ESET 与巴西联邦警察合作,试图破坏 Grandoreiro 僵尸网络。 ESET 通过提供技术分析、统计信息以及已知的命令和控制 (C&C) 服务器域名和 IP 地址为该项目做出了贡献。由于 Grandoreiro 网络协议的设计缺陷,ESET 研究人员还能够一睹受害者的情况。
ESET 自动化系统已处理数以万计的 Grandoreiro 样本。该恶意软件自 2020 年 105 月左右开始使用的域生成算法 (DGA) 每天都会生成一个主域,并可选择生成多个故障安全域。 DGA 是 Grandoreiro 知道如何向 C&C 服务器报告的唯一方式。除了当前日期之外,DGA 还接受静态配置 - 截至撰写本文时,我们已经观察到 XNUMX 个此类配置。
Grandoreiro 的运营商滥用 Azure 和 AWS 等云提供商来托管其网络基础设施。 ESET 研究人员提供了对于识别负责设置这些服务器的帐户至关重要的数据。巴西联邦警察进行的进一步调查导致 身份识别和逮捕 控制这些服务器的个人。在这篇博文中,我们将探讨如何获取数据来协助执法部门执行这一破坏行动。
背景
格兰德雷罗 是众多之一 拉丁美洲银行木马。它至少从 2017 年起就一直活跃,ESET 研究人员从那时起就一直在密切跟踪它。 Grandoreiro 的目标是巴西和墨西哥,自 2019 年起也瞄准了西班牙(见图 1)。虽然西班牙是 2020 年至 2022 年期间最受攻击的国家,但在 2023 年,我们观察到重点明显转向墨西哥和阿根廷,后者是 Grandoreiro 的新成员。
就功能而言,Grandoreiro 自从我们上次发布以来并没有太大变化 2020 年的博文。我们在本节中简要概述了恶意软件,并在稍后深入研究了一些更改,主要是新的 DGA 逻辑。
当拉丁美洲银行木马成功入侵计算机时,它通常会向远程服务器发出 HTTP GET 请求,发送有关受感染计算机的一些基本信息。虽然较旧的 Grandoreiro 版本实现了此功能,但随着时间的推移,开发人员决定放弃它。
Grandoreiro 定期监视前台窗口以查找属于 Web 浏览器进程的窗口。当找到这样的窗口并且其名称与银行相关字符串的硬编码列表中的任何字符串匹配时,恶意软件才会启动与其 C&C 服务器的通信,每秒至少发送一次请求,直到终止。
操作员必须手动与受感染的机器交互才能窃取受害者的钱。该恶意软件允许:
- 挡住受害者的屏幕,
- 记录击键,
- 模拟鼠标和键盘活动,
- 共享受害者的屏幕,以及
- 显示虚假的弹出窗口。
Grandoreiro 经历了快速且持续的发展。有时,我们甚至每周都会看到几个新的构建,这使得跟踪变得困难。为了进行演示,2022 年 2 月,Grandoreiro 的运营商向二进制文件添加了版本标识符。在图 2022 中,我们显示了版本标识符更改的速度。从 2022 年 24 月到 XNUMX 年 XNUMX 月,平均每四天就有一个新版本。在 XNUMX 月 XNUMX 日之间长达一个月的时间里th,2022和June 22nd2022 年,我们继续看到 PE 编译时间不断进步的新样本,但它们缺少版本标识符。 27月XNUMX日th, 2022 版本标识符更改为 V37 从那时起我们就没有看到它发生变化,因此我们得出结论:该功能已被删除。
拉丁美洲银行木马 有很多共同点。 Grandoreiro 与其他拉丁美洲银行木马的相似之处主要在于其明显的核心功能以及将其下载程序捆绑在 MSI 安装程序中。过去,我们观察到一些其下载器被共享的案例 梅科蒂奥 和 瓦多克里斯特,尽管不是最近两年。 Grandoreiro 银行木马与其他家族的主要区别在于其独特的二进制填充机制,该机制大量填充最终的可执行文件(在我们的 2020 年的博文)。随着时间的推移,Grandoreiro 的运营商也将这种反分析技术添加到其下载器中。令我们惊讶的是,在 3 年第三季度,此功能已从银行木马和下载器二进制文件中完全删除,此后我们就再也没有观察到它。
