Fin mai, nous avons découvert une campagne visant à distribuer des chevaux de Troie d'accès à distance (RAT), des programmes permettant aux attaquants de contrôler à distance un système infecté.
Le groupe que nous avons examiné se distinguait par le fait qu’il n’avait sélectionné aucune famille RAT spécifique pour l’infection. Plusieurs chevaux de Troie ont été repérés lors d'attaques au cours de la campagne (qui étaient toutes largement disponibles). Avec cette particularité, le groupe nous rappelle le roi des rats, un animal mythique composé de rongeurs aux queues entrelacées.
L'original est tiré de la monographie de K. N. Rossikov « Souris et rongeurs ressemblant à des souris, les plus importants économiquement » (1908)
En l'honneur de cette créature, nous avons nommé le groupe que nous envisageons de RATKing. Dans cet article, nous expliquerons en détail comment les attaquants ont mené l'attaque, les outils qu'ils ont utilisés, et partagerons également nos réflexions sur l'attribution de cette campagne.
Progression de l'attaque
Toutes les attaques de cette campagne ont eu lieu selon l'algorithme suivant :
- L'utilisateur a reçu un e-mail de phishing contenant un lien vers Google Drive.
- À l'aide du lien, la victime a téléchargé un script VBS malveillant qui spécifiait une bibliothèque DLL pour charger la charge utile finale dans le registre Windows et a lancé PowerShell pour l'exécuter.
- La bibliothèque DLL a injecté la charge utile finale - en fait, l'un des RAT utilisés par les attaquants - dans le processus système et a enregistré un script VBS en exécution automatique afin de prendre pied dans la machine infectée.
- La charge utile finale a été exécutée dans un processus système et a donné à l'attaquant la possibilité de contrôler l'ordinateur infecté.
Schématiquement, cela peut être représenté ainsi :
Ensuite, nous nous concentrerons sur les trois premières étapes, puisque nous nous intéressons au mécanisme de diffusion des logiciels malveillants. Nous ne décrirons pas en détail le mécanisme de fonctionnement du malware lui-même. Ils sont largement disponibles – soit vendus sur des forums spécialisés, soit même distribués sous forme de projets open source – et ne sont donc pas propres au groupe RATKing.
Analyse des étapes d'attaque
Étape 1. E-mail de phishing
L'attaque a commencé lorsque la victime a reçu une lettre malveillante (les attaquants ont utilisé différents modèles de texte ; la capture d'écran ci-dessous montre un exemple). Le message contenait un lien vers un référentiel légitime drive.google.com, ce qui aurait conduit à une page de téléchargement de documents PDF.
Exemple d'e-mail de phishing
Cependant, en réalité, ce n'est pas du tout un document PDF qui a été chargé, mais un script VBS.
Lorsque vous avez cliqué sur le lien de l'e-mail dans la capture d'écran ci-dessus, un fichier nommé Cargo Flight Details.vbs. Dans ce cas, les attaquants n’ont même pas essayé de faire passer le fichier pour un document légitime.
Parallèlement, dans le cadre de cette campagne, nous avons découvert un script nommé Cargo Trip Detail.pdf.vbs. Il pourrait déjà passer pour un PDF légitime car Windows masque les extensions de fichiers par défaut. Certes, dans ce cas, les soupçons pourraient encore être éveillés par son icône, qui correspondait au script VBS.
A ce stade, la victime pourrait reconnaître la tromperie : il suffit d'examiner de plus près les fichiers téléchargés pendant une seconde. Cependant, dans de telles campagnes de phishing, les attaquants s’appuient souvent sur un utilisateur inattentif ou précipité.
Étape 2. Opération de script VBS
Le script VBS, que l'utilisateur pouvait ouvrir par inadvertance, enregistrait une bibliothèque DLL dans le registre Windows. Le script était obscurci : les lignes qu'il contenait étaient écrites sous forme d'octets séparés par un caractère arbitraire.
Exemple de script obscurci
L'algorithme de désobscurcissement est assez simple : un caractère sur trois a été exclu de la chaîne obscurcie, après quoi le résultat a été décodé de la base 16 dans la chaîne d'origine. Par exemple, à partir de la valeur 57Q53s63t72s69J70r74e2El53v68m65j6CH6Ct (mis en évidence dans la capture d'écran ci-dessus), la ligne résultante était WScript.Shell.
