ESET araştırmacıları OilRig APT grubunun iki kampanyasını analiz etti: Outer Space (2021) ve Juicy Mix (2022). Bu siber casusluk kampanyalarının her ikisi de özel olarak İsrail kuruluşlarını hedef alıyordu; bu da grubun Orta Doğu'ya odaklanmasıyla uyumluydu ve aynı taktik kitabını kullanıyordu: OilRig önce bir C&C sunucusu olarak kullanmak için meşru bir web sitesini ele geçirdi ve ardından bir C# sunmak için VBS bırakıcılarını kullandı. /.NET arka kapısını kurbanlarına açarken aynı zamanda çoğunlukla hedef sistemlerde veri sızdırma için kullanılan çeşitli uzlaşma sonrası araçları da kullanıyor.
OilRig, Outer Space kampanyasında Solar adını verdiğimiz basit, önceden belgelenmemiş bir C#/.NET arka kapısını ve C&C iletişimi için Microsoft Office Exchange Web Hizmetleri API'sini kullanan yeni bir indirici olan SampleCheck5000 (veya SC5k)'yi kullandı. Tehdit aktörleri, Juicy Mix kampanyası için Solar'ı geliştirerek ek yeteneklere ve gizleme yöntemlerine sahip Mango arka kapısını oluşturdu. Kötü amaçlı araç setini tespit etmenin yanı sıra İsrail CERT'ini ele geçirilen web siteleri hakkında da bilgilendirdik.
Bu blog gönderisinin önemli noktaları:
- ESET, 2021 (Outer Space) ve 2022 (Juicy Mix) boyunca gerçekleşen iki OilRig kampanyasını gözlemledi.
- Operatörler yalnızca İsrail kuruluşlarını hedef aldı ve kendi C&C iletişimlerinde kullanılmak üzere meşru İsrail web sitelerini ele geçirdi.
- Her kampanyada yeni, daha önce belgelenmemiş bir C#/.NET birinci aşama arka kapısı kullandılar: Outer Space'te Solar, ardından Juicy Mix'te onun halefi Mango.
- Her iki arka kapı da muhtemelen hedef odaklı kimlik avı e-postaları aracılığıyla yayılan VBS dağıtımcıları tarafından kullanıldı.
- Her iki kampanyada da çeşitli uzlaşma sonrası araçlar kullanıldı; özellikle C&C iletişimi için Microsoft Office Exchange Web Hizmetleri API'sini kullanan SC5k indiricisi ve Windows Kimlik Bilgisi Yöneticisi'nden tarayıcı verilerini ve kimlik bilgilerini çalmak için çeşitli araçlar.
APT34, Lyceum veya Siamesekitten olarak da bilinen OilRig, en az 2014'ten beri aktif olan bir siber casusluk grubudur ve yaygın olarak inanılıyor İran merkezli olacak. Grup, Orta Doğu hükümetlerini ve kimya, enerji, finans ve telekomünikasyon dahil olmak üzere çeşitli iş sektörlerini hedef alıyor. OilRig DNSpionage kampanyasını gerçekleştirdi 2018 ve 2019Lübnan ve Birleşik Arap Emirlikleri'ndeki kurbanları hedef aldı. OilRig, 2019 ve 2020'de saldırılarına devam etti. Sert Geçiş Enerji ve hükümet sektörlerindeki Orta Doğulu mağdurları hedeflemek için LinkedIn'i kullanan kampanya. OilRig, 2021 yılında DanBot arka kapıyı dağıtmaya başladı Köpekbalığı, Milanove Marlin arka kapıları, yukarıda bahsedilen T3 2021 sayısı ESET Tehdit Raporu.
Bu blog yazısında Solar ve Mango arka kapılarının, Mango'yu sunmak için kullanılan VBS damlasının ve her kampanyada kullanılan uzlaşma sonrası araçların teknik analizini sunuyoruz.
atfetme
Outer Space kampanyasını OilRig'e bağlamamızı sağlayan ilk bağlantı, aşağıdaki gibi aynı özel Chrome veri taşıyıcısının (ESET araştırmacıları tarafından MKG adı altında izlenen) kullanılmasıdır. Denize açılma kampanyası. Solar arka kapısının, Out to Sea'dekiyle aynı MKG örneğini ve diğer iki varyantı hedefin sistemine yerleştirdiğini gözlemledik.
Araçlar ve hedeflemedeki örtüşmenin yanı sıra, Solar arka kapısı ile Out to Sea'de kullanılan arka kapılar arasında, çoğunlukla yükleme ve indirmeyle ilgili çok sayıda benzerlik de gördük: hem Solar hem de başka bir OilRig arka kapısı olan Shark, basit yükleme ve indirme şemalarına sahip URI'leri kullanıyor İndirme için “d” ve yükleme için “u” ile C&C sunucusuyla iletişim kurmak; ek olarak SC5k indiricisi, ALMA, Shark, DanBot ve Milan gibi diğer OilRig arka kapıları gibi yükleme ve indirme alt dizinlerini kullanır. Bu bulgular, Outer Space'in arkasındaki suçlunun gerçekten de OilRig olduğunu doğruluyor.
Juicy Mix kampanyasının OilRig ile olan bağlarına gelince, bu casusluk grubu için tipik olan İsrail kuruluşlarını hedeflemenin yanı sıra, bu kampanyada kullanılan arka kapı olan Mango ile Solar arasında kod benzerlikleri de var. Üstelik her iki arka kapı da aynı dize gizleme tekniğiyle VBS bırakıcıları tarafından konuşlandırıldı. Juicy Mix'te kullanılan uzlaşma sonrası araçların seçimi aynı zamanda önceki OilRig kampanyalarını da yansıtıyor.
Outer Space kampanyasına genel bakış
Adını işlev adlarında ve görevlerinde astronomi tabanlı bir adlandırma şemasının kullanılmasıyla alan Outer Space, 2021 tarihli bir OilRig kampanyasıdır. Bu kampanyada grup, İsrail'deki bir insan kaynakları sitesinin güvenliğini ihlal etti ve ardından burayı daha önceki faaliyetleri için bir C&C sunucusu olarak kullandı. belgelenmemiş C#/.NET arka kapısı, Solar. Solar, diskten okuma, yazma ve bilgi toplama gibi temel işlevlere sahip basit bir arka kapıdır.
