áá±ááá¯ááºááœááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáá°ážá ááºáá¶áá¬ážááá±á¬á áá áºá¡á¬áž á¡áá±ážááááºážá áá áºááŒáá·áº ááááºážáá»á¯ááºááá¯ááºá á±ááá·áº Remote Access Trojan (RAT) malware ááᯠááŒáá·áºáá±ááẠááŸá¯á¶á·áá±á¬áºááŸá¯áá áºáá¯ááᯠááœá±á·ááŸááá²á·áááºá
áá»áœááºá¯ááºááá¯á· á á áºáá±ážáá¬ážáá±á¬á¡ááœá²á·ááẠáá°ážá ááºááŸá¯á¡ááœáẠáá®ážááŒá¬áž RAT áááá¬ážá á¯ááᯠáááœá±ážáá»ááºáá²á·ááŒááºážááŒá±á¬áá·áº ááœá²ááŒá¬ážááááŒááºáá«áááºá áááºááááºážá¡ááœááºáž ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááœáẠTrojan á¡áá»á¬ážá¡ááŒá¬áž ááœá±á·ááŸááá²á·ááẠ(á¡á¬ážáá¯á¶ážááŸá¬ ááœááºááœááºáá»ááºáá»áẠáááá¯ááºáááº)á á€á¡ááºá¹áá«áááºááŒáá·áºá á¡ááœá²á·ááẠá¡ááŒá®ážáá±á¬ááŸááºáá¬ážáá±á¬ ááŒáœááºáá»á¬ážáá«ááŸááá±á¬ ááá¹áá¬áá®áᬠááŒáœááºáá¯áááºááᯠá¡ááŸááºáá á±áááºá
áá°áááºážááᯠK. N. Rossikov á០âááŒáœááºáá»á¬ážááŸáá·áº ááŒáœááºáá²á·ááá¯á·áá±á¬ ááŒáœááºáá»á¬ážá á
á®ážááœá¬ážáá±ážá¡á á¡áá±ážááŒá®ážáá¯á¶ážâ (1908) á០áá°ážáá°áá¬ážáááºá
áá®ááá¹ááá«ááᯠáá¯ááºááŒá¯áá²á·á¡áá±áá²á· RATKing á
ááºážá
á¬ážáá±áá²á· á¡ááœá²á·ááᯠáá¬áááºáá±ážáá²á·áá«áááºá á€ááá¯á·á
áºááœááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠááá¯ááºááá¯ááºááŸá¯ááᯠáá¯ááºáá±á¬ááºáá¯á¶á áááºážááá¯á·á¡áá¯á¶ážááŒá¯ááá·áº áááááá¬áá»á¬ážááŸáá·áº á€áááºááááºážá¡ááœáẠáááºááœáŸááºážáá»ááºááŸáá·áº áááºáááºá áá»áœááºá¯ááºááá¯á·á ááá±á¬áá¬ážáá»á¬ážááᯠáá»áŸáá±ááœá¬ážáá«áááºá
ááá¯ááºááá¯ááºááŸá¯ááá¯ážáááºááŸá¯
á€áááºááááºážááŸá ááá¯ááºááá¯ááºááŸá¯á¡á¬ážáá¯á¶ážááẠá¡á±á¬ááºáá« algorithm á¡á ááŒá¯áá¯ááºáá²á·áááº-
- á¡áá¯á¶ážááŒá¯áá°ááẠGoogle Drive ááá¯á· ááá·áºááºáá áºáá¯áá«ááŸááá±á¬ phishing á¡á®ážáá±ážááºááᯠáááºáá¶áááŸááá²á·áááºá
- ááá·áºááºááᯠá¡áá¯á¶ážááŒá¯á áá¬ážáá±á¬ááºááẠWindows registry áá²ááá¯á· áá±á¬ááºáá¯á¶áž payload ááᯠáááºááẠDLL á á¬ááŒáá·áºááá¯ááºááᯠáááºááŸááºáá¬ážááá·áº á¡áá¹ááá¬ááºááŸááá±á¬ VBS script ááᯠáá±á«ááºážáá¯ááºáá¯ááºááŒá®áž áááºážááᯠáá¯ááºáá±á¬ááºááẠPowerShell ááᯠá áááºáá²á·áááºá