自 2022 年 XNUMX 月以来,我们一直在追踪 第二种变体 Grandoreiro 的部分与主要部分有很大不同。我们在 2022 年 XNUMX 月、XNUMX 月和 XNUMX 月的小型活动中看到了它。基于其绝大多数 C&C 服务器域未解析、其核心功能经常更改以及其网络协议无法正常运行,我们坚信它是正在进行的工作;因此我们将重点关注这篇博文中的主要变体。
Grandoreiro 长期跟踪
专为自动、长期跟踪选定恶意软件系列而设计的 ESET 系统自 2017 年底以来一直在监控 Grandoreiro,提取版本信息、C&C 服务器、目标,并自 2020 年底以来提取 DGA 配置。
DGA追踪
DGA 配置被硬编码在 Grandoreiro 二进制文件中。每个配置都可以通过我们调用的字符串来引用 dga_id。对 DGA 使用不同的配置会产生不同的域。我们将在本文后面更深入地探讨 DGA 机制。
ESET 总共提取了 105 种不同的 dga_ids 来自我们已知的 Grandoreiro 样本。在我们的跟踪过程中,其中 79 个配置至少曾经生成过解析为活动 C&C 服务器 IP 地址的域名。
生成的域通过 No-IP 的动态 DNS 服务 (DDNS) 注册。 Grandoreiro 的运营商滥用该服务,频繁更改其域名以与 DGA 相对应,并随意更改 IP 地址。这些域解析的绝大多数 IP 地址都是由云提供商(主要是 AWS 和 Azure)提供的。表 1 说明了有关 Grandoreiro C&C 服务器使用的 IP 地址的一些统计数据。
表 1. 自我们开始跟踪以来有关 Grandoreiro C&C IP 地址的统计信息
资讯 | 一般 | 最低限度 | 最大 |
每天新的 C&C IP 地址数量 | 3 | 1 | 34 |
每日活跃 C&C IP 地址数量 | 13 | 1 | 27 |
C&C IP 地址的寿命(以天为单位) | 5 | 1 | 425 |
在我们开始跟踪生成的域及其关联的 IP 地址后不久,我们开始注意到由具有不同配置的 DGA 生成的许多域解析为相同的 IP 地址(如图 3 所示)。这意味着在某一天,受害者会受到不同样本的 Grandoreiro 样本的影响 dga_id 全部连接到同一个 C&C 服务器。这种现象并非巧合——我们在追踪过程中几乎每天都会观察到这种现象。
在极少数情况下,我们还观察到一个 IP 地址被不同的人重复使用。 dga_id 几天之后。只是这一次,Grandoreiro 用于建立连接的参数(在文本后面解释)也发生了变化。这意味着,与此同时,C&C 服务器端必须重新安装或重新配置。
我们最初的假设是 dga_id 每个 DGA 配置都是唯一的。后来证明这是不正确的——我们观察到两组不同的配置共享相同的配置 dga_id。表 2 显示了“jjk”和“gh”,其中“jjk”和“jjk(2)”对应于两种不同的 DGA 配置,与“gh”和“gh(2)”相同。
表 2 显示了我们能够观察到的簇。共享至少一个 IP 地址的所有 DGA 配置均位于同一集群及其关联的 dga_id已列出。占所有受害者不到 1% 的集群将被忽略。
表 2. Grandoreiro DGA 集群
集群ID |
dga_id 名单 |
簇的大小 |
占所有 C&C 服务器的百分比 |
占所有受害者的百分比 |
1 |
b、bbh、bbj、bbn、bhg、cfb、cm、cob、cwe、dee、dnv、dvg、dzr、E、eeo、eri、ess、fhg、fox、gh、gh(2)、hjo、ika、果酱、jjk、jjk(2)、JKM、jpy、k、kcy、kWn、md7、md9、MRx、mtb、n、Nkk、nsw、nuu、occ、p、PCV、pif、rfg、rox3、s、sdd、 sdg、sop、tkk、twr、tyj、u、ur4、vfg、vgy、vki、wtt、ykl、Z、zaf、zhf |
62 |
93.6% |
94% |
2 |
jl2、jly |
2 |
2.4% |
2.5% |
3 |
IBR |
1 |
0.8% |
1.6% |
4 |
吉业业 |
1 |
1.6% |
1.1% |
最大的集群包含 78% 的活跃集群 dga_ids。它负责我们所见过的所有 C&C 服务器 IP 地址的 93.6% 和所有受害者的 94%。唯一由 1 个以上组成的其他簇 dga_id 是簇 2。