Grup daha sonra Solar aracılığıyla, aşağıda gösterildiği gibi yürütme için ek araçlar indirmek üzere Office Exchange Web Hizmetleri API'sini kullanan yeni bir indirici SC5k'yi devreye aldı. REF _Ref142655526 h şekil 1
. OilRig, kurbanın sisteminden tarayıcı verilerini sızdırmak için MKG adı verilen bir Chrome veri boşaltma aracı kullandı.
Juicy Mix kampanyasına genel bakış
2022'de OilRig, bu kez güncellenmiş bir araç setiyle İsrail kuruluşlarını hedef alan başka bir kampanya başlattı. Yeni OilRig arka kapısının kullanımı nedeniyle kampanyaya Juicy Mix adını verdik, Mango (dahili montaj adı ve dosya adı temel alınarak, Mango.exe). Bu kampanyada tehdit aktörleri, C&C iletişimlerinde kullanılmak üzere meşru bir İsrail iş portalı web sitesini tehlikeye attı. Grubun kötü amaçlı araçları daha sonra yine İsrail merkezli bir sağlık kuruluşuna karşı kullanıldı.
Mango'nun ilk aşama arka kapısı, Solar'ın devamı olup, yine C#/.NET ile yazılmıştır; dışarı sızma yetenekleri, yerel API'lerin kullanımı ve eklenen tespitten kaçınma kodu gibi önemli değişiklikler içerir.
Mango'nun yanı sıra, Chrome ve Edge tarayıcılarından çerezleri, tarama geçmişini ve kimlik bilgilerini çalmak için kullanılan, önceden belgelenmemiş iki tarayıcı verisi çöpçüsünü ve tümünü OilRig'e atfettiğimiz bir Windows Kimlik Bilgisi Yöneticisi hırsızını da tespit ettik. Bu araçların tümü, 2021 ve 2022 boyunca Mango ile aynı hedefe karşı ve güvenliği ihlal edilmiş diğer İsrail kuruluşlarında kullanıldı. REF _Ref125475515 h şekil 2
Juicy Mix kampanyasında çeşitli bileşenlerin nasıl kullanıldığına dair bir genel bakış gösterir.
Teknik analiz
Bu bölümde Solar ve Mango arka kapılarının ve SC5k indiricisinin teknik analizinin yanı sıra bu kampanyalarda hedeflenen sistemlere dağıtılan diğer araçları sunuyoruz.
VBS damlalıkları
Hedefin sisteminde bir dayanak oluşturmak için her iki kampanyada da Visual Basic Komut Dosyası (VBS) damlalıkları kullanıldı ve bunlar büyük olasılıkla hedef odaklı kimlik avı e-postaları tarafından yayıldı. Aşağıdaki analizimiz Mango'yu bırakmak için kullanılan VBS komut dosyasına odaklanmaktadır (SHA-1: 3699B67BF4E381847BF98528F8CE2B966231F01A); Solar'ın damlalığının çok benzer olduğunu unutmayın.
Bırakıcının amacı, yerleşik Mango arka kapısını sunmak, kalıcılık için bir görev planlamak ve uzlaşmayı C&C sunucusuna kaydetmektir. Gömülü arka kapı, birleştirilen ve base64'ün kodu çözülen bir dizi base64 alt dizesi olarak depolanır. Da gösterildiği gibi REF _Ref125477632 h şekil 3
, komut dosyası ayrıca dizelerin aritmetik işlemler kullanılarak birleştirildiği basit bir dize gizleme tekniğini kullanır ve M.Ö fonksiyonu.
Bunun da ötesinde, Mango'nun VBS damlatıcısı, kalıcılığı ayarlamak ve C&C sunucusuna kaydolmak için başka türde bir dize gizleme ve kod ekler. Da gösterildiği gibi REF _Ref125479004 h * BİRLEŞTİRME FORMATI şekil 4
, bazı dizelerin gizliliğini kaldırmak için komut dosyası, kümedeki tüm karakterleri değiştirir #*+-_)(}{@$%^& ile 0, daha sonra dizeyi üç basamaklı sayılara böler ve bunlar daha sonra ASCII karakterlerine dönüştürülür. M.Ö
işlev. Örneğin, dize 116110101109117+99111$68+77{79$68}46-50108109120115}77 Çevirir Msxml2.DOMBelgesi.
Arka kapı sisteme yerleştirildikten sonra, damlalık, Mango'yu (veya diğer versiyonda Solar'ı) her 14 dakikada bir çalıştıran zamanlanmış bir görev oluşturmaya devam eder. Son olarak komut dosyası, arka kapıyı C&C sunucusuna kaydetmek için bir POST isteği aracılığıyla ele geçirilen bilgisayarın base64 kodlu adını gönderir.
Güneş arka kapısı
Solar, OilRig'in Outer Space kampanyasında kullanılan arka kapıdır. Temel işlevlere sahip olan bu arka kapı, diğer şeylerin yanı sıra, dosyaları indirmek ve yürütmek ve hazırlanmış dosyaları otomatik olarak dışarı çıkarmak için kullanılabilir.
OilRig tarafından kullanılan dosya adına göre Solar adını seçtik. Solar.exe. Arka kapı, ikili sistem boyunca kullanılan işlev adları ve görevleri için bir astronomi adlandırma şeması kullandığından, bu uygun bir addır (Merkür, Venüs, Mars, Dünya, ve Jüpiter).
Solar, şekilde gösterilen adımları gerçekleştirerek uygulamaya başlar. REF _Ref98146919 h * BİRLEŞTİRME FORMATI şekil 5
.
Arka kapı iki görev oluşturur; Dünya
ve Venüs, bellekte çalışır. Her iki görev için de durdurma işlevi bulunmadığından süresiz olarak çalışacaklardır. Dünya
her 30 saniyede bir çalışacak şekilde planlanmıştır ve Venüs
Her 40 saniyede bir çalışacak şekilde ayarlanmıştır.
Dünya Solar'ın işlevlerinin büyük kısmından sorumlu olan birincil görevdir. İşlevi kullanarak C&C sunucusuyla iletişim kurar. MerkürdenGüneşe, temel sistem ve kötü amaçlı yazılım sürümü bilgilerini C&C sunucusuna gönderen ve ardından sunucunun yanıtını işleyen. Dünya C&C sunucusuna aşağıdaki bilgileri gönderir:
- Dize (@); dizenin tamamı şifrelenmiştir.
- Dize 1.0.0.0, şifrelenmiş (muhtemelen bir sürüm numarası).
- Dize 30000, şifrelenmiş (muhtemelen programlanmış çalışma zamanı) Dünya
Şifreleme ve şifre çözme, adı verilen işlevlerde uygulanır. JüpiterE
ve JüpiterD, sırasıyla. İkisi de adlı bir işlevi çağırıyor JüpiterXgösterildiği gibi bir XOR döngüsü uygulayan REF _Ref98146962 h şekil 6
.
