A ESET Research revela uma campanha do grupo APT conhecido como Evasive Panda visando uma ONG internacional na China com malware fornecido por meio de atualizações de software chinês popular
Os pesquisadores da ESET descobriram uma campanha que atribuímos ao grupo APT conhecido como Evasive Panda, onde os canais de atualização de aplicativos legítimos foram misteriosamente sequestrados para entregar o instalador do malware MgBot, o principal backdoor do Evasive Panda.
- Os usuários na China continental foram alvo de malware fornecido por meio de atualizações de software desenvolvido por empresas chinesas.
- Analisamos as hipóteses concorrentes de como o malware poderia ter sido entregue aos usuários-alvo.
- Com grande confiança atribuímos esta atividade ao grupo Evasive Panda APT.
- Fornecemos uma visão geral do MgBot backdoor exclusivo do Evasive Panda e seu kit de ferramentas de módulos de plug-in.
Perfil Evasive Panda
Panda Evasivo (também conhecido como MONTANHA MONTANHA e Adaga) é um grupo APT de língua chinesa, ativo desde pelo menos 2012. A ESET Research observou o grupo conduzindo ciberespionagem contra indivíduos na China continental, Hong Kong, Macau e Nigéria. Entidades governamentais foram visadas na China, Macau e países do Sudeste e Leste Asiático, especificamente Mianmar, Filipinas, Taiwan e Vietnã, enquanto outras organizações na China e Hong Kong também foram visadas. De acordo com relatórios públicos, o grupo também tem como alvo entidades desconhecidas em Hong Kong, Índia e Malásia.
O grupo implementa sua própria estrutura de malware personalizada com uma arquitetura modular que permite que seu backdoor, conhecido como MgBot, receba módulos para espionar suas vítimas e aprimorar seus recursos.
Visão geral da campanha
Em janeiro de 2022, descobrimos que, durante as atualizações, um aplicativo chinês legítimo recebeu um instalador para o backdoor Evasive Panda MgBot. Durante nossa investigação, descobrimos que a atividade maliciosa remonta a 2020.
Os usuários chineses foram o foco dessa atividade maliciosa, que a telemetria da ESET mostra começando em 2020 e continuando ao longo de 2021. Os usuários-alvo estavam localizados nas províncias de Gansu, Guangdong e Jiangsu, conforme mostrado na Figura 1.
A maioria das vítimas chinesas são membros de uma ONG internacional que opera em duas das províncias mencionadas anteriormente.
Uma vítima adicional também foi encontrada no país da Nigéria.
Estratégias de Atribuição
O Evasive Panda usa um backdoor personalizado conhecido como MgBot, que foi documentado publicamente em 2014 e teve pouca evolução desde então; até onde sabemos, o backdoor não foi usado por nenhum outro grupo. Neste cluster de atividade maliciosa, apenas o malware MgBot foi observado implantado em máquinas vitimadas, junto com seu kit de ferramentas de plug-ins. Portanto, com alta confiança, atribuímos essa atividade ao Evasive Panda.
Análise técnica
Durante nossa investigação, descobrimos que, ao realizar atualizações automatizadas, um componente de software de aplicativo legítimo baixou instaladores de backdoor MgBot de URLs e endereços IP legítimos.
Na Tabela 1, disponibilizamos a URL de origem do download, conforme dados de telemetria da ESET, incluindo os endereços IP dos servidores, conforme resolvido na hora pelo sistema do usuário; portanto, acreditamos que esses endereços IP são legítimos. De acordo com os registros de DNS passivos, todos esses endereços IP correspondem aos domínios observados, portanto, acreditamos que esses endereços IP são legítimos.