Pour désobscurcir les chaînes, nous avons utilisé la fonction Python :
def decode_str(data_enc):
return binascii.unhexlify(''.join([data_enc[i:i+2] for i in range(0, len(data_enc), 3)]))Ci-dessous, aux lignes 9 et 10, nous mettons en évidence la valeur dont la désobscurcissement a abouti à un fichier DLL. C'est lui qui a lancé l'étape suivante en utilisant PowerShell.
Chaîne avec DLL obscurcie
Chaque fonction du script VBS a été exécutée au fur et à mesure que les chaînes étaient désobscurcies.
Après avoir exécuté le script, la fonction a été appelée wscript.sleep — il a été utilisé pour effectuer une exécution différée.
Ensuite, le script a fonctionné avec le registre Windows. Pour cela, il a utilisé la technologie WMI. Avec son aide, une clé unique a été créée et le corps du fichier exécutable a été écrit dans son paramètre. Le registre a été accessible via WMI à l'aide de la commande suivante :
GetObject(winmgmts {impersonationLevel=impersonate}!\.rootdefault:StdRegProv)
Une entrée faite dans le registre par un script VBS
Étape 3. Fonctionnement de la bibliothèque DLL
Lors de la troisième étape, la DLL malveillante chargeait la charge utile finale, l'injectait dans le processus système et garantissait que le script VBS démarrait automatiquement lorsque l'utilisateur se connectait.
Exécuter via PowerShell
La DLL a été exécutée à l'aide de la commande suivante dans PowerShell :
[System.Threading.Thread]::GetDomain().Load((ItemProperty HKCU:///Software///<rnd_sub_key_name> ).<rnd_value_name>);
[GUyyvmzVhebFCw]::EhwwK('WScript.ScriptFullName', 'rWZlgEtiZr', 'WScript.ScriptName'),0Cette commande a fait ce qui suit :
- reçu des données de valeur de registre avec le nom
rnd_value_name— ces données étaient un fichier DLL écrit sur la plateforme .Net ; - chargé le module .Net résultant dans la mémoire du processus
powershell.exeen utilisant la fonction[System.Threading.Thread]::GetDomain().Load()(description détaillée de la fonction Load() ); - rempli la fonction
GUyyvmzVhebFCw]::EhwwK()- l'exécution de la bibliothèque DLL a commencé avec - avec des paramètresvbsScriptPath,xorKey,vbsScriptName. ParamètrexorKeystocké la clé pour déchiffrer la charge utile finale et les paramètresvbsScriptPathиvbsScriptNameont été transférés afin d'enregistrer un script VBS en exécution automatique.
Description de la bibliothèque DLL
Sous forme décompilée, le bootloader ressemblait à ceci :
Chargeur sous forme décompilée (la fonction avec laquelle l'exécution de la bibliothèque DLL a commencé est soulignée en rouge)
Le chargeur de démarrage est protégé par le protecteur .Net Reactor. L'utilitaire de4dot fait un excellent travail en supprimant ce protecteur.
Ce chargeur :
- injecté la charge utile dans le processus système (dans cet exemple, il
svchost.exe); - J'ai ajouté un script VBS à l'exécution automatique.
Injection de charge utile
Examinons la fonction appelée par le script PowerShell.