- DLL á á¬ááŒáá·áºááá¯ááºááẠáá±á¬ááºáá¯á¶áž payload ááᯠááá¯ážááœááºážáá²á·ááẠ- á¡ááŸááºááááºááœááºá ááá¯ááºááá¯ááºáá°áá»á¬ážá¡áá¯á¶ážááŒá¯áá±á¬ RAT áá»á¬ážáá²ááŸáá áºáá¯ááẠá áá áºáá¯ááºáááºážá ááºáá²ááá¯á· VBS script ááᯠautorun ááŒáá·áº á á¬áááºážááœááºážááŒá®áž áá°ážá ááºáá¬ážáá±á¬á ááºááœáẠááŒá±áá¯ááºáá°ááá¯ááºáááºááŒá áºáááºá
- áá±á¬ááºáá¯á¶áž payload á¡á¬áž system process áá áºáá¯ááœáẠáá¯ááºáá±á¬ááºáá²á·ááŒá®áž ááá¯ááºááá¯ááºáá°á¡á¬áž áá±á¬áá«ááá¯ážááŸááá±á¬ ááœááºáá»á°áá¬ááᯠááááºážáá»á¯ááºááá¯ááºá áœááºáž áá±ážáá²á·áááºá
ááááºážááááºážá¡á¬ážááŒáá·áº á€áá²á·ááá¯á· ááá¯ááºá á¬ážááŒá¯ááá¯ááºáááº-
ááá¯á·áá±á¬ááºá áá»áœááºá¯ááºááá¯á·ááẠmalware áá±ážááá¯á·ááŸá¯ááá¹ááá¬ážááᯠá
áááºáááºá
á¬ážáá±á¬ááŒá±á¬áá·áº áááá¡ááá·áºáá¯á¶ážááá·áºááᯠá¡á¬áá¯á¶á
áá¯ááºáá«áááºá áá²ááºáá²ááá¯ááºááá¯ááºá áá¯ááºáá±á¬ááºááŸá¯ ááá¹ááá¬ážááᯠáá»áœááºá¯ááºááá¯á· á¡áá±ážá
ááẠáá±á¬áºááŒáááºááá¯ááºáá«á áááºážááá¯á·ááᯠáá»ááºáá»ááºááŒáá·áºááŒáá·áºáááŸáááá¯ááºááẠ- á¡áá°ážááŒá¯ááá¯áááºáá»á¬ážááœáẠáá±á¬ááºážáá»áááºááŒá
áºá
á± ááá¯á·ááá¯áẠááœáá·áºáááºážáá±á¬á¡áááºážá¡ááŒá
áºááá±á¬áá»ááºáá»á¬ážá¡ááŒá
ẠááŒáá·áºáá±áááºááŒá
áºá
á± - ááá¯á·ááŒá±á¬áá·áº RATKing á¡ááœá²á·á¡ááœáẠáá°ážááŒá¬ážááŸá¯áááŸááá«á
ááá¯ááºááá¯ááºááŸá¯ á¡ááá·áºáá»á¬ážááᯠáá±á·áá¬ááŒááºážá
á¡ááá·áº áá ááŒá¬ážáá±á¬ááºážáá±á¬á¡á®ážáá±ážááº
ááá¯ááºááá¯ááºáá¶ááá°ááẠááá¯ážááœá¬ážáá±á¬á
á¬áá
áºá
á±á¬ááºááᯠáááºáá¶áááŸáááŒááºážááŒáá·áº á
áááºáá²á·ááẠ(ááá¯ááºááá¯ááºáá°áá»á¬ážááẠá
á¬áá¬ážááŒáá·áº ááá°áá®áá±á¬áá¯á¶á
á¶áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá²á·ááŒáááºá á¡á±á¬ááºááœááºáá±á¬áºááŒáá¬ážáá±á¬ áááºáá¬ážááŒááºáá¬ááºáá¯á¶ááœáẠá¥ááá¬áá
áºáá¯ááŒáááº)á áááºáá±á·áá»áºááœáẠááá¬ážáááºááááºážáááºážáá¬ážáá±á¬ ááá·áºááºáá
áºáá¯áá«ááŸááááºá drive.google.com
PDF á
á¬ááœááºá
á¬áááºážáá±á«ááºážáá¯ááºá
á¬áá»ááºááŸá¬ááá¯á· áŠážáááºááœá¬ážá
á±áá±á¬á
Phishing á¡á®ážáá±ážááºá¥ááá¬
ááá¯á·áá±á¬áº á¡ááŸááºááœááºá áááºážááẠáá¯á¶ážááááºáá¬ážááá·áº PDF á á¬ááœááºá á¬áááºážááá¯ááºáá±á¬áºáááºáž VBS áá¬ááºááœáŸááºážááŒá áºáááºá
á¡áá±á«áºá screenshot áá²á á¡á®ážáá±ážááºáá²á ááá·áºááºááᯠááŸáááºááá¯ááºáá¬áá²á· á¡áááºáá±ážáá¬ážáá²á· ááá¯ááºáá