Tabela 1. Locais de download maliciosos de acordo com a telemetria da ESET
URL | Visto pela primeira vez | IP do domínio | ASN | Downloader |
---|---|---|---|---|
http://update.browser.qq[.]com/qmbs/QQ/QQUrlMgr_QQ88_4296.exe | 2020-11-02 | 123.151.72[.]74 | AS58542 | QQUrlMgr.exe QQ.exe QQLive.exe QQCall .exe |
183.232.96[.]107 | AS56040 | |||
61.129.7[.]35 | AS4811 |
Hipóteses de compromisso
Quando analisamos a probabilidade de vários métodos que poderiam explicar como os invasores conseguiram fornecer malware por meio de atualizações legítimas, ficamos com dois cenários: comprometimento da cadeia de suprimentos e ataques de adversário no meio. Para ambos os cenários, também levaremos em consideração antecedentes de ataques semelhantes por outros grupos APT de língua chinesa.
O Tencent QQ é um popular serviço de bate-papo e mídia social chinês. Nas próximas seções, usaremos o atualizador de software cliente Tencent QQ Windows, QQUrlMgr.exe (listados na Tabela 1), para nossos exemplos, dado que temos o maior número de detecções de downloads por esse componente específico.
Cenário de comprometimento da cadeia de suprimentos
Dada a natureza direcionada dos ataques, especulamos que os invasores precisariam comprometer os servidores de atualização QQ para introduzir um mecanismo para identificar os usuários-alvo para entregar-lhes o malware, filtrando os usuários não-alvo e entregando-lhes atualizações legítimas – registramos casos em que atualizações legítimas foram baixadas por meio dos mesmos protocolos abusados.
Embora não seja um caso do Evasive Panda, um excelente exemplo desse tipo de compromisso está em nosso relatório Operação NightScout: ataque à cadeia de suprimentos visa jogos online na Ásia, onde os invasores comprometeram os servidores de atualização de uma empresa desenvolvedora de software com sede em Hong Kong. De acordo com nossa telemetria, mais de 100,000 usuários tinham o software BigNox instalado, mas apenas cinco tinham o malware distribuído por meio de uma atualização. Suspeitamos que os invasores comprometeram a API BigNox no servidor de atualização para responder ao componente atualizador nas máquinas dos usuários visados com uma URL para um servidor onde os invasores hospedavam seu malware; usuários não direcionados receberam o URL de atualização legítimo.
Com base nesse antecedente, na Figura 2 ilustramos como o cenário de comprometimento da cadeia de suprimentos poderia ter se desenrolado de acordo com as observações em nossa telemetria. Ainda assim, devemos alertar o leitor que isso é pura especulação e baseado em nossa análise estática, com informações muito limitadas, de QQUrlMgr.exe (SHA-1: DE4CD63FD7B1576E65E79D1D10839D676ED20C2B).
Também é importante notar que, durante nossa pesquisa, nunca conseguimos recuperar uma amostra dos dados de “atualização” XML – nem uma amostra XML legítima nem maliciosa – do servidor contatado por QQUrlMgr.exe. A URL de “verificação de atualização” é codificada, de forma ofuscada, no executável, conforme mostrado na Figura 3.
Desofuscada, a URL de verificação de atualização completa é:
http://c.gj.qq[.]com/fcgi-bin/busxml?busid=20&supplyid=30088&guid=CQEjCF9zN8Zdyzj5S6F1MC1RGUtw82B7yL+hpt9/gixzExnawV3y20xaEdtektfo&dm=0
O servidor responde com dados formatados em XML codificados com base64 e criptografados com uma implementação do algoritmo TEA usando uma chave de 128 bits. Esses dados contêm instruções para baixar e executar um arquivo, juntamente com outras informações. Como a chave de descriptografia também é codificada, conforme mostrado na Figura 4, ela pode ser conhecida pelos invasores.
QQUrlMgr.exe em seguida, baixa o arquivo indicado, não criptografado, via HTTP e faz o hash de seu conteúdo com o algoritmo MD5. O resultado é verificado em relação a um hash presente nos dados XML de resposta de verificação de atualização, conforme mostrado na Figura 5. Se os hashes corresponderem, QQUrlMgr.exe executa o arquivo baixado. Isso reforça nossa hipótese de que os invasores precisariam controlar o mecanismo XML do lado do servidor no servidor de atualização para poder fornecer o hash MD5 correto do instalador do malware.