有 来源 声称 Grandoreiro 作为恶意软件即服务 (MaaS) 运行。 Grandoreiro C&C 服务器后端不允许多个操作员同时进行活动。根据表2,绝大多数DGA产生的IP地址可以聚集在一起,没有明确的分布模式。最后,考虑到网络协议的高带宽要求(我们在博文末尾对此进行了深入探讨),我们认为不同的 C&C 服务器被用作原始负载平衡系统,并且 Grandoreiro 更有可能由一个单个团体或几个彼此密切合作的团体。
命令与控制追踪
Grandoreiro 对其网络协议的实施使 ESET 研究人员能够窥视幕后并了解受害者情况。 Grandoreiro C&C 服务器泄露有关所连接受害者的信息 在最初请求时 给每个新连接的受害者。也就是说,数据会因请求数量、请求间隔以及 C&C 服务器提供的数据的有效性而产生偏差。
连接到 Grandoreiro C&C 服务器的每个受害者都由一个 登录字符串 – Grandoreiro 在建立连接时构建的字符串。不同的构建使用不同的格式,不同的格式包含不同的信息。我们总结了可以从以下渠道获得的信息 登录字符串 表 3 中。“出现次数”列显示了我们见过的包含相应类型信息的所有格式的百分比。
表 3. 可从 Grandoreiro 受害者的信息概览 登录字符串
资讯 |
发生 |
课程描述 |
操作系统 |
100% |
受害者机器的操作系统。 |
计算机名 |
100% |
受害者机器的名称。 |
国家 |
100% |
Grandoreiro 样本的目标国家/地区(在恶意软件样本中硬编码)。 |
版本 |
100% |
版本 (版本字符串)的 Grandoreiro 样本。 |
银行代号 |
92% |
触发 C&C 连接的银行的代号(由 Grandoreiro 的开发人员分配)。 |
正常运行时间 |
25% |
受害者机器运行的时间(以小时为单位)。 |
高清屏幕分辨率 |
8% |
受害者主显示器的屏幕分辨率。 |
用户名 |
8% |
受害者的用户名。 |
其中三个字段值得更仔细的解释。国家/地区是 Grandoreiro 二进制文件中硬编码的字符串,而不是通过适当的服务获取的信息。因此,它更像是一个 拟 受害人所在国。
银行代号是 Grandoreiro 开发商与某家银行或其他金融机构相关的字符串。受害者访问了该银行的网站,从而触发了 C&C 连接。
版本字符串 是标识特定 Grandoreiro 版本的字符串。它在恶意软件中被硬编码,并包含一个字符串,用于标识特定的构建系列、版本(我们已经在简介中讨论过)和时间戳。表 4 说明了不同的格式及其所包含的信息。请注意,某些时间戳仅包含月份和日期,而其他时间戳也包含年份。
表 4. 不同列表 版本字符串 格式及其解析
版本字符串 |
构建ID |
版本 |
时间戳 |
丹尼洛 |
丹尼洛 |
无 |
无 |
(V37)(P1X)1207 |
P1X |
V37 |
12/07 |
(MX)2006 |
MX |
无 |
20/06 |
fox50.28102020 |
fox50 |
无 |
28/10/2020 |
MADMX(重新加载)电子邮件2607 |
MADMX(重新加载)电子邮件 |
无 |
26/07 |
人们可能会想说,构建 ID 实际上标识了操作员。然而,我们认为情况并非如此。该字符串的格式非常混乱,有时它仅指二进制文件可能构建的月份(例如(奥古斯托)2708)。此外,我们坚信 P1X 指 Grandoreiro 操作员使用的控制台,称为 像素记录器.
C&C 服务器跟踪 – 调查结果
在本节中,我们重点关注通过查询 C&C 服务器发现的内容。本节中列出的所有统计数据均直接从 Grandoreiro C&C 服务器获取,而不是从 ESET 遥测获取。
旧样本仍然活跃
每 登录字符串 我们观察到包含 版本字符串 其中绝大多数包含时间戳信息(参见表 3 和表 4)。虽然其中很多只包含日期和月份(这似乎是开发人员偶尔的选择),但最旧的通信样本带有时间戳 15/09/2020 – 那是从这个 DGA 首次引入 Grandoreiro 的时候开始的。最近的样本带有时间戳 12/23/2023.
