهرست کاری فعلی به نام پشتیبانی می کند. تنظیم.کلید. ما نام SampleCheck5000 را بر اساس یکی از آدرسهای ایمیلی که ابزار در کمپین فضای بیرونی استفاده میکرد، انتخاب کردیم.
هنگامی که SC5k به سرور Exchange راه دور وارد می شود، تمام ایمیل های موجود در آن را بازیابی می کند پیش نویس
دایرکتوری، آنها را بر اساس جدیدترین ها مرتب می کند و فقط پیش نویس هایی را که پیوست دارند نگه می دارد. سپس روی هر پیام پیشنویس با یک پیوست تکرار میشود و به دنبال پیوستهای JSON میگردد "داده ها" در بدن. مقدار را از کلید استخراج می کند داده ها در فایل JSON، base64 مقدار را رمزگشایی و رمزگشایی میکند و فراخوانی میکند cmd.exe را برای اجرای رشته خط فرمان حاصل. سپس SC5k خروجی را ذخیره می کند cmd.exe را
اجرا بر روی یک متغیر محلی
به عنوان مرحله بعدی در حلقه، دانلود کننده نتایج را با ایجاد یک پیام ایمیل جدید در سرور Exchange و ذخیره آن به عنوان پیش نویس (نه ارسال) به اپراتورهای OilRig گزارش می دهد. REF _Ref98147102
h * ادغام شکل 11
. تکنیک مشابهی برای استخراج فایل ها از یک پوشه مرحله بندی محلی استفاده می شود. به عنوان آخرین مرحله در حلقه، SC5k خروجی فرمان را با فرمت رمزگذاری شده و فشرده روی دیسک ثبت می کند.
محفظههای دادههای مرورگر
مشخصه اپراتورهای OilRig این است که از دامپرهای مرورگر داده در فعالیت های پس از سازش استفاده کنند. ما دو دزد دادههای مرورگر جدید را در میان ابزارهای پس از سازش در کمپین Juicy Mix در کنار درپشتی Mango کشف کردیم. آنها داده های سرقت شده مرورگر را در آن می ریزند ٪ TEMP٪ دایرکتوری به فایل های نامگذاری شده کاپ دیت
و به روز رسانی
(از این رو نام ما برای آنها: CDumper و EDumper).
هر دو ابزار دزد دادههای مرورگر C#/.NET هستند، کوکیها، تاریخچه مرور، و اعتبارنامهها را از مرورگرهای کروم (CDumper) و Edge (EDumper) جمعآوری میکنند. ما تجزیه و تحلیل خود را بر روی CDumper متمرکز می کنیم، زیرا هر دو دزد عملاً یکسان هستند، به جز برخی از ثابت ها.
پس از اجرا، CDumper لیستی از کاربران با نصب Google Chrome ایجاد می کند. در هنگام اجرا، دزد به Chrome SQLite متصل می شود بیسکویت ها, تاریخچه
و داده های ورود پایگاه های داده تحت %APPDATA%LocalGoogleChromeUser Dataو داده های مرورگر از جمله URL های بازدید شده و ورود به سیستم ذخیره شده را با استفاده از پرس و جوهای SQL جمع آوری می کند.
سپس مقادیر کوکیها رمزگشایی میشوند و تمام اطلاعات جمعآوریشده به یک فایل گزارش به نام اضافه میشوند ج: کاربران AppDataLocalTempCupdate، در متن روشن این قابلیت در توابع CDumper به نام پیاده سازی شده است CookieGrab
(نگاه کنید به REF _Ref126168131 h شکل 12
), History Grab، و رمز عبور. توجه داشته باشید که هیچ مکانیزم exfiltration در CDumper پیادهسازی نشده است، اما Mango میتواند فایلهای انتخاب شده را از طریق یک فرمان درب پشتی استخراج کند.
هم در فضای بیرونی و هم در فضای قبلی بیرون به دریا OilRig از یک کمپین داده C/C++ کروم به نام MKG استفاده کرد. مانند CDumper و EDumper، MKG همچنین قادر به سرقت نامهای کاربری و رمز عبور، تاریخچه مرور و کوکیها از مرورگر بود. این دامپر داده Chrome معمولاً در مکانهای فایل زیر مستقر میشود (که اولین مکان رایجترین آن است):
- %USERS%publicprogramsvmwaredir mkc.exe
- %USERS%PublicM64.exe
دزد Windows Credential Manager
علاوه بر ابزارهای حذف دادههای مرورگر، OilRig همچنین از یک سرقت کننده اعتبار ویندوز در کمپین Juicy Mix استفاده کرد. این ابزار اعتبارنامه ها را از Windows Credential Manager می دزدد و مشابه CDumper و EDumper آنها را در ٪ TEMP٪ دایرکتوری – این بار در فایلی به نام IUpdate
(از این رو نام IDumper). برخلاف CDumper و EDumper، IDumper به عنوان یک اسکریپت PowerShell پیاده سازی می شود.