Acreditamos que esse cenário explicaria nossas observações; no entanto, muitas perguntas ficam sem resposta. Entramos em contato com a Tencent Central de respostas de segurança para confirmar a legitimidade do URL completo de onde o malware foi baixado; update.browser.qq[.]com é – no momento da escrita – inacessível, mas a Tencent não pôde confirmar se o URL completo era legítimo.
Cenário de adversário no meio
Em 2022/06/02, a Kaspersky publicou um pesquisa relatório sobre as capacidades do grupo LuoYu APT de língua chinesa e seu malware WinDealer. Semelhante ao que observamos neste grupo de vítimas do Evasive Panda, seus pesquisadores descobriram que, desde 2020, as vítimas do LuoYu receberam o malware WinDealer por meio de atualizações por meio do aplicativo legítimo qgametool.exe do pptv software, também desenvolvido por uma empresa chinesa.
O WinDealer tem uma capacidade intrigante: em vez de carregar uma lista de servidores C&C estabelecidos para contato em caso de comprometimento bem-sucedido, ele gera endereços IP aleatórios no 13.62.0.0/15 e 111.120.0.0/14 varia de China Telecom AS4134. Embora seja uma pequena coincidência, notamos que os endereços IP dos usuários chineses visados no momento do recebimento do malware MgBot estavam nos intervalos de endereços IP AS4134 e AS4135.
Possíveis explicações para o que habilita esses recursos para sua infraestrutura C&C são que LuoYu controla uma grande quantidade de dispositivos associados aos endereços IP nesses intervalos ou que eles são capazes de fazer adversário no meio (AitM) ou interceptação do invasor na infraestrutura desse AS específico.
Os estilos de interceptação AitM seriam possíveis se os invasores – LuoYu ou Evasive Panda – conseguissem comprometer dispositivos vulneráveis, como roteadores ou gateways. Como antecedente, em 2019 Pesquisadores da ESET descobriram que o grupo APT chinês conhecido como BlackTech estava realizando ataques AitM por meio de roteadores ASUS comprometidos e entregando o malware Plead por meio de atualizações de software ASUS WebStorage.
Com acesso à infraestrutura de backbone do ISP – por meios legais ou ilegais – o Evasive Panda seria capaz de interceptar e responder às solicitações de atualização realizadas via HTTP, ou mesmo modificar pacotes em tempo real. Em abril de 2023, os pesquisadores da Symantec relatado no Evasive Panda visando uma organização de telecomunicações na África.
Breve noticiário
Em última análise, sem mais evidências, não podemos provar ou descartar uma hipótese em favor da outra, uma vez que tais capacidades estão disponíveis para grupos APT chineses.
Toolset
MgBotName
O MgBot é o principal backdoor do Windows usado pelo Evasive Panda, que, de acordo com nossas descobertas, existe desde pelo menos 2012 e, conforme mencionado nesta postagem do blog, foi publicamente documentado no VirusBulletin em 2014. Ele foi desenvolvido em C++ com um design orientado a objetos e tem capacidade de se comunicar via TCP e UDP e estender sua funcionalidade por meio de módulos plug-in.
O instalador e backdoor do MgBot, e sua funcionalidade, não mudaram significativamente desde que foi documentado pela primeira vez. Sua cadeia de execução é a mesma descrita neste Denunciar por Malwarebytes a partir de 2020.
Plug-ins do MgBot
A arquitetura modular do MgBot permite estender sua funcionalidade ao receber e implantar módulos na máquina comprometida. A Tabela 2 lista os plug-ins conhecidos e suas funcionalidades. É importante observar que os plug-ins não possuem números de identificação internos exclusivos; portanto, estamos identificando-os aqui por seus nomes de DLL no disco, que nunca vimos mudar.