操作系统分布
由于所有的 登录字符串 由于格式包含操作系统信息,我们可以准确地描绘哪些操作系统受到攻击,如图 4 所示。
(预期)国家分布
我们已经提到,Grandoreiro 使用硬编码值而不是查询服务来获取受害者的国家/地区。图 5 显示了我们观察到的分布。
Grandoreiro 会出现这种分布。有趣的是,它与图 1 中描绘的热图并不相关。最合乎逻辑的解释是,构建没有正确标记以类似于其预期目标。例如,硬编码标记根本没有反映阿根廷境内攻击的增加。巴西几乎占所有受害者的 41%,其次是墨西哥(占 30%)和西班牙(占 28%)。阿根廷、葡萄牙和秘鲁占比不到1%。有趣的是,我们看到一些(少于 10 名)受害者被标记为 PM (圣皮埃尔和密克隆群岛), GR (希腊),或 FR (法国)。我们认为这些要么是拼写错误,要么有其他含义,而不是针对这些国家。
另请注意,虽然 Grandoreiro 添加了来自拉丁美洲以外许多国家的目标 早在 2020 年,我们就观察到很少甚至没有针对这些国家的活动,图 5 也支持了这一点。
受害者人数
我们观察到,每天连接的受害者平均数量为 563。但是,这个数字肯定包含重复项,因为如果受害者长时间保持连接(我们观察到的情况经常如此),那么 Grandoreiro C&C 服务器将根据多个请求进行报告。
为了解决这个问题,我们定义了一个 独特 将受害者视为具有一组独特的识别特征(例如计算机名称、用户名等),同时忽略那些可能会发生变化的特征(例如正常运行时间)。这样我们就得到了 551 独特 受害者平均一天即可连接。
考虑到我们观察到的受害者在一年多的时间里不断连接到 C&C 服务器,我们计算出平均数量为 114 新的独特的 受害者每天都会连接到 C&C 服务器。我们忽略了这个数字 独特 我们之前已经观察过的受害者。
格兰多雷罗内部结构
让我们深入关注 Grandoreiro 的两个最关键的功能:DGA 和网络协议。
DGA
Grandoreiro 的运营商多年来已经实现了多种 DGA,最近的一种出现在 2020 年 XNUMX 月。虽然我们注意到一些细微的变化,但算法的核心从那以后就没有改变。
DGA 使用硬编码在二进制文件中的特定配置,存储为多个字符串。图 6 显示了一种这样的配置(其中 dga_id “bbj”),重新格式化为 JSON 以提高可读性。
在大多数情况下, 基域 场是 freedynamicdns.org or zapto.org。如前所述,Grandoreiro 使用 No-IP 进行域名注册。这 base64_alpha 字段对应于 DGA 使用的自定义 base64 字母表。这 月份替换 用于替换字符的月份数字。
dga_表 构成配置的主要部分。它由 12 个字符串组成,每个字符串有 35 个由 | 分隔的字段。每行的第一个条目是 dga_id。第二个也是最后一个条目代表该行的预期月份。其余 32 个字段分别代表该月中不同日期的值(至少有一个字段未使用)。
DGA 的逻辑如图 7 所示。该算法首先选择正确的行和其中的正确条目,将其视为四字节密钥。然后,它将当前日期格式化为字符串,并使用简单的 XOR 使用密钥对其进行加密。然后它会在前面添加 dga_id 对于结果,使用带有自定义字母表的 Base64 对结果进行编码,然后删除所有 = 填充字符。最终结果是子域,连同 基域,将用作当天的 C&C 服务器。红色突出显示的部分是故障安全机制,我们接下来讨论它。
Grandoreiro 在某些版本中实现了主域无法解析时的故障安全机制。这种机制并不存在于所有构建中,并且其逻辑已经改变了几次,但基本思想如图 7 所示。它使用的配置在我们分析的示例中是不变的,可以通过图 8 中所示的简单代码生成XNUMX. 每个条目由一个密钥、一个前缀和一个基本域组成。
故障安全算法占据了主要 C&C 子域的一部分。然后它会迭代所有配置条目,使用 XOR 对其进行加密并在前面添加前缀,类似于主要算法部分。
自 2022 年 64 月起,我们开始观察使用稍作修改的 DGA 的样本。该算法几乎保持相同,但不是在最后一步中对子域进行 Base2023 编码,而是在其前面添加了硬编码前缀。根据我们的跟踪,自 XNUMX 年 XNUMX 月左右以来,这种方法已成为主流方法。
网络协议
Grandoreiro 使用 RTC Portal,这是一组构建在 RTC Portal 之上的 Delphi 组件。 真瘦客户端软件开发工具包 它构建在 HTTP(S) 之上。 RTC 门户是 2017年停产 及其源代码发布于 GitHub上。本质上,RTC Portal 允许一个或多个控件远程访问一台或多台主机。主机和控件由称为网关的中介组件分隔开。