Anahtar, sabit kodlanmış bir global dize değişkeninden türetilir, 6sEj7*0B7#7Ve papalık elçisi: bu durumda, 2-24 karakter uzunluğunda rastgele bir onaltılık dize. XOR şifrelemesinin ardından standart base64 kodlaması uygulanır.
OilRig'in Solar'ı konuşlandırmadan önce bir noktada tehlikeye attığı İsrailli bir insan kaynakları şirketinin web sunucusu, C&C sunucusu olarak kullanıldı:
http://organization.co[.]il/project/templates/office/template.aspx?rt=d&sun=<encrypted_MachineGuid>&rn=<encryption_nonce>
URI'ye eklenmeden önce şifreleme bir kez şifrelenir ve ilk sorgu dizesinin değeri, rt, ayarlandı d burada, muhtemelen “indirmek” için.
Son adımı MerkürdenGüneşe
işlevi C&C sunucusundan gelen bir yanıtı işlemektir. Bunu, karakterlerin arasında bulunan yanıtın bir alt dizesini alarak yapar. QQ @ ve @kk. Bu yanıt, yıldız işaretleriyle ayrılmış bir talimat dizisidir (*) bir diziye işlenir. Dünya
daha sonra sunucudan ek yüklerin indirilmesini, kurbanın sistemindeki dosyaların listelenmesini ve belirli yürütülebilir dosyaların çalıştırılmasını içeren arka kapı komutlarını gerçekleştirir.
Komut çıktısı daha sonra işlev kullanılarak gzip sıkıştırılır. Neptün
ve aynı şifreleme anahtarı ve yeni bir nonce ile şifrelenir. Daha sonra sonuçlar C&C sunucusuna yüklenir, böylece:
http://<redacted>.co[.]il/project/templates/office/template.aspx?rt=u&sun=<MachineGuid>&rn=<new_nonce>
MachineGuid ve yeni nonce ile şifrelenir JüpiterE
fonksiyonu ve burada değeri rt ayarlandı u, muhtemelen "yükleme" için.
VenüsDiğer zamanlanmış görev olan , otomatik veri sızdırma için kullanılır. Bu küçük görev, dosyaların içeriğini bir dizinden (aynı zamanda Venüs) C&C sunucusuna. Bu dosyalar muhtemelen henüz tanımlanamayan başka bir OilRig aracı tarafından buraya bırakılmıştır. Bir dosyayı yükledikten sonra görev onu diskten siler.
Mango arka kapısı
OilRig, Juicy Mix kampanyası için Solar arka kapısından Mango'ya geçiş yaptı. Solar'a benzer bir iş akışına ve örtüşen yeteneklere sahiptir, ancak yine de birkaç dikkate değer değişiklik vardır:
- C&C iletişimleri için TLS kullanımı.
- Dosyaları ve kabuk komutlarını yürütmek için .NET API'leri yerine yerel API'lerin kullanılması.
- Aktif olarak kullanılmasa da tespitten kaçınma kodu tanıtıldı.
- Otomatik sızdırma desteği (Venüs
- Günlük modu desteği kaldırıldı ve sembol adları gizlendi.
Solar'ın astronomi temalı adlandırma şemasının aksine Mango, sembol adlarını gizlemektedir. REF _Ref142592880 h şekil 7
.
Mango, sembol adını gizlemenin yanı sıra dize istifleme yöntemini de kullanır (bkz. REF _Ref142592892 h şekil 8
REF _Ref141802299 h
) basit algılama yöntemlerinin kullanımını zorlaştıran dizeleri gizlemek için.
Solar'a benzer şekilde Mango arka kapısı, her 32 saniyede bir süresiz olarak çalışacak şekilde programlanan bir bellek içi görev oluşturarak başlar. Bu görev, C&C sunucusuyla iletişim kurar ve Solar'ınkine benzer şekilde arka kapı komutlarını yürütür. Dünya
görev. Güneş aynı zamanda yaratırken VenüsOtomatik sızma görevi olan bu işlevin yerini Mango'da yeni bir arka kapı komutu almıştır.
Ana görevde Mango ilk olarak bir kurban tanımlayıcı oluşturur. , C&C iletişimlerinde kullanılmak üzere. Kimlik, MD5 karma değeri olarak hesaplanır. , onaltılık dize olarak biçimlendirilmiştir.
Bir arka kapı komutu istemek için Mango daha sonra dizeyi gönderir D@ @ | C&C sunucusuna http://www.darush.co[.]il/ads.asp – muhtemelen bu kampanyadan önce OilRig tarafından ele geçirilen meşru bir İsrail iş portalı. İsrail ulusal CERT örgütüne bu uzlaşmayı bildirdik.
Talep gövdesi şu şekilde oluşturulmuştur:
- Aktarılacak veriler, şifreleme anahtarı kullanılarak XOR ile şifrelenir Soru-4G, ardından base64 kodlandı.
- Bu alfabeden 3-14 karakterlik sözde rastgele bir dize oluşturulur (kodda göründüğü gibi): i8p3aEeKQbN4klFMHmcC2dU9f6gORGIhDBLS0jP5Tn7o1AVJ.
- Şifrelenmiş veriler, oluşturulan dizenin içine sahte rastgele bir konuma eklenir. [@ ve @] sınırlayıcılar.
Mango, C&C sunucusuyla iletişim kurmak için ek bir şifreleme katmanı sağlamak üzere kullanılan TLS (Aktarım Katmanı Güvenliği) protokolünü kullanır..
Benzer şekilde, C&C sunucusundan alınan arka kapı komutu XOR ile şifrelenir, base64 ile kodlanır ve ardından arasına alınır. [@ ve @] HTTP yanıt gövdesi içinde. Komutun kendisi ya NCNT
(bu durumda hiçbir işlem yapılmaz) veya aşağıdakilerle sınırlandırılmış birkaç parametreden oluşan bir dize:
@, detaylandırıldığı gibi REF _Ref125491491 h tablo 1
Mango'nun arka kapı komutlarını listeleyen. Dikkat tabloda listelenmez ancak C&C sunucusuna verilen yanıtta kullanılır.