Tabela 2. Lista de arquivos DLL do plug-in
Nome da DLL do plug-in | Visão geral |
---|---|
Kstrcs.dll | Registrador de teclas. Ele registra ativamente as teclas digitadas quando a janela em primeiro plano pertence a um processo chamado QQ.exe e o título da janela corresponde QQEditar. O alvo provável é o aplicativo de bate-papo Tencent QQ. |
sebasek.dll | Ladrão de arquivos. Possui um arquivo de configuração que possibilita a coleta de arquivos de diversas fontes: HDDs, pendrives USB e CD-ROMs; bem como critérios baseados nas propriedades do arquivo: o nome do arquivo deve conter uma palavra-chave de uma lista predefinida, o tamanho do arquivo deve estar entre um tamanho mínimo e máximo definido. |
Cbmrpa.dll | Captura o texto copiado para a área de transferência e registra as informações da chave de registro USBSTOR. |
pRsm.dll | Captura fluxos de áudio de entrada e saída. |
mailLFPassword.dll | Ladrão de credenciais. Rouba credenciais do software cliente de e-mail Outlook e Foxmail. |
agentepwd.dll | Ladrão de credenciais. Rouba credenciais do Chrome, Opera, Firefox, Foxmail, QQBrowser, FileZilla e WinSCP, entre outros. |
qmsdp.dll | Um plug-in complexo projetado para roubar o conteúdo do banco de dados Tencent QQ que armazena o histórico de mensagens do usuário. Isso é obtido pelo patch na memória do componente de software KernelUtils.dll e soltando uma farsa userenv.dll Dll. |
wcdbcrk.dll | Ladrão de informações para Tencent WeChat. |
Gmck.dll | Ladrão de cookies para Firefox, Chrome e Edge. |
A maioria dos plugins é projetada para roubar informações de aplicativos chineses altamente populares, como QQ, WeChat, QQBrowser e Foxmail – todos aplicativos desenvolvidos pela Tencent.
Conclusão
Descobrimos uma campanha que atribuímos ao grupo Evasive Panda APT, visando usuários na China continental, entregando seu backdoor MgBot por meio de protocolos de atualização de aplicativos de conhecidas empresas chinesas. Também analisamos os plug-ins do backdoor MgBot e descobrimos que a maioria deles foi projetada para espionar usuários de software chinês, roubando credenciais e informações.
IoCs
Arquivos
SHA-1 | Nome do arquivo | Detecção | Descrição |
---|---|---|---|
10FB52E4A3D5D6BDA0D22BB7C962BDE95B8DA3DD | wcdbcrk.dll | Win32/Agente.VFT | Plug-in de ladrão de informações MgBot. |
E5214AB93B3A1FC3993EF2B4AD04DFCC5400D5E2 | sebasek.dll | Win32/Agente.VFT | Plug-in do ladrão de arquivos MgBot. |
D60EE17418CC4202BB57909BEC69A76BD318EEB4 | kstrcs.dll | Win32/Agente.VFT | Plug-in de keylogger MgBot. |
2AC41FFCDE6C8409153DF22872D46CD259766903 | gmck.dll | Win32/Agente.VFT | Plug-in ladrão de cookies MgBot. |
0781A2B6EB656D110A3A8F60E8BCE9D407E4C4FF | qmsdp.dll | Win32/Agente.VFT | Plug-in de ladrão de informações MgBot. |
9D1ECBBE8637FED0D89FCA1AF35EA821277AD2E8 | pRsm.dll | Win32/Agente.VFT | Plugin de captura de áudio MgBot. |
22532A8C8594CD8A3294E68CEB56ACCF37A613B3 | cbmrpa.dll | Win32/Agent.ABUJ | Plugin de captura de texto da área de transferência do MgBot. |
970BABE49945B98EFADA72B2314B25A008F75843 | agentepwd.dll | Win32/Agente.VFT | Plug-in ladrão de credenciais MgBot. |
8A98A023164B50DEC5126EDA270D394E06A144FF | maillfpassword.dll | Win32/Agente.VFT | Plug-in ladrão de credenciais MgBot. |
65B03630E186D9B6ADC663C313B44CA122CA2079 | QQUrlMgr_QQ88_4296.exe | Win32/Kryptik.HRRI | Instalador do MgBot. |
Network
IP | provedor do cliente | Visto pela primeira vez | Adicionar ao carrinho |
---|---|---|---|
122.10.88[.]226 | AS55933 Cloudie Limited | 2020-07-09 | Servidor MgBot C&C. |
122.10.90[.]12 | AS55933 Cloudie Limited | 2020-09-14 | Servidor MgBot C&C. |
Técnicas MITER ATT e CK
Esta tabela foi construída usando versão 12 da estrutura MITRE ATT&CK.