مانند ابزارهای دامپر مرورگر، برای OilRig غیر معمول نیست که اعتبارنامه ها را از مدیر اعتبار ویندوز جمع آوری کند. پیش از این، اپراتورهای OilRig با استفاده از VALUEVAULT، a مشاهده می شدند در دسترس عموم, ابزار سرقت اعتبارنامه Go-compiled (به قسمت مراجعه کنید کمپین HardPass 2019 و یک کمپین 2020) به همین منظور.
نتیجه
OilRig به نوآوری و ایجاد ایمپلنت های جدید با قابلیت های درب پشتی ادامه می دهد و در عین حال راه های جدیدی برای اجرای دستورات در سیستم های راه دور پیدا می کند. این گروه درپشتی C#/.NET Solar خود را از کمپین Outer Space بهبود بخشید تا درب پشتی جدیدی به نام Mango برای کمپین Juicy Mix ایجاد کند. این گروه مجموعه ای از ابزارهای سفارشی پس از سازش را به کار می گیرد که برای جمع آوری اعتبار، کوکی ها و سابقه مرور از مرورگرهای اصلی و از Credential Manager ویندوز استفاده می شود. علیرغم این نوآوریها، OilRig همچنان به روشهای تعیینشده برای به دست آوردن اطلاعات کاربر تکیه میکند.
برای هر گونه سوال در مورد تحقیقات ما منتشر شده در WeLiveSecurity، لطفا با ما تماس بگیرید gefintel@eset.com.
ESET Research گزارش های اطلاعاتی خصوصی APT و فیدهای داده را ارائه می دهد. برای هرگونه سوال در مورد این سرویس، به آدرس زیر مراجعه کنید ESET Threat Intelligence احتمال برد مراجعه کنید.
IoC ها
فایل ها
SHA-1 |
نام فایل |
نام تشخیص ESET |
توضیحات: |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
MyCV.doc |
VBA/OilRig.C |
سند با ماکرو مخرب حذف Mango. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
قطره چکان VBS. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/OilRig.E |
درب پشتی خورشیدی. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mango.exe |
MSIL/OilRig.E |
درب پشتی Mango (نسخه 1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menorah.exe |
MSIL/OilRig.E |
درب پشتی Mango (نسخه 1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
دامپر داده لبه. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
Gr.exe |
MSIL/PSW.Agent.SXJ |
دامپر داده کروم. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
دامپر Windows Credential Manager. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG - دامپر داده کروم. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG - دامپر داده کروم. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG - دامپر داده کروم. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
دانلودر SC5k (نسخه 32 بیتی). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
دانلودر SC5k (نسخه 64 بیتی). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
node.exe |
MSIL/OilRig.D |
دانلودر SC5k (نسخه 64 بیتی). |
شبکه ارتباطی
IP |
دامنه |
ارائه دهنده میزبانی وب |
اولین بار دیده شد |
جزئیات |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
مارکیز نت |
2022-07-29 |
N / A |
تکنیک های MITER ATT&CK
این جدول با استفاده از 13 نسخه چارچوب MITER ATT&CK.