Fonction appelée par le script PowerShell
Cette fonction a effectué les actions suivantes :
- décrypté deux ensembles de données (
arrayиarray2dans la capture d'écran). Ils ont été initialement compressés à l'aide de gzip et chiffrés avec l'algorithme XOR avec la cléxorKey; - données copiées dans les zones de mémoire allouées. Données de
array- vers la zone mémoire pointéeintPtr(payload pointerdans la capture d'écran); données dearray2- vers la zone mémoire pointéeintPtr2(shellcode pointerdans la capture d'écran); - appelé la fonction
CallWindowProcA( Cette fonction est disponible sur le site de Microsoft) avec les paramètres suivants (les noms des paramètres sont listés ci-dessous, dans la capture d'écran ils sont dans le même ordre, mais avec des valeurs de travail) :lpPrevWndFunc- pointeur vers les données dearray2;hWnd— pointeur vers une chaîne contenant le chemin d'accès au fichier exécutablesvchost.exe;Msg- pointeur vers les données dearray;wParam,lParam— paramètres du message (dans ce cas, ces paramètres n'étaient pas utilisés et avaient des valeurs de 0) ;
- créé un fichier
%AppData%MicrosoftWindowsStart MenuProgramsStartup<name>.urlOù<name>- ce sont les 4 premiers caractères du paramètrevbsScriptName(dans la capture d'écran, le fragment de code avec cette action commence par la commandeFile.Copy). De cette manière, le logiciel malveillant ajoutait un fichier URL à la liste des fichiers à exécution automatique lorsque l'utilisateur se connectait et s'attachait ainsi à l'ordinateur infecté. Le fichier URL contenait un lien vers le script :
[InternetShortcut]
URL = file : ///<vbsScriptPath>
Pour comprendre comment s'est déroulée l'injection, nous avons décrypté les tableaux de données array и array2. Pour ce faire, nous avons utilisé la fonction Python suivante :
def decrypt(data, key):
return gzip.decompress(
bytearray([data[i] ^ key[i % len(key)] for i in range(len(data))])[4:])
En conséquence, nous avons découvert que :
arrayétait un fichier PE - c'est la charge utile finale ;array2était le shellcode nécessaire pour effectuer l’injection.
Shellcode à partir d'un tableau array2 passé comme valeur de fonction lpPrevWndFunc dans une fonction CallWindowProcA. lpPrevWndFunc — fonction de rappel, son prototype ressemble à ceci :
LRESULT WndFunc(
HWND hWnd,
UINT Msg,
WPARAM wParam,
LPARAM lParam
);
Ainsi, lorsque vous exécutez la fonction CallWindowProcA avec paramètres hWnd, Msg, wParam, lParam le shellcode du tableau est exécuté array2 avec des arguments hWnd и Msg. hWnd est un pointeur vers une chaîne contenant le chemin d'accès au fichier exécutable svchost.exeEt Msg — pointeur vers la charge utile finale.
Le shellcode a reçu des adresses de fonction de kernel32.dll и ntdll32.dll basé sur les valeurs de hachage de leurs noms et injecté la charge utile finale dans la mémoire du processus svchost.exeen utilisant la technique Process Hollowing (vous pouvez en savoir plus à ce sujet dans ce ). Lors de l'injection du shellcode :
- créé un processus
svchost.exeen état suspendu à l'aide de la fonctionCreateProcessW; - puis masqué l'affichage de la section dans l'espace d'adressage du processus
svchost.exeen utilisant la fonctionNtUnmapViewOfSection. Ainsi, le programme a libéré la mémoire du processus originalsvchost.exepour ensuite allouer de la mémoire pour la charge utile à cette adresse ; - mémoire allouée pour la charge utile dans l'espace d'adressage du processus
svchost.exeen utilisant la fonctionVirtualAllocEx;
Début du processus d'injection
- a écrit le contenu de la charge utile dans l'espace d'adressage du processus
svchost.exeen utilisant la fonctionWriteProcessMemory(comme dans la capture d'écran ci-dessous) ; - repris le processus
svchost.exeen utilisant la fonctionResumeThread.
Terminer le processus d'injection
Malware téléchargeable
À la suite des actions décrites, l'un des nombreux logiciels malveillants de classe RAT a été installé sur le système infecté. Le tableau ci-dessous répertorie les logiciels malveillants utilisés dans l'attaque, que nous pouvons attribuer en toute confiance à un groupe d'attaquants, puisque les échantillons ont accédé au même serveur de commande et de contrôle.
Nom du malware
Vu la première fois
SHA-256
C & C
Le processus dans lequel l'injection est effectuée
Piste sombre
16-04-2020
ea64fe672c953adc19553ea3b9118ce4ee88a14d92fc7e75aa04972848472702
kimjoy007.dyndns[.]org:2017
svchost
Parallaxe
24-04-2020
b4ecd8dbbceaadd482f1b23b712bcddc5464bccaac11fe78ea5fd0ba932a4043
kimjoy007.dyndns[.]org:2019
svchost
WARZONE
18-05-2020
3786324ce3f8c1ea3784e5389f84234f81828658b22b8a502b7d48866f5aa3d3
kimjoy007.dyndns[.]org:9933
svchost
Fil de réseau
20-05-2020
6dac218f741b022f5cad3b5ee01dbda80693f7045b42a0c70335d8a729002f2d
kimjoy007.dyndns[.]org:2000
svchost
Exemples de logiciels malveillants distribués avec le même serveur de contrôle
Deux choses sont ici remarquables.