Tática | ID | Nome | Descrição |
---|---|---|---|
Desenvolvimento de Recursos | T1583.004 | Adquirir Infraestrutura: Servidor | A Evasive Panda adquiriu servidores para serem usados na infraestrutura C&C. |
T1587.001 | Desenvolver recursos: malware | O Evasive Panda desenvolve seu backdoor e plug-ins MgBot personalizados, incluindo carregadores ofuscados. | |
Execução | T1059.003 | Interpretador de comandos e scripts: Shell de comando do Windows | O instalador do MgBot inicia o serviço a partir de arquivos BAT com o comando net start AppMgmt |
T1106 | API nativa | O instalador do MgBot usa o CreateProcessInternalW API para executar rundll32.exe para carregar a DLL backdoor. | |
T1569.002 | Serviços do sistema: execução de serviço | O MgBot é executado como um serviço do Windows. | |
Persistência | T1543.003 | Criar ou modificar o processo do sistema: serviço do Windows | O MgBot substitui o caminho da DLL do serviço de gerenciamento de aplicativos existente pelo seu próprio. |
Escalonamento de Privilégios | T1548.002 | Mecanismo de controle de elevação de abuso: ignorar o controle de conta de usuário | O MgBot executa o UAC Bypass. |
Evasão de Defesa | T1140 | Desofuscar / decodificar arquivos ou informações | O instalador do MgBot descriptografa um arquivo CAB incorporado que contém a DLL de backdoor. |
T1112 | Modificar Registro | MgBot modifica o registro para persistência. | |
T1027 | Arquivos ou informações ofuscados | O instalador do MgBot contém arquivos de malware incorporados e strings criptografadas. MgBot contém strings criptografadas. Os plug-ins do MgBot contêm arquivos DLL incorporados. | |
T1055.002 | Injeção de Processo: Injeção Executável Portátil | O MgBot pode injetar arquivos executáveis portáteis em processos remotos. | |
Acesso de credencial | T1555.003 | Credenciais de armazenamentos de senhas: Credenciais de navegadores da Web | módulo de plug-in MgBot agentepwd.dll rouba credenciais de navegadores da web. |
T1539 | Roubar Cookie de Sessão Web | módulo de plug-in MgBot Gmck.dll rouba biscoitos. | |
Discovery | T1082 | Descoberta de informações do sistema | MgBot coleta informações do sistema. |
T1016 | Descoberta de configuração de rede do sistema | MgBot tem a capacidade de recuperar informações de rede. | |
T1083 | Descoberta de arquivos e diretórios | O MgBot tem a capacidade de criar listas de arquivos. | |
Coleção | T1056.001 | Captura de entrada: Keylogging | módulo de plug-in MgBot kstrcs.dll é um keylogger. |
T1560.002 | Arquivar dados coletados: arquivar via biblioteca | Módulo de plug-in do MgBot sebasek.dll usa aPLib para compactar arquivos preparados para exfiltração. | |
T1123 | Captura de áudio | Módulo de plug-in do MgBot pRsm.dll captura fluxos de áudio de entrada e saída. | |
T1119 | Recolha Automática | Os módulos de plug-in do MgBot capturam dados de várias fontes. | |
T1115 | Dados da área de transferência | Módulo de plug-in do MgBot Cbmrpa.dll captura o texto copiado para a área de transferência. | |
T1025 | Dados da mídia removível | Módulo de plug-in do MgBot sebasek.dll coleta arquivos de mídia removível. | |