تاکتیک |
ID |
نام |
توضیحات: |
توسعه منابع |
زیرساخت سازش: سرور |
در هر دو کمپین Outer Space و Juicy Mix، OilRig وبسایتهای قانونی را به خطر انداخته است تا ابزارهای مخرب را به نمایش بگذارد و برای ارتباطات C&C. |
|
توسعه قابلیت ها: بدافزار |
OilRig درهای پشتی سفارشی (Solar و Mango)، دانلود کننده (SC5k) و مجموعه ای از ابزارهای سرقت اعتبار را برای استفاده در عملیات خود توسعه داده است. |
||
قابلیت های مرحله: آپلود بدافزار |
OilRig اجزای مخرب را در سرورهای C&C خود آپلود کرده و فایل ها و دستورات از پیش تعیین شده را در سرور ذخیره کرده است. پیش نویس فهرست ایمیل یک حساب Office 365 برای SC5k برای دانلود و اجرا. |
||
قابلیت های مرحله: ابزار آپلود |
OilRig ابزارهای مخرب را در سرورهای C&C خود آپلود کرده و فایل های از پیش نصب شده را در سرور ذخیره کرده است. پیش نویس فهرست ایمیل یک حساب Office 365 برای SC5k برای دانلود و اجرا. |
||
دسترسی اولیه |
فیشینگ: ضمیمه Spearphishing |
OilRig احتمالاً کمپین های Outer Space و Juicy Mix خود را از طریق ایمیل های فیشینگ با قطره چکان های VBS خود توزیع کرده است. |
|
اعدام |
کار برنامه ریزی شده / شغل: کار برنامه ریزی شده |
ابزارهای IDumper، EDumper و CDumper OilRig از وظایف برنامه ریزی شده به نام استفاده می کنند. یعنی, ویرایش ، و مس خود را تحت شرایط سایر کاربران اجرا کنند. Solar و Mango از یک وظیفه C#/.NET بر روی یک تایمر برای اجرای مکرر عملکردهای اصلی خود استفاده می کنند. |
|
مترجم دستورات و اسکریپت: PowerShell |
ابزار IDumper OilRig از PowerShell برای اجرا استفاده می کند. |
||
مترجم دستورات و اسکریپت: Windows Command Shell |
استفاده از OilRig's Solar، SC5k، IDumper، EDumper و CDumper cmd.exe را برای اجرای وظایف در سیستم |
||
مترجم دستورات و اسکریپت: ویژوال بیسیک |
OilRig از یک VBScript مخرب برای ارائه و تداوم درب پشتی Solar و Mango خود استفاده می کند. |
||
API بومی |
درب پشتی Mango OilRig از این استفاده می کند CreateProcess Windows API برای اجرا |
||
اصرار |
کار برنامه ریزی شده / شغل: کار برنامه ریزی شده |
قطره چکان VBS OilRig یک کار به نام را برنامه ریزی می کند ReminderTask برای ایجاد پایداری برای درپشتی Mango. |
|
فرار از دفاع |
پنهان کردن: نام یا مکان قانونی را مطابقت دهید |
OilRig از نام های قانونی یا بی ضرر برای بدافزار خود استفاده می کند تا خود را از مدافعان و نرم افزارهای امنیتی پنهان کند. |
|
فایل ها یا اطلاعات مبهم: بسته بندی نرم افزار |
OilRig استفاده کرده است بسته بندی اسکریپت SAPIEN و مبهم کننده SmartAssembly تا ابزار IDumper خود را مبهم کند. |
||
فایل ها یا اطلاعات مبهم: بارهای جاسازی شده |
قطره چکان های VBS OilRig دارای محموله های مخربی هستند که به عنوان یک سری زیررشته های base64 در داخل آن ها جاسازی شده اند. |
||
بالماسکه کردن: وظیفه یا خدمات بالماسکه |
برای اینکه مشروع به نظر برسد، قطره چکان VBS Mango یک کار را با توضیحات زمانبندی میکند دفترچه یادداشت را در یک زمان مشخص شروع کنید. |
||
حذف اندیکاتور: پایداری پاک |
ابزارهای پس از سازش OilRig وظایف برنامه ریزی شده خود را پس از یک دوره زمانی مشخص حذف می کنند. |
||