Premièrement, le fait même que les attaquants ont utilisé plusieurs familles de RAT différentes à la fois. Ce comportement n'est pas typique des cybergroupes bien connus, qui utilisent souvent à peu près le même ensemble d'outils qui leur sont familiers.
Deuxièmement, RATKing a utilisé des logiciels malveillants soit vendus sur des forums spécialisés à bas prix, soit même un projet open source.
Une liste plus complète des logiciels malveillants utilisés dans la campagne, avec une mise en garde importante, est donnée à la fin de l'article.
À propos du groupe
Nous ne pouvons attribuer la campagne malveillante décrite à aucun attaquant connu. Pour l’instant, nous pensons que ces attaques ont été menées par un groupe fondamentalement nouveau. Comme nous l'avons écrit au début, nous l'avons appelé RATKing.
Pour créer le script VBS, le groupe a probablement utilisé un outil similaire à l'utilitaire du développeur . Ceci est indiqué par la similitude du script créé par ce programme avec celui des attaquants. Plus précisément, ils :
- effectuer une exécution différée à l'aide de la fonction
Sleep; - utiliser WMI ;
- enregistrer le corps du fichier exécutable en tant que paramètre de clé de registre ;
- exécutez ce fichier en utilisant PowerShell dans son propre espace d'adressage.
Pour plus de clarté, comparez la commande PowerShell pour exécuter un fichier du registre, qui est utilisé par un script créé à l'aide de VBS-Crypter :
((Get-ItemPropertyHKCU:SoftwareNYANxCAT).NYANxCAT);$text=-join$text[-1..-$text.Length];[AppDomain]::CurrentDomain.Load([Convert]::FromBase64String($text)).EntryPoint.Invoke($Null,$Null);avec une commande similaire à celle utilisée par le script des attaquants :
[System.Threading.Thread]::GetDomain().Load((ItemProperty HKCU:///Software///<rnd_sub_key_name> ).<rnd_value_name>);
[GUyyvmzVhebFCw]::EhwwK('WScript.ScriptFullName', 'rWZlgEtiZr', 'WScript.ScriptName'),0
Notez que les attaquants ont utilisé un autre utilitaire de NYAN-x-CAT comme l'une des charges utiles : .
Les adresses des serveurs C&C indiquent une autre particularité de RATKing : le groupe privilégie les services DNS dynamiques (voir la liste des C&C dans le tableau IoC).
IdC
Le tableau ci-dessous fournit une liste complète des scripts VBS qui peuvent très probablement être attribués à la campagne décrite. Tous ces scripts sont similaires et exécutent à peu près la même séquence d'actions. Tous injectent des logiciels malveillants de classe RAT dans un processus Windows fiable. Tous ont des adresses C&C enregistrées à l’aide des services Dynamic DNS.
Cependant, nous ne pouvons pas prétendre que tous ces scripts ont été distribués par les mêmes attaquants, à l'exception des échantillons avec les mêmes adresses C&C (par exemple, kimjoy007.dyndns.org).