T1074.001 | Dados preparados: preparação de dados locais | Os módulos de plug-in do MgBot organizam os dados localmente no disco. | |
T1114.001 | Coleta de e-mail: coleção de e-mail local | Os módulos de plug-in do MgBot são projetados para roubar credenciais e informações de e-mail de vários aplicativos. | |
T1113 | Screen Capture | MgBot pode capturar screenshots. | |
Comando e controle | T1095 | Protocolo de camada de não aplicação | O MgBot se comunica com seu C&C através dos protocolos TCP e UDP. |
exfiltration | T1041 | Exfiltração no canal C2 | O MgBot realiza a exfiltração dos dados coletados via C&C. |
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
- Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
- Fonte: https://www.welivesecurity.com/2023/04/26/evasive-panda-apt-group-malware-updates-popular-chinese-software/
- :tem
- :é
- :não
- :onde
- 000
- 1
- 10
- 100
- 2012
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 7
- 8
- 9
- a
- Capaz
- Sobre
- Acesso
- Segundo
- Conta
- alcançado
- adquirido
- ativamente
- atividade
- Adicional
- endereços
- África
- contra
- algoritmo
- Todos os Produtos
- permite
- juntamente
- tb
- Apesar
- entre
- quantidade
- an
- análise
- analisar
- e
- qualquer
- api
- Aplicação
- aplicações
- Abril
- APT
- arquitetura
- arquivo
- SOMOS
- AS
- asiático
- associado
- At
- ataque
- Ataques
- auditivo
- Automatizado
- em caminho duplo
- Espinha dorsal
- Porta dos fundos
- baseado
- BAT
- BE
- sido
- Acreditar
- pertence
- MELHOR
- entre
- Blog
- ambos
- navegador
- navegadores
- construído
- mas a
- by
- C + +
- Campanha
- CAN
- não podes
- capacidades
- capturar
- capturas
- transporte
- casas
- casos
- cadeia
- alterar
- canais
- verificar
- verificado
- China
- chinês
- Chrome
- cliente
- Agrupar
- código
- coincidência
- coleção
- comunicar
- Empresas
- Empresa
- competindo
- completar
- integrações
- componente
- compromisso
- Comprometido
- condutor
- confiança
- Configuração
- Confirmar
- Contacto
- não contenho
- contém
- conteúdo
- conteúdo
- continuar
- ao controle
- bolinhos
- poderia
- países
- país
- Criar
- CREDENCIAL
- Credenciais
- critérios
- personalizadas
- dados,
- banco de dados
- definido
- entregar
- entregue
- entregando
- entrega
- implantado
- Implantação
- descrito
- Design
- projetado
- desenvolvido
- Developer
- desenvolve
- Dispositivos/Instrumentos
- diferente
- descoberto
- dns
- do
- domínios
- não
- download
- de downloads
- Caindo
- durante
- Leste
- borda
- ou
- incorporado
- permite
- criptografada
- aumentar
- entidades
- Pesquisa ESET
- estabelecido
- Mesmo
- evidência
- evolução
- exemplo
- exemplos
- executar
- Executa
- execução
- exfiltração
- existente
- Explicação
- estender
- falsificação
- favorecer
- Figura
- Envie o
- Arquivos
- filtragem
- Firefox
- Primeiro nome
- navio almirante
- Foco
- Escolha
- formulário
- encontrado
- Quadro
- da
- cheio
- funcionalidade
- mais distante
- jogos
- gera
- dado
- Governo
- Entidades Governamentais
- Grupo
- Do grupo
- Guangdong
- tinha
- mão
- hash
- Ter
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- Alta