Deobfuscate/Decode فایل ها یا اطلاعات |
OilRig از چندین روش مبهم سازی برای محافظت از رشته ها و محموله های تعبیه شده خود استفاده می کند. |
||
براندازی کنترل های اعتماد |
SC5k از Office 365 استفاده می کند که معمولاً یک شخص ثالث قابل اعتماد است و اغلب توسط مدافعان نادیده گرفته می شود، به عنوان یک سایت دانلود. |
||
تضعیف دفاع ها |
درب پشتی Mango OilRig دارای یک قابلیت (تاکنون) استفاده نشده برای مسدود کردن راه حل های امنیتی نقطه پایانی از بارگیری کد حالت کاربر خود در فرآیندهای خاص است. |
||
دسترسی به اعتبار |
اعتبار از فروشگاه های رمز عبور: اعتبار از مرورگرهای وب |
ابزارهای سفارشی OilRig MKG، CDumper و EDumper میتوانند اعتبار، کوکیها و تاریخچه مرور را از مرورگرهای Chrome و Edge دریافت کنند. |
|
اعتبارنامه ها از فروشگاه های رمز عبور: Windows Credential Manager |
ابزار حذف اعتبار سفارشی OilRig IDumper می تواند اعتبارنامه ها را از مدیر اعتبار ویندوز سرقت کند. |
||
کشف |
کشف اطلاعات سیستم |
مانگو نام رایانه در معرض خطر را به دست می آورد. |
|
کشف فایل و دایرکتوری |
Mango دستوری برای برشمردن محتوای یک دایرکتوری مشخص دارد. |
||
کشف مالک/کاربر سیستم |
انبه نام کاربری قربانی را به دست می آورد. |
||
کشف حساب: حساب محلی |
ابزارهای EDumper، CDumper و IDumper OilRig میتوانند تمام حسابهای کاربری موجود در هاست در معرض خطر را شمارش کنند. |
||
کشف اطلاعات مرورگر |
MKG تاریخچه کروم و نشانک ها را حذف می کند. |
||
دستور و کنترل |
پروتکل لایه کاربردی: پروتکل های وب |
Mango از HTTP در ارتباطات C&C استفاده می کند. |
|
انتقال ابزار ورودی |
Mango قابلیت دانلود فایل های اضافی را از سرور C&C برای اجرای بعدی دارد. |
||
مبهم سازی داده ها |
Solar و SC5k از یک روش رمزگذاری ساده XOR همراه با فشرده سازی gzip برای مبهم کردن داده ها در حالت استراحت و در حال انتقال استفاده می کنند. |
||
وب سرویس: ارتباط دوطرفه |
SC5k از Office 365 برای دانلود فایل ها و آپلود فایل ها در آن استفاده می کند پیش نویس دایرکتوری در یک حساب ایمیل قانونی |
||
رمزگذاری داده ها: رمزگذاری استاندارد |
Solar، Mango و MKG base64 داده ها را قبل از ارسال به سرور C&C رمزگشایی می کند. |
||
کانال رمزگذاری شده: رمزنگاری متقارن |
Mango از رمز XOR همراه با کلید استفاده می کند Q&4g برای رمزگذاری داده ها در ارتباطات C&C. |
||
کانال رمزگذاری شده: رمزنگاری نامتقارن |
Mango از TLS برای ارتباطات C&C استفاده می کند. |
||
اکسفیلتراسیون |
خروج از کانال C2 |
Mango، Solar و SC5k از کانالهای C&C خود برای خروج استفاده میکنند. |
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- : دارد
- :است
- :نه
- :جایی که
- $UP
- 1
- 10
- 11
- 12
- 13
- 14
- ٪۱۰۰
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- قادر
- درباره ما
- بالاتر
- حساب
- حساب ها
- عمل
- فعال
- فعالانه
- فعالیت ها
- بازیگران
- اضافه
- اضافه
- اضافی
- علاوه بر این
- نشانی
- آدرس
- می افزاید:
- پس از
- بعد از آن
- در برابر
- عامل
- هدف
- معرفی
- مجاز
- ALMA
- در امتداد
- در کنار
- الفبا
- همچنین
- در میان
- an
- تحلیل
- تجزیه و تحلیل
- و
- دیگر
- هر
- API
- رابط های برنامه کاربردی
- ظاهر شدن
- ظاهر می شود