áºáá¯áá«á Cargo Flight Details.vbs
. á€ááá
á¹á
ááœááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠááá¯ááºááᯠááá¬ážáááºá
á¬ááœááºá
á¬áááºážá¡ááŒá
Ạáá¯á¶áá»ááºáááºááẠáááŒáá¯ážá
á¬ážáá²á·áá±á
áá
áºáá»áááºáááºážááŸá¬áááºá á€áááºááááºážááá
áºá
áááºáá
áºááá¯ááºážá¡áá±ááŒáá·áºá áá»áœááºá¯ááºááá¯á·ááẠá¡áááºááŸá áá¬ááºááœáŸááºážáá
áºáá¯ááᯠááŸá¬ááœá±ááœá±á·ááŸááá²á·áááºá Cargo Trip Detail.pdf.vbs
. Windows ááẠááá¯áẠextension áá»á¬ážááᯠáá°áááºážá¡ááá¯ááºáž áá¯á¶ážááœááºáá¬ážáá±á¬ááŒá±á¬áá·áº ááá¬ážááẠPDF á¡ááœáẠááœááºááœá¬ážááá¯ááºáááºá ááŸááºáá«áááºá á€ááá
á¹á
ááœááºá VBS áá¬ááºááœáŸááºážááŸáá·áº ááá¯ááºáá®ááá·áº áááºážáá¡áá¯ááºááœááºááŒá±á¬áá·áº áá¶ááááᯠááŸáá¯ážááœááá¯ááºáá±ážáááºá
á€á¡ááá·áºááœááºá áá¬ážáá±á¬ááºááẠááŸáá·áºá á¬ážááŸá¯ááᯠááŸááºááááá¯ááºáááº- áá±á«ááºážáá¯ááºáá¯ááºáá¬ážáá±á¬ááá¯ááºáá»á¬ážááᯠá áá¹ááá·áºááá¯ááºážáá»áŸ á¡áá®ážáááºááŒáá·áºááŸá¯ááŒáá·áºáá«á ááá¯á·áá¬ááœááºá ááá¯ááá¯á·áá±á¬ ááŒá¬ážáá±á¬ááºážááŒááºáž ááŸá¯á¶á·áá±á¬áºááŸá¯áá»á¬ážááœááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠáááááá¬ážáááá±á¬ ááá¯á·ááá¯áẠá¡áá»ááºá ááᯠá¡áá¯á¶ážááŒá¯áá°á¡áá±á«áº áááŒá¬áá á¡á¬ážááá¯ážááŒáááºá
á¡ááá·áº 2. VBS áá¬ááºááœáŸááºáž áá¯ááºáá±á¬ááºáá»ááº
á¡áá¯á¶ážááŒá¯áá°á á¡ááŸááºááááºááœáá·áºááá¯ááºááá·áº VBS script ááẠWindows registry ááœáẠDLL á á¬ááŒáá·áºááá¯ááºááᯠá á¬áááºážááœááºážáá²á·áááºá áá¬ááºááœáŸááºážááᯠááŸá¯ááºááœá±ážá á±áá²á·áááº- áááºážááŸá á á¬ááŒá±á¬ááºážáá»á¬ážááᯠáá¬ááá¯ááºá¡áá¹ááá¬ááŒáá·áº ááá¯ááºážááŒá¬ážáá¬ážáá±á¬ ááá¯ááºáá»á¬ážá¡ááŒá Ạáá±ážáá¬ážáá¬ážáááºá
ááŸá¯ááºááœá±ážáá±áá±á¬ áá¬ááºááœáŸááºážá á¥ááá¬
deobfuscation algorithm ááẠá¡áá±á¬áºáá±ážááá¯ážááŸááºážáá«áááº- ááááá¡áá¹ááá¬ááá¯ááºážááᯠááŸá¯ááºááœá±ážáá±áá±á¬ string á០áááºáá¯ááºááá¯ááºááŒá®ážáá±á¬áẠááááºá¡á¬áž base16 á០áá°áááºáž string ááá¯á· áá¯ááºááŒá±á¬ááºážááœá¬ážáá«áááºá á¥ááá¬á¡á¬ážááŒáá·áºááááºááá¯áž 57Q53s63t72s69J70r74e2El53v68m65j6CH6Ct
(á¡áá±á«áºá screenshot ááŸá¬ áá®ážáá±á¬ááºážááá¯ážááŒáá¬ážáá«áááº) ááá¬áá²á· á
á¬ááŒá±á¬ááºážá WScript.Shell
.