Grandoreiro 操作员使用控制台(充当控制端)连接到 C&C 服务器(充当网关)并与受感染的计算机(充当主机)进行通信。要连接到网关,需要三个参数:密钥、密钥长度和登录名。
密钥用于加密发送到服务器的初始请求。因此,服务器也需要知道密钥,以便解密最初的客户端请求。
密钥长度决定了握手期间建立的用于加密流量的密钥的长度。使用自定义流密码对流量进行加密。建立了两种不同的密钥——一种用于入站流量,一种用于出站流量。
登录名可以是任何字符串。网关要求每个连接的组件都有唯一的登录名。
Grandoreiro 使用秘密密钥和密钥长度值的两种不同组合,始终硬编码在二进制文件中,我们已经讨论过 登录字符串 用作登录名。
RTC 文档指出它一次只能处理有限数量的连接。考虑到每个连接的主机每秒至少需要发送一个请求,否则连接就会断开,我们认为 Grandoreiro 使用多个 C&C 服务器的原因是为了不压垮其中任何一个服务器。
结论
在这篇博文中,我们提供了对 Grandoreiro 长期跟踪的幕后一瞥,这有助于使这次破坏行动成为可能。我们已经深入描述了 Grandoreiro 的 DGA 的工作原理、同时存在多少种不同的配置,以及我们如何能够发现它们之间的许多 IP 地址重叠。
我们还提供了从 C&C 服务器获得的统计信息。这些信息提供了对受害者和目标的出色概述,同时也使我们能够看到影响的实际程度。
巴西联邦警察领导的破坏行动针对的是据信在 Grandoreiro 行动层级中处于高层的个人。 ESET将持续追踪 其他拉丁美洲银行木马 同时密切监视此次破坏行动后的任何 Grandoreiro 活动。
如果对我们在 WeLiveSecurity 上发表的研究有任何疑问,请通过以下方式联系我们 威胁intel@eset.com.
ESET Research 提供私人 APT 情报报告和数据源。 有关此服务的任何查询,请访问 ESET 威胁情报 页面上发布服务提醒。
国际石油公司
档
SHA-1 |
文件名 |
检测 |
课程描述 |
FB32344292AB36080F2D040294F17D39F8B4F3A8 |
Notif.FEL.RHKVYIIPFVBCGQJPOQà.msi |
Win32/Spy.Grandoreiro.DB |
MSI下载器 |
08C7453BD36DE1B9E0D921D45AEF6D393659FDF5 |
RYCB79H7B-7DVH76Y3-67DVHC6T20-CH377DFHVO-6264704.msi |
Win32/Spy.Grandoreiro.DB |
MSI下载器 |
A99A72D323AB5911ADA7762FBC725665AE01FDF9 |
PCRE.dll |
Win32/间谍.Grandoreiro.BM |
格兰德雷罗 |
4CDF7883C8A0A83EB381E935CD95A288505AA8B8 |
dll |
Win32/间谍.Grandoreiro.BM |
Grandoreiro(带有二进制填充) |
商业网络
IP |
域名 |
托管服务提供商 |
初见 |
更多信息 |
20.237.166[.]161 |
DGA 生成 |
Azure |
2024-01-12 |
C&C 服务器。 |
20.120.249[.]43 |
DGA 生成 |
Azure |
2024-01-16 |
C&C 服务器。 |
52.161.154[.]239 |
DGA 生成 |
Azure |
2024-01-18 |
C&C 服务器。 |
167.114.138[.]249 |
DGA 生成 |
OVH |
2024-01-02 |
C&C 服务器。 |
66.70.160[.]251 |
DGA 生成 |
OVH |
2024-01-05 |
C&C 服务器。 |
167.114.4[.]175 |
DGA 生成 |
OVH |
2024-01-09 |
C&C 服务器。 |
18.215.238[.]53 |
DGA 生成 |
AWS |
2024-01-03 |
C&C 服务器。 |
54.219.169[.]167 |
DGA 生成 |
AWS |
2024-01-09 |
C&C 服务器。 |
3.144.135[.]247 |
DGA 生成 |
AWS |
2024-01-12 |
C&C 服务器。 |
77.246.96[.]204 |
DGA 生成 |