Tablo 1. Mango'nun arka kapı komutlarının listesi
arg1 |
arg2 |
arg3 |
Yapılan işlem |
Geri dönüş değeri |
|
1 veya boş dize |
+sp |
N / A |
Belirtilen dosya/kabuk komutunu (isteğe bağlı bağımsız değişkenlerle birlikte) yerel kullanarak çalıştırır. Süreci oluşturmak API aracılığıyla içe aktarıldı DllImport. Argümanlar şunları içeriyorsa [S]ile değiştirilir C: WindowsSystem32. |
Komut çıktısı. |
|
+hayır |
N / A |
Kötü amaçlı yazılım sürümü dizesini ve C&C URL'sini döndürür. |
|; bu durumda: 1.0.0|http://www.darush.co[.]il/ads.asp |
||
+fl |
N / A |
Belirtilen dizinin (veya geçerli çalışma dizininin) içeriğini numaralandırır. |
Dizini Her alt dizin için:
Her dosya için: DOSYA Dizin(ler) Dosyalar) |
||
+n |
N / A |
Dosya içeriğini aşağıdaki formatta yeni bir HTTP POST isteği aracılığıyla C&C sunucusuna yükler: sen@ @ | @ @2@. |
Biri: · dosya[ ] sunucuya yüklendi. · dosya bulunamadı! · dosya yolu boş! |
||
2 |
Base64 kodlu veriler |
Dosya adı |
Belirtilen verileri çalışma dizinindeki bir dosyaya döker. |
dosya yoluna indirildi[ ] |
Her arka kapı komutu yeni bir iş parçacığında işlenir ve dönüş değerleri daha sonra base64 ile kodlanır ve diğer meta verilerle birleştirilir. Son olarak bu dize, yukarıda açıklananla aynı protokol ve şifreleme yöntemi kullanılarak C&C sunucusuna gönderilir.
Kullanılmayan tespitten kaçınma tekniği
İlginç bir şekilde, kullanılmamış bir tane bulduk tespitten kaçınma tekniği Mango'nun içinde. C&C sunucusundan indirilen dosyaların ve komutların yürütülmesinden sorumlu olan işlev, isteğe bağlı ikinci bir parametre olan işlem kimliğini alır. Ayarlanırsa Mango şunu kullanır: ProcThreadAttribute'u Güncelle
API'yi ayarlamak için PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY (0x20007) belirtilen işlemin değere dönüştürülecek özelliği: PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON (0x100000000000), da gösterildiği gibi REF _Ref125480118 h şekil 9
.
Bu tekniğin amacı, uç nokta güvenlik çözümlerinin bu süreçte kullanıcı modu kod kancalarını bir DLL aracılığıyla yüklemesini engellemektir. Analiz ettiğimiz örnekte parametre kullanılmamış olsa da gelecek versiyonlarda aktif hale getirilebilir.
Sürüm 1.1.1
Temmuz 2023'te Juicy Mix kampanyasıyla ilgisi olmayan Mango arka kapısının yeni bir sürümünü bulduk (SHA-1: C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A), birkaç kullanıcı tarafından VirusTotal'a adı altında yüklendi Menora.exe. Bu örnekteki dahili sürüm 1.0.0'dan 1.1.1'e değiştirildi, ancak dikkate değer tek değişiklik farklı bir C&C sunucusunun kullanılmasıdır. http://tecforsc-001-site1.gtempurl[.]com/ads.asp.
Bu sürümle birlikte bir Microsoft Word belgesi de keşfettik (SHA-1: 3D71D782B95F13EE69E96BCF73EE279A00EAE5DB) arka kapıyı kapatan kötü amaçlı bir makroyla. REF _Ref143162004 h şekil 10
Kötü amaçlı kod arka planda çalışırken, kullanıcıyı belge için makroları etkinleştirmeye teşvik eden sahte uyarı mesajını ve sonrasında görüntülenen sahte içeriği gösterir.
Şekil 10. Mango v1.1.1'i düşüren kötü amaçlı bir makro içeren Microsoft Word belgesi
Uzlaşma sonrası araçlar
Bu bölümde, OilRig'in Outer Space ve Juicy Mix kampanyalarında kullanılan, ek yükleri indirip çalıştırmayı ve ele geçirilen sistemlerden veri çalmayı amaçlayan bir dizi uzlaşma sonrası aracı inceliyoruz.
SampleCheck5000 (SC5k) indiricisi
SampleCheck5000 (veya SC5k), ek OilRig araçlarını indirmek ve çalıştırmak için kullanılan bir indiricidir; C&C iletişimi için Microsoft Office Exchange Web Hizmetleri API'sini kullanmasıyla dikkat çeker: Saldırganlar bu e-posta hesabında taslak mesajlar oluşturur ve arka kapı komutlarını buraya gizler. Daha sonra indirici aynı hesapta oturum açar ve yürütülecek komutları ve verileri almak için taslakları ayrıştırır.
SC5k, uzak Exchange sunucusunda oturum açmak için önceden tanımlanmış değerleri (Microsoft Exchange URL'si, e-posta adresi ve parola) kullanır, ancak aynı zamanda, adlı mevcut çalışma dizinindeki bir yapılandırma dosyasını kullanarak bu değerleri geçersiz kılma seçeneğini de destekler. ayar tuşu. SampleCheck5000 adını, aracın Outer Space kampanyasında kullandığı e-posta adreslerinden birine dayanarak seçtik.
SC5k uzak Exchange sunucusunda oturum açtığında, sunucudaki tüm e-postaları alır. Taslaklar
dizini, yalnızca ekleri olan taslakları tutarak bunları en yeniye göre sıralar. Daha sonra ek içeren her taslak mesajı yineler ve aşağıdakileri içeren JSON eklerini arar: "veri" vücutta. Anahtardan değeri çıkarır veri JSON dosyasında base64, değerin kodunu çözer ve şifresini çözer ve cmd.exe ortaya çıkan komut satırı dizesini yürütmek için. SC5k daha sonra çıktıyı kaydeder. cmd.exe
Yerel bir değişkene yürütme.
Döngüdeki bir sonraki adım olarak, indirici, Exchange sunucusunda yeni bir e-posta mesajı oluşturarak ve bunu taslak olarak kaydederek (göndermeden) aşağıda gösterildiği gibi, sonuçları OilRig operatörlerine bildirir. REF _Ref98147102
h * BİRLEŞTİRME FORMATI şekil 11
. Benzer bir teknik, dosyaları yerel hazırlama klasöründen çıkarmak için kullanılır. Döngünün son adımı olarak SC5k ayrıca komut çıktısını şifrelenmiş ve sıkıştırılmış biçimde diske kaydeder.