strings áá»á¬ážááᯠááŸááºážáá¯ááºáááºá¡ááœáẠPython áá¯ááºáá±á¬ááºáá»ááºááᯠá¡áá¯á¶ážááŒá¯áá²á·áááº-
def decode_str(data_enc):
return binascii.unhexlify(''.join([data_enc[i:i+2] for i in range(0, len(data_enc), 3)]))
á¡á±á¬ááºááœááºá á á¬ááŒá±á¬ááºáž 9-10 ááœááºá áá»áœááºá¯ááºááá¯á·ááẠDLL ááá¯ááºááᯠdeobfuscation ááŒá áºá á±áá±á¬áááºááá¯ážááᯠáá®ážáá±á¬ááºážááá¯ážááŒáá«áááºá PowerShell ááᯠá¡áá¯á¶ážááŒá¯á áá±á¬ááºá¡ááá·áºááœáẠá áááºáá²á·áá°ááŒá áºáááºá
ááŸá¯ááºááœá±ážáá±áá±á¬ DLL ááŒáá·áº á
á¬ááŒá±á¬ááºáž
strings áá»á¬ážááᯠááŸá¯ááºááŸááºáááºáá±áá±á¬ááŒá±á¬áá·áº VBS script á០áá¯ááºáá±á¬ááºááŸá¯áá áºáá¯á á®ááᯠáá¯ááºáá±á¬ááºáá²á·áááºá
script ááᯠrun ááŒá®ážáá±á¬áẠfunction ááá¯áá±á«áºáá²á·áááºá wscript.sleep
- ááœáŸá±á·ááá¯ááºážáá¬ážáá±á¬ ááœááºáá»ááºááŸá¯ááᯠáá¯ááºáá±á¬ááºááẠáááºážááᯠá¡áá¯á¶ážááŒá¯áá²á·áááºá
ááá¯á·áá±á¬áẠscript ááẠWindows registry ááŸáá·áºá¡áá¯ááºáá¯ááºáááºá áááºážá¡ááœáẠWMI áááºážááá¬ááᯠá¡áá¯á¶ážááŒá¯áá²á·áááºá áááºážáá¡áá°á¡áá®ááŒáá·áº áá°ážááŒá¬ážáá±á¬áá±á¬á·áá áºáá¯ááᯠáááºáá®ážáá²á·ááŒá®áž á á®á á¥áºááá¯ááºáá±á¬ááá¯ááºáááá¯ááºáááºááᯠáááºážá ááá·áºáááºáá±á¬ááºááœáẠáá±ážáá¬ážáá²á·áááºá á¡á±á¬ááºáá« command ááᯠá¡áá¯á¶ážááŒá¯á WMI ááŸáááá·áº registry ááá¯áááºáá±á¬ááºáá²á·áááºá
GetObject(winmgmts {impersonationLevel=impersonate}!\.rootdefault:StdRegProv)
VBS script ááŒáá·áº registry ááœáẠááá·áºááœááºážááŸá¯
á¡ááá·áº 3á DLL á á¬ááŒáá·áºááá¯ááºááááºáááºááŸá¯
ááááá¡ááá·áºááœááºá á¡áá¹ááá¬ááºááŸááá±á¬ DLL ááẠáá±á¬ááºáá¯á¶áž payload ááá¯áááºááŒá®áž system process áá²ááá¯á· ááá¯ážááœááºážáᬠá¡áá¯á¶ážááŒá¯áá°á¡áá±á¬áá·áºáááºáá±á¬á¡áá« VBS script ááᯠá¡ááá¯á¡áá»á±á¬ááºá áááºááŒá±á¬ááºážáá±áá»á¬á á±áá«áááºá
PowerShell ááŸáááá·áºáá¯ááºáá±á¬ááºáá«á
PowerShell ááœáẠá¡á±á¬ááºáá« command ááᯠá¡áá¯á¶ážááŒá¯á DLL ááᯠáá¯ááºáá±á¬ááºáá²á·áááº