- mais
- altamente
- história
- Hong
- 香港
- hospedado
- Como funciona o dobrador de carta de canal
- Contudo
- http
- HTTPS
- identificação
- identificar
- identificar
- if
- Ilegal
- implementação
- implementa
- importante
- in
- Incluindo
- Índia
- indicado
- indivíduos
- INFORMAÇÕES
- Infraestrutura
- entrada
- instalado
- em vez disso
- instruções
- interno
- Internacionais
- para dentro
- introduzir
- investigação
- IP
- Endereços IP
- ISP
- IT
- ESTÁ
- janeiro
- Kaspersky
- Chave
- Conhecimento
- conhecido
- Kong
- grande
- lança
- camada
- Legal
- legitimidade
- legítimo
- Provável
- Limitado
- Lista
- Listado
- Anúncios
- listas
- pequeno
- carregar
- local
- localmente
- localizado
- locais
- máquina
- máquinas
- continente
- Maioria
- Malaysia
- malwares
- Malwarebytes
- gerenciados
- de grupos
- muitos
- mapa,
- Match
- max-width
- máximo
- MD5
- significa
- mecanismo
- Mídia
- Membros
- mencionado
- mensagem
- métodos
- mínimo
- modificar
- modulares
- Módulo
- Módulos
- mais
- Myanmar
- Nomeado
- nomes
- Natureza
- você merece...
- necessário
- Nem
- rede
- Próximo
- Ngo
- Nigéria
- número
- números
- of
- on
- ONE
- online
- jogo on line
- só
- Opera
- opera
- or
- organização
- organizações
- originado
- Outros
- Outros
- A Nossa
- Fora
- Outlook
- saída
- Acima de
- Visão geral
- próprio
- pacotes
- particular
- passiva
- Senha
- Patching
- caminho
- realização
- executa
- persistência
- Filipinas
- platão
- Inteligência de Dados Platão
- PlatãoData
- implorar
- plug-in
- plugins
- pontos
- Popular
- possível
- Publique
- presente
- anteriormente
- primário
- Prime
- processo
- processos
- Propriedades
- protocolos
- Prove
- fornecer
- províncias
- público
- publicamente
- publicado
- puramente
- Frequentes
- acaso
- alcançado
- Leitor
- receber
- recebido
- receber
- registros
- Recuperar
- registrado
- registro
- remoto
- resposta
- Denunciar
- Relatórios
- pedidos
- pesquisa
- pesquisadores
- resolvidas
- resposta
- resultar
- s
- mesmo
- cenário
- cenários
- screenshots
- seções
- segurança
- visto
- Seqüência
- Servidores
- serviço
- Serviços
- Sessão
- vários
- mostrando
- Shows
- de forma considerável
- semelhante
- desde
- Tamanho
- pequeno
- Redes Sociais
- meios de comunicação social
- Software
- Fontes
- especificamente
- especulação
- Etapa
- começo
- Comece
- rouba
- Ainda
- lojas
- córregos
- bem sucedido
- tal
- .
- mesa
- Taiwan
- Tire
- Target
- visadas
- alvejando
- tem como alvo
- Chá
- telecom
- telecomunicações
- Tencent
- do que
- que
- A
- As Filipinas
- deles
- Eles
- então
- assim sendo
- Este
- deles
- isto
- aqueles
- Através da
- todo
- tempo
- Título
- para
- kit de ferramentas
- tipo
- único
- inacessível
- Atualizar
- Atualizações
- URL
- usb
- usar
- usava
- Utilizador
- usuários
- utilização
- vário
- muito
- via
- Vítima
- vítimas
- Vietnã
- Vulnerável
- foi
- we
- web
- Navegadores da Web
- BEM
- bem conhecido
- foram
- O Quê
- quando
- se
- qual
- enquanto
- Largo
- Wikipedia
- precisarão
- Windows
- de
- sem
- Equivalente há
- seria
- escrita
- XML
- zefirnet