Tarayıcı veri taşıyıcıları
Güvenlik ihlali sonrası faaliyetlerinde tarayıcı veri taşıyıcılarını kullanmak OilRig operatörlerinin karakteristik özelliğidir. Mango arka kapısının yanı sıra Juicy Mix kampanyasında kullanılan uzlaşma sonrası araçlar arasında iki yeni tarayıcı verisi hırsızı keşfettik. Çalınan tarayıcı verilerini % TEMP% adlı dosyalara dizin Kupa randevusu
ve Güncelleme
(dolayısıyla onlara verdiğimiz isimler: CDumper ve EDumper).
Her iki araç da C#/.NET tarayıcı verilerini çalan araçlardır; çerezleri, tarama geçmişini ve Chrome (CDumper) ve Edge (EDumper) tarayıcılarındaki kimlik bilgilerini toplar. Analizimizi CDumper'a odaklıyoruz, çünkü her iki hırsız da bazı sabitler dışında hemen hemen aynı.
Yürütüldüğünde CDumper, Google Chrome'un yüklü olduğu kullanıcıların bir listesini oluşturur. Yürütme sırasında hırsız Chrome SQLite'a bağlanır Cookies, Tarihçe
ve Giriş Verileri altındaki veritabanları %APPDATA%LocalGoogleChromeKullanıcı Verilerive ziyaret edilen URL'ler ve kaydedilen oturum açma bilgileri dahil olmak üzere tarayıcı verilerini SQL sorgularını kullanarak toplar.
Daha sonra çerez değerlerinin şifresi çözülür ve toplanan tüm bilgiler adlı bir günlük dosyasına eklenir. C:Kullanıcılar AppDataLocalTempCupdate, açık metin olarak. Bu işlevsellik, adı verilen CDumper işlevlerinde uygulanır. CookieGrab
(görmek REF _Ref126168131 h şekil 12
), TarihKepçe, ve Şifre Yakalama. CDumper'da herhangi bir sızma mekanizması uygulanmadığını, ancak Mango'nun seçilen dosyaları bir arka kapı komutu aracılığıyla sızdırabileceğini unutmayın.
Hem Dış Uzayda hem de daha önce Denize Out OilRig, kampanyasında MKG adı verilen bir C/C++ Chrome veri taşıyıcısı kullandı. CDumper ve EDumper gibi MKG de tarayıcıdaki kullanıcı adlarını ve şifreleri, tarama geçmişini ve çerezleri çalmayı başardı. Bu Chrome veri dökümü genellikle aşağıdaki dosya konumlarına dağıtılır (ilk konum en yaygın olanıdır):
- %USERS%publicprogramsvmwaredir mkc.exe
- %USERS%PublicM64.exe
Windows Kimlik Bilgisi Yöneticisi hırsızı
OilRig, tarayıcı veri boşaltma araçlarının yanı sıra Juicy Mix kampanyasında bir Windows Kimlik Bilgisi Yöneticisi hırsızı da kullandı. Bu araç, Windows Kimlik Bilgisi Yöneticisi'nden kimlik bilgilerini çalar ve CDumper ve EDumper'a benzer şekilde bunları % TEMP% dizin – bu sefer adlı bir dosyaya Güncelleme
(dolayısıyla IDumper adı). CDumper ve EDumper'dan farklı olarak IDumper, bir PowerShell betiği olarak uygulanır.
Tarayıcı dumper araçlarında olduğu gibi, OilRig'in Windows Kimlik Bilgisi Yöneticisinden kimlik bilgileri toplaması alışılmadık bir durum değildir. Daha önce OilRig'in operatörleri VALUEVAULT kullanılarak gözlemleniyordu. halka açık, Go tarafından derlenen kimlik bilgileri hırsızlığı aracı (bkz. 2019 HardPass kampanyası ve 2020 kampanyası), aynı amaç için.
Sonuç
OilRig, uzak sistemlerde komutları yürütmenin yeni yollarını bulurken, arka kapı benzeri yeteneklere sahip yeni implantlar yaratmaya ve yenilik yapmaya devam ediyor. Grup, Juicy Mix kampanyası için Mango adında yeni bir arka kapı oluşturmak üzere Outer Space kampanyasındaki C#/.NET Solar arka kapısını geliştirdi. Grup, büyük tarayıcılardan ve Windows Kimlik Bilgisi Yöneticisinden kimlik bilgilerini, tanımlama bilgilerini ve göz atma geçmişini toplamak için kullanılan bir dizi özel uzlaşma sonrası araç dağıtıyor. Bu yeniliklere rağmen OilRig, kullanıcı verilerini elde etmek için yerleşik yöntemlere güvenmeye devam ediyor.
WeLiveSecurity'de yayınlanan araştırmamızla ilgili herhangi bir sorunuz için lütfen şu adresten bizimle iletişime geçin: tehditintel@eset.com.
ESET Research, özel APT istihbarat raporları ve veri akışları sunar. Bu hizmetle ilgili tüm sorularınız için şu adresi ziyaret edin: ESET Tehdit İstihbaratı gidin.