[System.Threading.Thread]::GetDomain().Load((ItemProperty HKCU:///Software///<rnd_sub_key_name> ).<rnd_value_name>);
[GUyyvmzVhebFCw]::EhwwK('WScript.ScriptFullName', 'rWZlgEtiZr', 'WScript.ScriptName'),0
á€á¡áááá·áºááẠá¡á±á¬ááºáá«á¡ááá¯ááºáž áá¯ááºáá±á¬ááºáá²á·áááº-
- á¡áááºááŒáá·áº ááŸááºáá¯á¶áááºáááºááá¯ážáá±áá¬ááᯠáááºáá¶áááŸááá²á·áááºá
rnd_value_name
â á€áá±áá¬ááẠ.Net ááááºáá±á¬ááºážáá±á«áºááœáẠáá±ážáá¬ážáá¬ážáá±á¬ DLL ááá¯ááºáá áºáá¯ááŒá áºáááºá - ááá¬áá²á· .Net module ááᯠáá¯ááºáááºážá
ááºááŸááºáá¬ááºáá²ááᯠáááºáá±ážáááºá
powershell.exe
function ááᯠá¡áá¯á¶ážááŒá¯[System.Threading.Thread]::GetDomain().Load()
(Load() function á á¡áá±ážá áááºáá±á¬áºááŒáá»ááºMicrosoft áááºááá¯ááºááœáẠáááŸáááá¯ááºáá«áááºá ); - function ááá¯áá¯ááºáá±á¬ááºáá²á·áááºá
GUyyvmzVhebFCw]::EhwwK()
- DLL á á¬ááŒáá·áºááá¯ááºááᯠááá·áºáááºáá»ááºáá»á¬ážááŒáá·áº á áááºáá¯ááºáá±á¬ááºáááºávbsScriptPath
,xorKey
,vbsScriptName
. ááá·áºáááºáá»ááºxorKey
áá±á¬ááºáá¯á¶áž payload ááᯠdecrypt áá¯ááºáááºá¡ááœáẠáá±á¬á·ááŸáá·áº parameters áá»á¬ážááᯠááááºážáááºážáá¬ážáááºávbsScriptPath
ОvbsScriptName
autorun ááœáẠVBS script ááá¯ááŸááºáá¯á¶áááºáááºá¡ááœááºááŒá±á¬ááºážááœáŸá±á·áá²á·áááºá
DLL Library á ááŸááºážáááºážáá»ááº
decompied form ááœááºá bootloader ááẠá€áá²á·ááá¯á·ááŒááºááááº-
á
á¯á
ááºážáá¬ážáá±á¬ áá¯á¶á
á¶ááŒáá·áº Loader (DLL á
á¬ááŒáá·áºááá¯ááºááᯠá
áááºáá¯ááºáá±á¬ááºááá·áº áá¯ááºáá±á¬ááºáá»ááºááᯠá¡áá®áá±á¬ááºááŒáá·áº áá»ááºážáá¬ážáá¬ážáááº)
bootloader ááᯠ.Net Reactor protector ááŒáá·áº áá¬ááœááºáá¬ážáááºá de4dot utility ááẠá€á¡áá¬á¡ááœááºááᯠáááºááŸá¬ážááŒááºážá¡ááœáẠáá±á¬ááºážááœááºáá±á¬á¡áá¯ááºááŒá áºáááºá
ဠloader-
- payload ááᯠsystem process áá²ááá¯á· ááá¯ážááœááºážáá²á·ááẠ(á€á¥ááá¬ááœáẠáááºážááᯠááŒá¯áá¯ááºáá²á·áááºá
svchost.exe
); - áá»áœááºá¯ááºááẠautorun áááºá¡ááœáẠVBS script ááá¯ááá·áºáá²á·áááºá