- اعمال می شود
- APT
- عرب
- امارات عربی
- بایگانی
- هستند
- استدلال
- صف
- AS
- مونتاژ
- مجلس
- ستاره شناسی
- At
- حمله
- خودکار
- بطور خودکار
- درپشتی
- پشتيباني
- زمینه
- مستقر
- اساسی
- BE
- بوده
- قبل از
- آغاز شد
- پشت سر
- بودن
- در زیر
- در کنار
- میان
- مسدود کردن
- بدن
- بوک مارک ها
- هر دو
- مرورگر
- مرورگرهای
- مرور
- ساخته
- کسب و کار
- اما
- by
- صدا
- نام
- تماس ها
- کمپین بین المللی حقوق بشر
- مبارزات
- CAN
- قابلیت های
- قابلیت
- انجام
- مورد
- معین
- تغییر دادن
- تغییر
- تبادل
- کانال
- کانال
- مشخصه
- کاراکتر
- شیمیایی
- انتخاب
- را انتخاب
- کروم
- رمز
- واضح
- رمز
- جمع آوری
- جمع آوری
- COM
- ترکیب شده
- مشترک
- عموما
- ارتباط
- ارتباط
- ارتباطات
- شرکت
- اجزاء
- سازش
- در معرض خطر
- کامپیوتر
- پیکر بندی
- تایید
- اتصال
- متصل
- تماس
- شامل
- محتوا
- زمینه
- ادامه داد:
- ادامه
- مبدل
- بیسکویت ها
- میتوانست
- ایجاد
- ایجاد
- ایجاد
- ایجاد
- اعتبار
- مجوزها و اعتبارات
- جاری
- سفارشی
- داده ها
- پایگاه های داده
- رمزگشایی کنید
- مدافعان
- ارائه
- گسترش
- مستقر
- استقرار
- مستقر می کند
- نشات گرفته
- شرح داده شده
- شرح
- با وجود
- دقیق
- شناسایی شده
- کشف
- توسعه
- مختلف
- کشف
- کشف
- نمایش داده
- توزیع شده
- تقسیم می کند
- سند
- میکند
- دانلود
- دانلود
- پیش نویس
- قطره
- کاهش یافته است
- رها کردن
- قطره
- موادی که موقتا برای استعمال انبار میشود
- هر
- پیش از آن
- شرق
- شرقی
- لبه
- هر دو
- پست الکترونیک
- ایمیل
- جاسازی شده
- امارات
- به کار گرفته شده
- قادر ساختن
- رمزگذاری
- رمزگذاری
- نقطه پایانی
- امنیت پایانی
- انرژی
- فریبنده
- جاسوسی
- ایجاد
- تاسیس
- فرار از زندان
- هر
- مثال
- تبادل
- منحصرا
- اجرا کردن
- اجرا شده
- اجرا می کند
- اجرا کردن
- اعدام
- استخراج
- عصاره ها
- جعلی
- پرونده
- فایل ها
- سرانجام
- مالی
- پیدا کردن
- یافته ها
- نام خانوادگی
- مناسب
- جریان
- تمرکز
- تمرکز
- پیروی
- به دنبال آن است
- برای
- قالب
- یافت
- چارچوب
- از جانب
- از 2021
- تابع
- ویژگی های
- قابلیت
- توابع
- بیشتر
- آینده
- جمع آوری
- عموما
- تولید
- تولید می کند
- جهانی
- هدف
- گوگل
- گوگل کروم
- دولت
- دولت ها
- گروه
- گروه ها
- دستگیره
- مخلوط
- آیا
- بهداشت و درمان
- از این رو
- اینجا کلیک نمایید
- HEX
- پنهان شدن
- تاریخ
- قلاب
- میزبان
- چگونه
- HTML
- HTTP
- HTTPS
- انسان
- منابع انسانی
- ID
- یکسان
- شناسه
- if
- تصویر
- اجرا
- پیاده سازی می کند
- بهبود یافته
- in
- شامل
- از جمله
- در واقع
- اطلاعات
- اطلاعات
- شالوده
- اول
- نوآوری
- نوآوری
- سوالات
- نصب شده
- در عوض
- دستورالعمل
- اطلاعات
- داخلی
- به
- معرفی
- ایران
- اسرائيل
- IT
- ITS
- خود
- کار
- json
- جولای
- تنها
- نگهداری
- کلید
- شناخته شده
- نام
- راه اندازی
- لایه
- کمترین
- لبنان
- ترک کرد
- قانونی
- پسندیدن
- احتمالا
- لاین
- ارتباط دادن
- لینک
- فهرست
- ذکر شده
- فهرست
- لیست
- بارگیری
- محلی
- محل
- مکان
- ورود به سیستم
- طولانی
- به دنبال
- دستگاه
- درشت دستور
- ماکرو
- اصلی
- عمده
- نرم افزارهای مخرب
- مدیر
- نیزه ماهی
- masquerade
- مسابقه
- MD5
- مکانیزم
- حافظه