IOCs
dosyalar
SHA-1 |
Dosya adı |
ESET algılama adı |
Açıklama |
3D71D782B95F13EE69E96BCF73EE279A00EAE5DB |
CV'm.doc |
VBA/OilRig.C |
Kötü niyetli makronun Mango'yu düşürdüğü belge. |
3699B67BF4E381847BF98528F8CE2B966231F01A |
chrome_log.vbs |
VBS/TrojanDropper.Agent.PCC |
VBS damlalığı. |
1DE4810A10FA2D73CC589CA403A4390B02C6DA5E |
Solar.exe |
MSIL/OilRig.E |
Güneş arka kapısı. |
CB26EBDE498ECD2D7CBF1BC498E1BCBB2619A96C |
Mango.exe |
MSIL/OilRig.E |
Mango arka kapısı (v1.0.0). |
C9D18D01E1EC96BE952A9D7BD78F6BBB4DD2AA2A |
Menora.exe |
MSIL/OilRig.E |
Mango arka kapısı (v1.1.1). |
83419CBA55C898FDBE19DFAFB5B1B207CC443190 |
EdgeUpdater.exe |
MSIL/PSW.Agent.SXJ |
Kenar veri taşıyıcısı. |
DB01095AFEF88138C9ED3847B5D8AF954ED7BBBC |
gr.exe |
MSIL/PSW.Agent.SXJ |
Chrome veri yükleyicisi. |
BE01C95C2B5717F39B550EA20F280D69C0C05894 |
ieupdater.exe |
PowerShell/PSW.Agent.AH |
Windows Kimlik Bilgisi Yöneticisi dökümü. |
6A1BA65C9FD8CC9DCB0657977DB2B03DACDD8A2A |
mkc.exe |
Win64/PSW.Agent.AW |
MKG – Chrome veri taşıyıcısı. |
94C08A619AF2B08FEF08B131A7A59D115C8C2F7B |
mkkc.exe |
Win64/PSW.Agent.AW |
MKG – Chrome veri taşıyıcısı. |
CA53B8EB76811C1940D814AAA8FE875003805F51 |
cmk.exe |
Win64/PSW.Agent.AW |
MKG – Chrome veri taşıyıcısı. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 |
CCXProcess.exe |
MSIL/OilRig.A |
SC5k indiricisi (32 bit sürüm). |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 |
acrotray.exe |
MSIL/OilRig.D |
SC5k indiricisi (64 bit sürüm). |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 |
düğüm.exe |
MSIL/OilRig.D |
SC5k indiricisi (64 bit sürüm). |
ağ
IP |
domain |
Hosting sağlayıcısı |
İlk görüş |
- Detaylar |
199.102.48[.]42 |
tecforsc-001-site1.gtempurl[.]com |
MarquisNet |
2022-07-29 |
N / A |
MITRE ATT&CK teknikleri
Bu tablo kullanılarak yapılmıştır sürümü 13 MITRE ATT&CK çerçevesinin
taktik |
ID |
Name |
Açıklama |
Kaynak geliştirme |
Uzlaşma Altyapısı: Sunucu |
OilRig, hem Outer Space hem de Juicy Mix kampanyalarında, kötü amaçlı araçlar ve C&C iletişimleri için meşru web sitelerinin güvenliğini ihlal etti. |
|
Yetenek Geliştirme: Kötü Amaçlı Yazılım |
OilRig, operasyonlarında kullanılmak üzere özel arka kapılar (Solar ve Mango), bir indirici (SC5k) ve bir dizi kimlik bilgisi hırsızlığı aracı geliştirdi. |
||
Aşama Yetenekleri: Kötü Amaçlı Yazılım Yükleme |
OilRig, kötü amaçlı bileşenleri C&C sunucularına yükledi ve önceden hazırlanmış dosyaları ve komutları Taslaklar SC365k'nin indirilmesi ve çalıştırılması için bir Office 5 hesabının e-posta dizini. |
||
Aşama Yetenekleri: Yükleme Aracı |
OilRig, C&C sunucularına kötü amaçlı araçlar yükledi ve önceden hazırlanmış dosyaları Taslaklar SC365k'nin indirilmesi ve çalıştırılması için bir Office 5 hesabının e-posta dizini. |
||
İlk Erişim |
Kimlik Avı: Hedefe Yönelik Kimlik Avı Eki |
OilRig muhtemelen Outer Space ve Juicy Mix kampanyalarını, VBS damlatıcıları eklenmiş kimlik avı e-postaları yoluyla dağıttı. |
|
infaz |
Zamanlanmış Görev/İş: Zamanlanmış Görev |
OilRig'in IDumper, EDumper ve CDumper araçları, adı verilen zamanlanmış görevleri kullanır. yani, Ed , ve cu kendilerini diğer kullanıcıların bağlamı altında yürütmek için. Solar ve Mango, ana işlevlerini yinelemeli olarak yürütmek için bir zamanlayıcı üzerinde bir C#/.NET görevi kullanır. |
|
Komut ve Komut Dosyası Yorumlayıcısı: PowerShell |
OilRig'in IDumper aracı, yürütme için PowerShell'i kullanıyor. |
||
Komut ve Komut Dosyası Yorumlayıcısı: Windows Komut Kabuğu |
OilRig'in Solar, SC5k, IDumper, EDumper ve CDumper kullanımı cmd.exe Sistemdeki görevleri yürütmek için. |
||
Komut ve Komut Dosyası Yorumlayıcısı: Visual Basic |
OilRig, Solar ve Mango arka kapılarını sunmak ve sürdürmek için kötü amaçlı bir VBScript kullanıyor. |
||
Yerel API |
OilRig'in Mango arka kapısı şunları kullanır: Süreci oluşturmak Yürütme için Windows API'si. |
||
Sebat |
Zamanlanmış Görev/İş: Zamanlanmış Görev |
OilRig'in VBS damlatıcısı adlı bir görevi zamanlıyor HatırlatmaGörevi Mango arka kapısı için kalıcılık sağlamak. |
|
Savunmadan Kaçınma |
Maskeleme: Meşru Adı veya Konumu Eşleştirin |
OilRig, kendisini savunuculardan ve güvenlik yazılımlarından gizlemek amacıyla kötü amaçlı yazılımı için meşru veya zararsız dosya adları kullanır. |
|
Gizlenmiş Dosyalar veya Bilgiler: Yazılım Paketleme |
OilRig'in kullandığı SAPIEN Komut Dosyası Paketleyicisi ve SmartAssembly karartıcı IDumper aracını gizlemek için. |
||
Gizlenmiş Dosyalar veya Bilgiler: Katıştırılmış Yükler |
OilRig'in VBS damlatıcıları, bir dizi base64 alt dizesi olarak içlerine gömülü kötü amaçlı yüklere sahiptir. |
||
Maskeleme: Maskeli Balo Görevi veya Hizmeti |
Yasal görünmek için Mango'nun VBS damlatıcısı, açıklamayla birlikte bir görev zamanlar Not defterini belirli bir zamanda başlat. |