Payload ááá¯ážááŒááºážá
PowerShell script áá¯áá±á«áºáá±á¬ function ááá¯ááŒáá·áºááŒáá«á áá¯á·á
PowerShell script ááŸáá±á«áºáá±á¬áá¯ááºáá±á¬ááºáá»ááº
á€áá¯ááºáá±á¬ááºáá»ááºááẠá¡á±á¬ááºáá«áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºáá²á·áááº-
- áá¯ááºááŸááºáá¬ážáá±á¬ áá±áá¬á¡ááœá²ááŸá
áºáᯠ(
array
Оarray2
screenshot ááœááº)á áááºážááá¯á·ááᯠáá°áá gzip áá¯á¶ážááŒá®áž ááááááºáá¬ážááŒá®áž áá±á¬á·ááŒáá·áº XOR algorithm ááŒáá·áº á á¬ááŸááºáá¬ážáááºáxorKey
; - ááœá²áá±áááºááŸááºáá¬ážáá±á¬ ááŸááºáá¬ááºáá±áá¬áá»á¬ážááá¯á· áá±áá¬ááᯠáá°ážáá°áááºá áá±áá¬
array
- ááŸááºáá¬ááºáá±áá¬ááᯠááœáŸááºááŒáá±ážááá¯ááºáá«áintPtr
(payload pointer
á ááááºááŸá±á¬á·ááœááº); áá±áá¬array2
- ááŸááºáá¬ááºáá±áá¬ááᯠááœáŸááºááŒáá±ážááá¯ááºáá«áintPtr2
(shellcode pointer
á ááááºááŸá±á¬á·ááœááº); - function áá¯áá±á«áºáááºá
CallWindowProcA
(áá±á«áºááŒáá»áẠá€áá¯ááºáá±á¬ááºáá»ááºááᯠMicrosoft áááºááá¯ááºááœáẠáááá¯ááºáááº) á¡á±á¬ááºáá«áá±á¬ááºáá»á¬ážááŸáá·áºá¡áá° (áá±á¬ááºáá»á¬ážáá¡áááºáá»á¬ážááᯠá¡á±á¬ááºááœááºáá±á¬áºááŒáá¬ážáá±á¬á áááºáá¬ážááŒááºáá¬ááºáá¯á¶ááœáẠáááºážááá¯á·ááẠáá°áá®áá±á¬á¡á á®á¡á á¥áºááŸááá±á¬áºáááºáž á¡áá¯ááºáá¯ááºááá·áºáááºááá¯ážáá»á¬ážááŒáá·áº)álpPrevWndFunc
- á¡áá»ááºá¡áááºááŸááœáŸááºááŒáááºáarray2
;hWnd
â executable file ááá¯á·áááºážááŒá±á¬ááºážáá«ááŸááá±á¬ string ááá¯ááœáŸááºááŒáá«ásvchost.exe
;Msg
- á¡áá»ááºá¡áááºááŸááœáŸááºááŒáááºáarray
;wParam
,lParam
â áááºáá±á·áá»áºáá«áá¬áá®áá¬áá»á¬áž (á€ááá á¹á ááœááºá á€áá±á¬ááºáá»á¬ážááᯠá¡áá¯á¶ážáááŒá¯áá² 0 áááºááá¯ážáá»á¬ážáá«ááŸááááº)á
- ááá¯ááºáá
áºáá¯ááᯠáááºáá®ážáá²á·áááºá
%AppData%MicrosoftWindowsStart MenuProgramsStartup<name>.url
áááºááŸá¬<name>
- áááºážááá¯á·ááẠparameter ááááá á¬áá¯á¶áž 4 áá¯á¶ážááŒá áºáááºávbsScriptName
(á ááááºááŸá±á¬á·ááœááºá á€áá¯ááºáá±á¬ááºáá»ááºáá«ááŸááá±á¬ áá¯ááºá¡ááá¯ááºážá¡á ááẠá¡áááá·áºáá±ážáá»ááºááŒáá·áº á áááºáááºáFile.Copy