Nom du malware
SHA-256
C & C
Le processus dans lequel l'injection est effectuée
Parallaxe
b4ecd8dbbceaadd482f1b23b712bcddc5464bccaac11fe78ea5fd0ba932a4043
kimjoy007.dyndns.org
svchost
00edb8200dfeee3bdd0086c5e8e07c6056d322df913679a9f22a2b00b836fd72
Hope.doomdns.org
svchost
504cbae901c4b3987aa9ba458a230944cb8bd96bbf778ceb54c773b781346146
kimjoy007.dyndns.org
svchost
1487017e087b75ad930baa8b017e8388d1e99c75d26b5d1deec8b80e9333f189
kimjoy007.dyndns.org
svchost
c4160ec3c8ad01539f1c16fb35ed9c8c5a53a8fda8877f0d5e044241ea805891
franco20.dvrdns.org
svchost
515249d6813bb2dde1723d35ee8eb6eeb8775014ca629ede017c3d83a77634ce
kimjoy007.dyndns.org
svchost
1b70f6fee760bcfe0c457f0a85ca451ed66e61f0e340d830f382c5d2f7ab803f
franco20.dvrdns.org
svchost
b2bdffa5853f29c881d7d9bff91b640bc1c90e996f85406be3b36b2500f61aa1
Hope.doomdns.org
svchost
c9745a8f33b3841fe7bfafd21ad4678d46fe6ea6125a8fedfcd2d5aee13f1601
kimjoy007.dyndns.org
svchost
1dfc66968527fbd4c0df2ea34c577a7ce7a2ba9b54ba00be62120cc88035fa65
franco20.dvrdns.org
svchost
c6c05f21e16e488eed3001d0d9dd9c49366779559ad77fcd233de15b1773c981
kimjoy007.dyndns.org
cmd
3b785cdcd69a96902ee62499c25138a70e81f14b6b989a2f81d82239a19a3aed
Hope.doomdns.org
svchost
4d71ceb9d6c53ac356c0f5bdfd1a5b28981061be87e38e077ee3a419e4c476f9
2004para.ddns.net
svchost
00185cc085f284ece264e3263c7771073a65783c250c5fd9afc7a85ed94acc77
Hope.doomdns.org
svchost
0342107c0d2a069100e87ef5415e90fd86b1b1b1c975d0eb04ab1489e198fc78
franco20.dvrdns.org
svchost
de33b7a7b059599dc62337f92ceba644ac7b09f60d06324ecf6177fff06b8d10
kimjoy007.dyndns.org
svchost
80a8114d63606e225e620c64ad8e28c9996caaa9a9e87dd602c8f920c2197007
kimjoy007.dyndns.org
svchost
acb157ba5a48631e1f9f269e6282f042666098614b66129224d213e27c1149bb
Hope.doomdns.org
cmd
bf608318018dc10016b438f851aab719ea0abe6afc166c8aea6b04f2320896d3
franco20.dvrdns.org
svchost
4d0c9b8ad097d35b447d715a815c67ff3d78638b305776cde4d90bfdcb368e38
Hope.doomdns.org
svchost
e7c676f5be41d49296454cd6e4280d89e37f506d84d57b22f0be0d87625568ba
kimjoy007.dyndns.org
svchost
9375d54fcda9c7d65f861dfda698e25710fda75b5ebfc7a238599f4b0d34205f
franco20.dvrdns.org
svchost
128367797fdf3c952831c2472f7a308f345ca04aa67b3f82b945cfea2ae11ce5
kimjoy007.dyndns.org
svchost
09bd720880461cb6e996046c7d6a1c937aa1c99bd19582a562053782600da79d
Hope.doomdns.org
svchost
0a176164d2e1d5e2288881cc2e2d88800801001d03caedd524db365513e11276
paradickhead.homeip.net
svchost
0af5194950187fd7cbd75b1b39aab6e1e78dae7c216d08512755849c6a0d1cbe
Hope.doomdns.org
svchost
Warzone
3786324ce3f8c1ea3784e5389f84234f81828658b22b8a502b7d48866f5aa3d3
kimjoy007.dyndns.org
svchost
db0d5a67a0ced6b2de3ee7d7fc845a34b9d6ca608e5fead7f16c9a640fa659eb
kimjoy007.dyndns.org
svchost
Fil de réseau
6dac218f741b022f5cad3b5ee01dbda80693f7045b42a0c70335d8a729002f2d
kimjoy007.dyndns.org
svchost
Piste sombre
ea64fe672c953adc19553ea3b9118ce4ee88a14d92fc7e75aa04972848472702
kimjoy007.dyndns.org
svchost
WSH RAT
d410ced15c848825dcf75d30808cde7784e5b208f9a57b0896e828f890faea0e
anekesolution.linkpc.net
RegAsm
de citron vert
896604d27d88c75a475b28e88e54104e66f480bcab89cc75b6cdc6b29f8e438b