维迪斯娜 |
2024-01-11 |
C&C 服务器。 |
185.228.72[.]38 |
DGA 生成 |
网络大师 |
2024-01-02 |
C&C 服务器。 |
62.84.100[.]225 |
无 |
维迪斯娜 |
2024-01-18 |
分发服务器。 |
20.151.89[.]252 |
无 |
Azure |
2024-01-10 |
分发服务器。 |
MITRE ATT&CK 技术
该表是使用 14版 MITRE ATT&CK 框架。
战术 |
ID |
名字 |
课程描述 |
资源开发 |
开发能力:恶意软件 |
Grandoreiro 开发人员开发自己的自定义下载器。 |
|
初始访问 |
網絡釣魚 |
Grandoreiro 通过网络钓鱼电子邮件进行传播。 |
|
执行 |
用户执行:恶意文件 |
Grandoreiro 迫使受害者手动执行网络钓鱼附件。 |
|
坚持 |
启动或登录自动启动执行:注册表运行键/启动文件夹 |
Grandoreiro 使用标准自动启动位置来实现持久性。 |
|
劫持执行流程:DLL搜索顺序劫持 |
Grandoreiro 是通过破坏 DLL 搜索顺序来执行的。 |
||
防御规避 |
去混淆/解码文件或信息 |
Grandoreiro 通常以受密码保护的 ZIP 存档形式分发。 |
|
混淆文件或信息:二进制填充 |
Grandoreiro EXE 曾经放大 .rsrc 具有大 BMP 图像的部分。 |
||
系统二进制代理执行:Msiexec |
Grandoreiro 下载程序捆绑在 MSI 安装程序中。 |
||
修改注册表 |
Grandoreiro 将其部分配置数据存储在 Windows 注册表中。 |
||
药物发现 |
应用程序窗口发现 |
Grandoreiro 根据窗口名称发现在线银行网站。 |
|
进程发现 |
Grandoreiro 根据进程名称发现安全工具。 |
||
软件发现:安全软件发现 |
Grandoreiro 检测银行保护产品的存在。 |
||
系统信息发现 |
Grandoreiro 收集有关受害者机器的信息,例如 %计算机名% 和操作系统。 |
||
购物 |
输入捕获:GUI 输入捕获 |
Grandoreiro 可以显示虚假的弹出窗口并捕获输入到其中的文本。 |
|
输入捕获:键盘记录 |
Grandoreiro 能够捕获击键。 |
||
电子邮件收集:本地电子邮件收集 |
Grandoreiro 的操作人员开发了一种从 Outlook 中提取电子邮件地址的工具。 |
||
指挥和控制 |
数据编码:非标准编码 |
Grandoreiro 使用 RTC,它使用自定义流密码对数据进行加密。 |
|
动态解析:域生成算法 |
Grandoreiro 仅依靠 DGA 来获取 C&C 服务器地址。 |
||
加密通道:对称密码学 |
在RTC中,加密和解密是使用相同的密钥完成的。 |
||
非标准端口 |
Grandoreiro 经常使用非标准端口进行分发。 |
||
应用层协议 |
RTC 构建在 HTTP(S) 之上。 |
||
渗出 |
通过 C2 通道进行渗透 |
Grandoreiro 将数据泄露到其 C&C 服务器。 |
|
影响力故事 |
系统关机/重启 |
Grandoreiro 可以强制系统重新启动。 |
- :具有
- :是
- :不是
- :在哪里
- ][p
- $UP
- 1
- 10
- 114
- 12
- 120
- 160
- 179
- 180
- 2017
- 2019
- 2020
- 2022
- 2023
- 237
- 32
- 35%
- 40
- 7
- 70
- 8
- 84
- 89
- 97
- a
- Able
- 关于
- 滥用
- 接受
- ACCESS
- 账号管理
- 账户
- 精准的
- 演戏
- 要积极。
- 活动
- 实际
- 通
- 添加
- 另外
- 地址
- 地址
- 后
- 针对
- 致力
- 算法
- 所有类型
- 让
- 允许
- 允许
- 允许
- 几乎
- 字母
- 已经
- 还
- 时刻
- 美国人
- 其中
- an
- 分析
- 分析
- 和
- 另一个
- 任何
- 出现
- 适当
- 约
- APT
- 档案
- 档案
- 保健
- 阿根廷
- 围绕
- AS
- 分配
- 协助
- 相关
- 假设
- At
- 攻击
- 尝试
- 自动化
- 远离
- AWS
- Azure
- 后端
- 带宽
- 银行
- 银行业
- 基地
- 基于