||
Gösterge Kaldırma: Net Kalıcılık |
OilRig'in uzlaşma sonrası araçları, belirli bir süre sonra planlanmış görevlerini siler. |
||
Dosyaları veya Bilgileri Gizleme/Kod Çözme |
OilRig, dizelerini ve yerleşik yüklerini korumak için çeşitli gizleme yöntemleri kullanır. |
||
Güven Kontrollerini Yıkmak |
SC5k, indirme sitesi olarak genellikle güvenilir bir üçüncü taraf olan ve savunucuların sıklıkla gözden kaçırdığı Office 365'i kullanır. |
||
Savunmaları Bozmak |
OilRig'in Mango arka kapısı, uç nokta güvenlik çözümlerinin kullanıcı modu kodlarını belirli işlemlere yüklemesini engellemek için (henüz) kullanılmayan bir yeteneğe sahiptir. |
||
Kimlik Bilgileri Erişimi |
Parola Depolarından Kimlik Bilgileri: Web Tarayıcılarından Kimlik Bilgileri |
OilRig'in özel araçları MKG, CDumper ve EDumper, Chrome ve Edge tarayıcılarından kimlik bilgilerini, çerezleri ve tarama geçmişini alabilir. |
|
Parola Depolarından Kimlik Bilgileri: Windows Kimlik Bilgisi Yöneticisi |
OilRig'in özel kimlik bilgisi dökümü aracı IDumper, Windows Kimlik Bilgisi Yöneticisinden kimlik bilgilerini çalabilir. |
||
Keşif |
Sistem Bilgisi Keşfi |
Mango, ele geçirilen bilgisayar adını alır. |
|
Dosya ve Dizin Bulma |
Mango'nun belirli bir dizinin içeriğini numaralandırma komutu vardır. |
||
Sistem Sahibi/Kullanıcı Keşfi |
Mango kurbanın kullanıcı adını alır. |
||
Hesap Keşfi: Yerel Hesap |
OilRig'in EDumper, CDumper ve IDumper araçları, ele geçirilen ana bilgisayardaki tüm kullanıcı hesaplarını numaralandırabilir. |
||
Tarayıcı Bilgisi Keşfi |
MKG, Chrome geçmişini ve yer işaretlerini atar. |
||
Komuta ve kontrol |
Uygulama Katmanı Protokolü: Web Protokolleri |
Mango, C&C iletişimlerinde HTTP kullanır. |
|
Giriş Aracı Transferi |
Mango, daha sonra yürütülmek üzere C&C sunucusundan ek dosyalar indirme yeteneğine sahiptir. |
||
Veri Gizlemesi |
Solar ve SC5k, beklemedeki ve aktarım halindeki verileri gizlemek için gzip sıkıştırmasının yanı sıra basit bir XOR şifreleme yöntemi kullanır. |
||
Web Hizmeti: Çift Yönlü İletişim |
SC5k, dosyaları indirmek ve bilgisayara yüklemek için Office 365'i kullanır. Taslaklar meşru bir e-posta hesabındaki dizin. |
||
Veri Kodlama: Standart Kodlama |
Solar, Mango ve MKG base64, verileri C&C sunucusuna göndermeden önce çözer. |
||
Şifreli Kanal: Simetrik Şifreleme |
Mango anahtarla birlikte bir XOR şifresi kullanıyor Soru-4G C&C iletişiminde verileri şifrelemek için. |
||
Şifreli Kanal: Asimetrik Şifreleme |
Mango, C&C iletişimi için TLS'yi kullanıyor. |
||
dumping |
C2 Kanalı Üzerinden Sızma |
Mango, Solar ve SC5k, sızıntı için C&C kanallarını kullanıyor. |
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.welivesecurity.com/en/eset-research/oilrigs-outer-space-juicy-mix-same-ol-rig-new-drill-pipes/
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- $UP
- 1
- 10
- 11
- 12
- 13
- 14
- İNDİRİM
- 195
- 2014
- 2019
- 2020
- 2021
- 2022
- 2023
- 23
- 234
- 30
- 32
- 40
- 49
- 7
- 75
- 8
- 9
- a
- Yapabilmek
- Hakkımızda
- yukarıdaki
- Hesap
- Hesaplar
- Action
- aktif
- aktif
- faaliyetler
- aktörler
- katma
- ilave
- Ek
- Ayrıca
- adres
- adresleri
- Ekler
- Sonra
- sonradan
- karşı
- Danışman
- Hedeflenen
- Türkiye
- izin
- ALMA
- boyunca
- yanında
- Alfabe
- Ayrıca
- arasında
- an
- analiz
- analiz
- ve
- Başka
- herhangi
- api
- API'ler
- görünmek
- belirir
- uygulamalı
- APT
- Arap
- Arap Emirlikleri
- Arşiv
- ARE
- argümanlar
- Dizi
- AS
- monte
- Montaj
- astronomi
- At
- saldırılar
- Otomatik
- otomatik olarak
- arka kapı
- arka kapılar
- arka fon
- merkezli
- temel
- BE
- olmuştur
- önce
- başladı
- arkasında
- olmak
- altında
- dışında
- arasında
- Engellemek
- vücut
- imleri
- her ikisi de
- tarayıcı
- tarayıcılar
- Tarama
- yapılı
- iş
- fakat
- by
- çağrı
- denilen
- aramalar
- Kampanya
- Kampanyalar
- CAN
- yetenekleri
- kabiliyet
- yapılan
- dava
- belli
- değişiklik
- değişmiş
- değişiklikler
- Telegram Kanal
- kanallar
- karakteristik
- karakterler
- kimyasal
- seçim
- seçti
- krom
- şifre
- açık
- kod
- toplamak
- Toplama
- COM
- kombine
- ortak
- çoğunlukla
- iletişim kurmak
- Yakın İletişim
- İletişim
- Şirketin
- bileşenler
- uzlaşma
- Uzlaşılmış
- bilgisayar
- yapılandırma
- onay
- Sosyal medya
- bağlanır
- UAF ile
- içermek
- içerik
- bağlam
- devam
- devam ediyor
- dönüştürülmüş
- kurabiye
- olabilir
- yaratmak
- oluşturur
- Oluşturma
- oluşturma
- KİMLİK
- Tanıtım
- akım
- görenek
- veri
- veritabanları
- azalmak
- Defenders
- teslim etmek
- dağıtmak
- konuşlandırılmış
- dağıtma
- dağıtır
- Türetilmiş
- tarif edilen
- tanım
- Rağmen
- detaylı
- algılandı
- Bulma
- gelişmiş
- farklı
- keşfetti
- keşif
- görüntülenen
- dağıtıldı
- böler
- belge
- yok
- indir
- indirme
- taslak
- Damla
- düştü
- Damlama
- Damlalar
- dökmek
- her