softmy.duckdns.org
RegAsm
QuasarRAT
bd1e29e9d17edbab41c3634649da5c5d20375f055ccf968c022811cd9624be57
darkhate-23030.portmap.io
RegAsm
12044aa527742282ad5154a4de24e55c9e1fae42ef844ed6f2f890296122153b
darkhate-23030.portmap.io
RegAsm
be93cc77d864dafd7d8c21317722879b65cfbb3297416bde6ca6edbfd8166572
darkhate-23030.portmap.io
RegAsm
933a136f8969707a84a61f711018cd21ee891d5793216e063ac961b5d165f6c0
darkhate-23030.portmap.io
RegAsm
71dea554d93728cce8074dbdb4f63ceb072d4bb644f0718420f780398dafd943
chrom1.myq-see.com
RegAsm
0d344e8d72d752c06dc6a7f3abf2ff7678925fde872756bf78713027e1e332d5
darkhate-23030.portmap.io
RegAsm
0ed7f282fd242c3f2de949650c9253373265e9152c034c7df3f5f91769c6a4eb
darkhate-23030.portmap.io
RegAsm
aabb6759ce408ebfa2cc57702b14adaec933d8e4821abceaef0c1af3263b1bfa
darkhate-23030.portmap.io
RegAsm
1699a37ddcf4769111daf33b7d313cf376f47e92f6b92b2119bd0c860539f745
darkhate-23030.portmap.io
RegAsm
3472597945f3bbf84e735a778fd75c57855bb86aca9b0a4d0e4049817b508c8c
darkhate-23030.portmap.io
RegAsm
809010d8823da84cdbb2c8e6b70be725a6023c381041ebda8b125d1a6a71e9b1
darkhate-23030.portmap.io
RegAsm
4217a2da69f663f1ab42ebac61978014ec4f562501efb2e040db7ebb223a7dff
darkhate-23030.portmap.io
RegAsm
08f34b3088af792a95c49bcb9aa016d4660609409663bf1b51f4c331b87bae00
darkhate-23030.portmap.io
RegAsm
79b4efcce84e9e7a2e85df7b0327406bee0b359ad1445b4f08e390309ea0c90d
darkhate-23030.portmap.io
RegAsm
12ea7ce04e0177a71a551e6d61e4a7916b1709729b2d3e9daf7b1bdd0785f63a
darkhate-23030.portmap.io
RegAsm
d7b8eb42ae35e9cc46744f1285557423f24666db1bde92bf7679f0ce7b389af9
darkhate-23030.portmap.io
RegAsm
def09b0fed3360c457257266cb851fffd8c844bc04a623c210a2efafdf000d5c
darkhate-23030.portmap.io
RegAsm
50119497c5f919a7e816a37178d28906fb3171b07fc869961ef92601ceca4c1c
darkhate-23030.portmap.io
RegAsm
ade5a2f25f603bf4502efa800d3cf5d19d1f0d69499b0f2e9ec7c85c6dd49621
darkhate-23030.portmap.io
RegAsm
189d5813c931889190881ee34749d390e3baa80b2c67b426b10b3666c3cc64b7
darkhate-23030.portmap.io
RegAsm
c3193dd67650723753289a4aebf97d4c72a1afe73c7135bee91c77bdf1517f21
darkhate-23030.portmap.io
RegAsm
a6f814f14698141753fc6fb7850ead9af2ebcb0e32ab99236a733ddb03b9eec2
darkhate-23030.portmap.io
RegAsm
a55116253624641544175a30c956dbd0638b714ff97b9de0e24145720dcfdf74
darkhate-23030.portmap.io
RegAsm
d6e0f0fb460d9108397850169112bd90a372f66d87b028e522184682a825d213
darkhate-23030.portmap.io
RegAsm
522ba6a242c35e2bf8303e99f03a85d867496bbb0572226e226af48cc1461a86
darkhate-23030.portmap.io
RegAsm
fabfdc209b02fe522f81356680db89f8861583da89984c20273904e0cf9f4a02
darkhate-23030.portmap.io
RegAsm
08ec13b7da6e0d645e4508b19ba616e4cf4e0421aa8e26ac7f69e13dc8796691
darkhate-23030.portmap.io
RegAsm
8433c75730578f963556ec99fbc8d97fa63a522cef71933f260f385c76a8ee8d
darkhate-23030.portmap.io
RegAsm
99f6bfd9edb9bf108b11c149dd59346484c7418fc4c455401c15c8ac74b70c74
darkhate-23030.portmap.io
RegAsm
d13520e48f0ff745e31a1dfd6f15ab56c9faecb51f3d5d3d87f6f2e1abe6b5cf
darkhate-23030.portmap.io
RegAsm
9e6978b16bd52fcd9c331839545c943adc87e0fbd7b3f947bab22ffdd309f747
darkhate-23030.portmap.io
RegAsm
Source: habr.com