- 基本包
- 基础
- BE
- 因为
- 成为
- 很
- before
- 开始
- 背后
- 作为
- 相信
- 相信
- 属于
- 除了
- 更好
- 之间
- BHG
- 偏
- 最大
- 都
- 僵尸网络
- 巴西
- 浏览器
- 建立
- 建立
- 建
- 捆绑
- 但是
- by
- 计算
- 呼叫
- 被称为
- 来了
- 活动
- CAN
- 能力
- 能力
- 捕获
- 捕获
- 案件
- 例
- 一定
- 当然
- 更改
- 变
- 更改
- 改变
- 渠道
- 字符
- 特点
- 字符
- 选择
- 暗号
- 要求
- 清除
- 客户
- 密切
- 接近
- 云端技术
- 簇
- 码
- 代码
- 巧合
- 合作
- 采集
- 柱
- COM的
- 组合
- 通信
- 沟通
- 沟通
- 完全
- 元件
- 组件
- 妥协
- 折中
- 计算
- 一台
- 总结
- 配置
- 分享链接
- 已联繫
- 连接
- 地都
- 连接
- 考虑
- 组成
- 由
- 安慰
- 常数
- 经常
- 结构体
- CONTACT
- 包含
- 包含
- 继续
- 持续
- 贡献
- 控制
- 控制
- 合作
- 核心
- 正确
- 相应
- 对应
- 国家
- 国家
- 套餐
- 关键
- 电流
- 窗帘
- 习俗
- da
- 每天
- data
- 日期
- 天
- 一年中的
- 动态域名系统
- 决定
- 解码
- 更深
- 定义
- 演示
- 深度
- 描述
- 值得
- 设计
- 设计
- 检测
- 确定
- 开发
- 发达
- 开发
- 研发支持
- 不同
- 难
- 直接
- 发现
- 发现
- 讨论
- 讨论
- 屏 显:
- 显示器
- 无视
- 破坏
- 瓦解
- 区别
- 分布
- 分配
- 潜水
- DNS
- 文件
- 不
- 域
- 网站域名
- 域名
- 优势
- 完成
- 别
- 下降
- 下降
- 两
- 重复
- ,我们将参加
- 动态
- e
- 每
- 早
- 或
- 其他
- 邮箱地址
- 电子邮件
- 编码
- 加密
- 加密
- 加密
- 结束
- 截至
- 强制
- 条目
- 本质上
- 建立
- 成熟
- 建立
- 等
- 甚至
- EVER
- 所有的
- 例子
- 优秀
- 执行
- 执行
- 执行
- 存在
- 预期
- 解释
- 解释
- 提取
- 失败
- 假
- 家庭
- 专栏
- 特征
- 二月
- 联邦
- 联邦警察
- 少数
- 少
- 部分
- 字段
- 数字
- 档
- 最后
- 终于
- 金融
- 金融机构
- 找到最适合您的地方
- 姓氏:
- 缺陷
- 流
- 专注焦点
- 其次
- 以下
- 针对
- 力
- 格式
- 形式
- 发现
- 四
- 狐狸
- 骨架
- 法国
- 频繁
- 止
- 功能
- 运作
- 进一步
- 差距
- 网关
- 产生
- 代
- 发电机
- 得到
- 给
- 特定
- 一瞥
- 全球
- 希腊
- 团队
- 组的
- 民政事务总署
- 处理
- 有
- 重
- 帮助
- 于是
- 等级制度
- 高
- 突出
- 历史
- 举行
- 持有
- 主持人
- 为了
- HOURS
- 创新中心
- How To
- 但是
- HTTP
- HTTPS
- ID
- 主意
- 相同
- 确定
- 识别码
- 识别
- 确定
- if
- 说明
- 图片
- 图片
- 影响力故事
- 履行
- 实施
- in
- 不正确
- 增加
- 个人
- 信息
- 基础设施
- 初始
- 同修
- 输入
- 咨询内容
- 内
- 代替
- 机构
- 房源搜索
- 拟
- 相互作用
- 成
- 介绍
- 介绍
- 调查
- IP
- IP地址
- IP地址
- 问题
- 问题
- IT
- 它的
- 一月
- JPY
- JSON
- 七月
- 六月
- 保持
- 键
- 键
- 类
- 种
- 知道
- 已知
- 知道
- 大
- 名:
- 后来
- 拉丁语
- 拉丁美洲
- 法律
- 执法
- 层
- 最少
- 离开
- 导致
- 长度
- 减
- Level
- 喜欢
- 容易
- 有限
- Line
- 清单
- 已发布
- 本地
- 地点
- 逻辑
- 合乎逻辑的
- 登录
- 长
- 长时间
- 长期
- 看
- 占地
- 机
- 机
- 主要
- 主要
- 多数
- 使
- 制作
- 恶意
- 恶意软件
- 恶意软件即服务 (MaaS)
- 手动
- 许多
- 三月
- 标
- 标记
- 大规模
- 火柴
- 可能..