- Daha erken
- Doğu
- doğu
- kenar
- ya
- E-posta
- e-postalar
- gömülü
- emirlikler
- istihdam
- etkinleştirmek
- şifreli
- şifreleme
- Son nokta
- Uç nokta güvenliği
- enerji
- cazip
- casusluk
- kurmak
- kurulmuş
- kaçırma
- Her
- örnek
- takas
- sadece
- yürütmek
- infaz
- çalıştırır
- yürütme
- infaz
- dumping
- Hulasa
- sahte
- fileto
- dosyalar
- Nihayet
- mali
- bulma
- bulgular
- Ad
- uydurma
- akış
- odak
- odaklanır
- takip etme
- şu
- İçin
- biçim
- bulundu
- iskelet
- itibaren
- 2021 gelen
- işlev
- işlevsellikleri
- işlevsellik
- fonksiyonlar
- daha fazla
- gelecek
- toplama
- genellikle
- oluşturulan
- üretir
- Küresel
- gol
- Google Chrome
- Hükümet
- Hükümetler
- grup
- Grubun
- Kolları
- esrar
- Var
- sağlık
- bundan dolayı
- okuyun
- HEX
- gizlemek
- tarih
- Çengeller
- ev sahibi
- Ne kadar
- HTML
- http
- HTTPS
- insan
- İnsan Kaynakları
- ID
- özdeş
- tanımlayıcı
- if
- görüntü
- uygulanan
- uygular
- gelişmiş
- in
- dahil
- Dahil olmak üzere
- gerçekten
- bilgi
- bilgi
- Altyapı
- ilk
- yenilik yapmak
- yenilikler
- Araştırma
- yüklü
- yerine
- talimatlar
- İstihbarat
- iç
- içine
- tanıttı
- Iran
- Israil
- IT
- ONUN
- kendisi
- İş
- json
- Temmuz
- sadece
- koruma
- anahtar
- bilinen
- Soyad
- başlattı
- tabaka
- en az
- Lübnan
- sol
- meşru
- sevmek
- Muhtemelen
- çizgi
- LINK
- Liste
- Listelenmiş
- listeleme
- Listeler
- yükleme
- yerel
- yer
- yerleri
- log
- Uzun
- bakıyor
- makine
- Makro
- makrolar
- Ana
- büyük
- kötü amaçlı yazılım
- müdür
- Atlantik kılıçbalığı
- maskeli balo
- Maç
- MD5
- mekanizma
- Bellek
- adı geçen
- mesaj
- mesajları
- Metadata
- yöntem
- yöntemleri
- Microsoft
- Orta
- Orta Doğu
- MILAN
- milisaniye
- dakika
- karıştırmak
- Moda
- Dahası
- çoğu
- çoğunlukla
- hamle
- çoklu
- isim
- adlı
- yani
- isimleri
- adlandırma
- ulusal
- yerli
- net
- yine de
- yeni
- sonraki
- NiST
- yok hayır
- dikkate değer
- özellikle
- numara
- sayılar
- elde etmek
- elde eder
- oluştu
- of
- Teklifler
- Office
- sık sık
- on
- ONE
- bir tek
- Operasyon
- operatörler
- seçenek
- or
- sipariş
- kuruluşlar
- organizasyonlar
- Diğer
- bizim
- dışarı
- uzayda
- çıktı
- tekrar
- geçersiz kılma
- genel bakış
- Kanal
- parametre
- parametreler
- Parti
- Şifre
- şifreleri
- yol
- icra
- dönem
- sebat
- Kimlik avı
- Platon
- Plato Veri Zekası
- PlatoVeri
- Lütfen
- Nokta
- noktaları
- Portal
- pozisyon
- belki
- Çivi
- PowerShell
- pratikte
- öncel
- önceki
- Önceden
- birincil
- özel
- muhtemelen
- süreç
- İşlenmiş
- Süreçler
- PLATFORM
- korumak
- protokol
- sağlamak
- yayınlanan
- amaç
- sorgular
- rasgele
- daha doğrusu
- Okuma
- Alınan
- son
- kayıt olmak
- ilgili
- güvenmek
- uzak
- giderme
- çıkarıldı
- yerine
- rapor
- Raporlar
- talep
- araştırma
- Araştırmacılar
- Kaynaklar
- sırasıyla
- yanıt
- sorumlu
- DİNLENME
- Ortaya çıkan
- Sonuçlar
- dönüş
- yorum
- teçhizat
- koşmak
- koşu
- s
- aynı
- İndirim
- kaydedilmiş
- tasarruf
- testere
- program
- tarifeli
- plan
- şemaları
- senaryo
- DENİZ
- İkinci
- saniye
- Bölüm
- Sektörler
- güvenlik
- görmek
- görüldü
- seçilmiş
- seçim
- gönderme
- gönderir
- gönderdi
- Dizi
- hizmet vermek
- sunucu
- Sunucular
- hizmet
- Hizmetler
- set
- birkaç
- köpekbalığı
- Kabuk
- gösterilen
- Gösteriler
- benzer
- benzerlikler
- Basit
- beri
- yer
- küçük
- So
- Yazılım
- güneş
- Çözümler
- biraz
- uzay
- özel
- Belirtilen
- yayılma
- istif
- Aşama
- sahneleme
- standart
- başlar
- top çalma
- adım
- Basamaklar
- çalıntı
- dur
- saklı
- mağaza
- dizi
- sonraki
- Daha sonra
- böyle
- Destekler
- anahtarlamalı
- sembol
- sistem
- Sistemler
- tablo
- alınan
- alır
- Hedef
- Hedeflenen
- hedefleme
- hedefler
- Görev
- görevleri
- Teknik
- Teknik Analiz
- telekomünikasyon
- göre
- o
- The
- ve bazı Asya
- Onları
- kendilerini
- sonra
- Orada.
- Bunlar
- onlar
- işler
- Üçüncü
- Re-Tweet
- tehdit
- tehdit aktörleri
- Tehdit Raporu
- boyunca
- Böylece
- engellemek
- Kravatlar
- zaman
- Başlık
- için
- araç
- araçlar
- üst
- transit
- taşıma
- Güven
- Güvenilir
- iki
- tip
- tipik
- tipik
- nadir
- altında
- Birleşik
- Birleşik arap
- Birleşik Arap Emirlikleri
- aksine
- kullanılmayan
- güncellenmiş
- Yüklenen
- Yükleme
- üzerine
- URL
- us
- kullanım
- Kullanılmış
- kullanıcı
- kullanıcılar
- kullanım
- kullanma
- v1
- değer
- Değerler
- değişken
- çeşitlilik
- çeşitli
- versiyon
- versiyon bilgisi
- sürümler
- sektörler
- çok
- üzerinden
- Kurban
- kurbanlar
- Türkiye Dental Sosyal Medya Hesaplarından bizi takip edebilirsiniz.
- ziyaret
- uyarı
- oldu
- yolları
- we
- ağ
- web sunucusu
- web hizmetleri
- Web sitesi
- web siteleri
- İYİ
- vardı
- hangi
- süre
- bütün
- genişlik
- irade
- pencereler
- ile
- içinde
- Word
- iş akışı
- çalışma
- yazı yazıyor
- yazılı
- Evet
- henüz
- zefirnet