- ذکر شده
- پیام
- پیام
- متاداده
- روش
- روش
- مایکروسافت
- متوسط
- خاورمیانه
- میلان
- میلی ثانیه
- دقیقه
- مخلوط
- حالت
- علاوه بر این
- اکثر
- اغلب
- حرکت می کند
- چندگانه
- نام
- تحت عنوان
- از جمله
- نام
- نامگذاری
- ملی
- بومی
- خالص
- با این اوصاف
- جدید
- بعد
- نیست
- نه
- قابل توجه
- به ویژه
- عدد
- تعداد
- گرفتن
- به دست می آورد
- رخ داده است
- of
- پیشنهادات
- دفتر
- غالبا
- on
- ONE
- فقط
- عملیات
- اپراتور
- گزینه
- or
- سفارش
- کدام سازمان ها
- سازمان های
- دیگر
- ما
- خارج
- فضای بیرونی
- تولید
- روی
- باطل کردن
- مروری
- با ما
- پارامتر
- پارامترهای
- حزب
- کلمه عبور
- کلمه عبور
- مسیر
- انجام
- دوره
- اصرار
- فیشینگ
- افلاطون
- هوش داده افلاطون
- PlatoData
- لطفا
- نقطه
- نقطه
- پورتال
- موقعیت
- احتمالا
- پست
- PowerShell را
- عملا
- سلف، اسبق، جد
- قبلی
- قبلا
- اصلی
- خصوصی
- شاید
- روند
- فرآوری شده
- فرآیندهای
- محصول
- محافظت از
- پروتکل
- ارائه
- منتشر شده
- هدف
- نمایش ها
- تصادفی
- نسبتا
- مطالعه
- اخذ شده
- اخیر
- ثبت نام
- مربوط
- تکیه
- دور
- برداشت
- حذف شده
- جایگزین
- گزارش
- گزارش ها
- درخواست
- تحقیق
- محققان
- منابع
- به ترتیب
- پاسخ
- مسئوليت
- REST
- نتیجه
- نتایج
- برگشت
- این فایل نقد می نویسید:
- اسباب
- دویدن
- در حال اجرا
- s
- همان
- ذخیره
- نگهداری می شود
- صرفه جویی کردن
- دید
- برنامه
- برنامه ریزی
- طرح
- طرح ها
- خط
- SEA
- دوم
- ثانیه
- بخش
- بخش ها
- تیم امنیت لاتاری
- دیدن
- مشاهده گردید
- انتخاب شد
- انتخاب
- در حال ارسال
- می فرستد
- فرستاده
- سلسله
- خدمت
- سرور
- سرور
- سرویس
- خدمات
- تنظیم
- چند
- کوسه ماهی
- صدف
- نشان داده شده
- نشان می دهد
- مشابه
- شباهت ها
- ساده
- پس از
- سایت
- کوچک
- So
- نرم افزار
- خورشیدی
- مزایا
- برخی از
- فضا
- خاص
- مشخص شده
- گسترش
- پشتهسازی
- صحنه
- استقرار
- استاندارد
- شروع می شود
- سرقت می کند
- گام
- مراحل
- به سرقت رفته
- توقف
- ذخیره شده
- پرده
- رشته
- متعاقب
- متعاقبا
- چنین
- پشتیبانی از
- روشن
- نماد
- سیستم
- سیستم های
- جدول
- صورت گرفته
- طول می کشد
- هدف
- هدف قرار
- هدف گذاری
- اهداف
- کار
- وظایف
- فنی
- تجزیه و تحلیل فنی
- ارتباط از راه دور
- نسبت به
- که
- La
- شان
- آنها
- خودشان
- سپس
- آنجا.
- اینها
- آنها
- اشیاء
- سوم
- این
- تهدید
- بازیگران تهدید
- گزارش تهدید
- سراسر
- بدین ترتیب
- خنثی کردن
- روابط
- زمان
- عنوان
- به
- ابزار
- ابزار
- بالا
- عبور
- حمل و نقل
- اعتماد
- مورد اعتماد
- دو
- نوع
- نوعی
- به طور معمول
- غیر معمول
- زیر
- متحد
- عربستان
- امارات متحده عربی
- بر خلاف
- استفاده نشده
- به روز شده
- آپلود شده
- آپلود
- بر
- URL
- us
- استفاده کنید
- استفاده
- کاربر
- کاربران
- استفاده
- با استفاده از
- v1
- ارزش
- ارزشها
- متغیر
- تنوع
- مختلف
- نسخه
- اطلاعات نسخه
- نسخه
- عمودی
- بسیار
- از طريق
- قربانی
- قربانیان
- بازدید
- بازدید
- هشدار
- بود
- راه
- we
- وب
- وب سرور
- خدمات وب
- سایت اینترنتی
- وب سایت
- خوب
- بود
- که
- در حین
- تمام
- عرض
- اراده
- پنجره
- با
- در داخل
- کلمه
- گردش کار
- کارگر
- نوشته
- کتبی
- بله
- هنوز
- زفیرنت