- 含义
- 手段
- 与此同时
- 机制
- 提到
- 方法
- 墨西哥
- 未成年人
- 改性
- 钱
- 显示器
- 监控
- 显示器
- 月
- 更多
- 最先进的
- MSI
- 许多
- 多
- 必须
- MX
- 姓名
- 名称
- 需要
- 网络
- 全新
- 新
- 下页
- 没有
- 注意
- 注意..
- 数
- 观察
- 获得
- 获得
- 明显
- OCC
- 场合
- 发生
- 十月
- of
- 提供
- 优惠精选
- 经常
- 老年人
- 最老的
- on
- 一旦
- 一
- 在线
- 网上银行
- 仅由
- 操作
- 运营
- 操作
- 操作系统
- 操作系统
- 操作
- 操作者
- 运营商
- or
- 秩序
- OS
- 其他名称
- 其它
- 我们的
- Outlook
- 学校以外
- 超过
- 简介
- 己
- 市盈率
- 页
- 参数
- 部分
- 过去
- 模式
- 为
- 百分比
- 执行
- 期间
- 坚持
- 秘鲁
- 现象
- 钓鱼
- 图片
- 皮埃尔
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 请
- Police
- 弹出式
- 门户网站
- 港口
- 葡萄牙
- 可能
- 存在
- 当下
- 压力
- 原始
- 私立
- 大概
- 过程
- 处理
- 产生
- 热销产品
- 进展
- 进展
- 项目
- 正确
- 保护
- 协议
- 协议
- 证明
- 提供
- 供应商
- 提供
- 优
- 代理
- 出版
- 蟒蛇
- Q3
- 很快
- 相当
- 快
- 率
- 宁
- 原因
- 最近
- 红色
- 简称
- 指
- 反映
- 在相关机构注册的
- 注册
- 注册处
- 其余
- 遗迹
- 远程
- 远程
- 移除了
- 报告
- 业务报告
- 代表
- 请求
- 要求
- 必须
- 岗位要求
- 需要
- 研究
- 研究人员
- 分辨率
- 解决
- 解决
- 解决
- 提供品牌战略规划
- 导致
- 运行
- 运行
- s
- 说
- SAINT
- 同
- 锯
- 对工资盗窃
- 屏风
- 搜索
- 其次
- 秘密
- 部分
- 部分
- 保安
- 看到
- 似乎
- 看到
- 选
- 提交
- 发送
- 发送
- 九月
- 系列
- 服务器
- 服务器
- 服务
- 服务
- 特色服务
- 集
- 套数
- 设置
- 几个
- 共用的,
- 共享
- 显示
- 如图
- 作品
- 侧
- 显著
- 类似
- 简易
- 同时
- 自
- 单
- 小
- So
- 软件
- 独自
- 一些
- 有时
- 或很快需要,
- 来源
- 源代码
- 西班牙
- 具体的
- Spot
- 价差
- 标准
- 开始
- 启动
- 州
- 静止
- 统计
- 统计
- 步
- 仍
- 存储
- 商店
- 流
- 串
- 非常
- 主题
- 顺利
- 这样
- 总结
- 支持
- 惊
- Switch 开关
- 系统
- 产品
- 表
- 采取
- 需要
- 针对
- 瞄准
- 目标
- 文案
- 技术分析
- 技术
- HAST
- 文本
- 比
- 这
- 信息
- 线
- 其
- 他们
- 然后
- 因此
- 博曼
- 他们
- 认为
- Free Introduction
- 那些
- 虽然?
- 数千
- 威胁
- 三
- 通过
- 次
- 时
- 时间戳
- 标题
- 至
- 一起
- 工具
- 工具
- 最佳
- 合计
- 向
- 跟踪时
- 跟踪
- 交通
- 治疗
- 引发
- 木马
- 二
- 经历
- 独特
- 直到
- 未使用
- 上
- 正常运行时间
- us
- 使用
- 用过的
- 使用
- 运用
- 平时
- 利用
- 利用
- 折扣值
- 价值观
- 变种
- 广阔
- 版本
- 版本信息
- 非常
- 通过
- 受害者
- 受害者
- 参观
- 参观
- 是
- 方法..
- we
- 卷筒纸
- 网页浏览器
- 您的网站
- 网站
- 周
- 井
- 为
- 什么是
- ,尤其是
- 这
- 而
- WHO
- 宽度
- 将
- 窗口
- 窗户
- 中
- 工作
- 合作
- 写作
- 年
- 年
- 产量
- 和风网
- 压缩