) á€áááºážá¡á¬ážááŒáá·áºá áá¯á¶ážá áœá²áá°ááẠáá±á¬á·ááºá¡ááºáááºáá±á¬á¡áá«ááœááºá malware ááẠURL ááá¯ááºááᯠautorun ááá¯ááºáá»á¬ážá á¬áááºážááá¯á· áá±á«ááºážááá·áºáá²á·ááŒá®ážá ááá¯á·ááŒá±á¬áá·áº áá°ážá ááºáá¶áá¬ážááá±á¬ ááœááºáá»á°áá¬ááá¯á· áá»áááºáááºááœá¬ážáá²á·áááºá URL ááá¯ááºááœáẠscript ááá¯á· ááá·áºááºáá áºáá¯áá«ááŸááááº-
[InternetShortcut]
URL = file : ///<vbsScriptPath>
ááá¯ážááŒááºážááᯠáááºááá¯á·áá¯ááºáá±á¬ááºáá²á·áááºááᯠáá¬ážáááºáááºá áá»áœááºá¯ááºááá¯á·ááẠáá±áá¬á¡áááºážá¡áá»ááºážáá»á¬ážááᯠá
á¬ááŸááºáá¬ážáááºá array
О array2
. ááá¯ááá¯á·áá¯ááºáá±á¬ááºááẠáá»áœááºá¯ááºááá¯á·ááẠá¡á±á¬ááºáá« Python áá¯ááºáá±á¬ááºáá»ááºááᯠá¡áá¯á¶ážááŒá¯áá²á·áááºá
def decrypt(data, key):
return gzip.decompress(
bytearray([data[i] ^ key[i % len(key)] for i in range(len(data))])[4:])
ááááºá¡áá±ááŒáá·áºá
array
PE ááá¯ááºááŒá áºáá²á·ááẠ- áááºážááẠáá±á¬ááºáá¯á¶ážáá±ážáá»á±ááŸá¯ááŒá áºáááºáarray2
áá±ážááá¯ážááá¯á·á¡ááœáẠááá¯á¡ááºáá²á· shellcode áá«á
array áá
áºáá¯á០Shellcode array2
áá¯ááºáá±á¬ááºáá»ááºáááºááá¯ážá¡ááŒá
Ạáá»á±á¬áºááœá¬ážáá²á·áááºá lpPrevWndFunc
function áá
áºáá¯áá²ááá¯á· CallWindowProcA
. lpPrevWndFunc
- áá¯ááºážáá±á«áºááá¯ááŸá¯áá¯ááºáá±á¬ááºáá»ááºá áááºážáááŸá±á·ááŒá±ážáá¯á¶á
á¶ááẠá€áá²á·ááá¯á·ááŒá
áºáááº-
LRESULT WndFunc(
HWND hWnd,
UINT Msg,
WPARAM wParam,
LPARAM lParam
);
áá«ááŒá±á¬áá·áº function ááᯠrun áá²á·á¡áá« CallWindowProcA
ááá·áºáááºáá»ááºáá»á¬ážááŸáá·áºá¡áá° hWnd
, Msg
, wParam
, lParam
array á០shellcode ááá¯áá¯ááºáá±á¬ááºáááºá array2
áááºááŒá±áá»á¬ážááŸáá·áº hWnd
О Msg
. hWnd
executable file ááá¯á· áááºážááŒá±á¬ááºážáá«ááŸááá±á¬ string áá
áºáá¯áá®ááá¯á· pointer áá
áºáá¯ááŒá
áºáááºá svchost.exe
ááŸáá·áº Msg
- áá±á¬ááºáá¯á¶áž payload ááá¯ááœáŸááºááŒáá«á
shellcode á០function ááááºá
á¬áá»á¬ážááᯠáááºáá¶áááŸááá²á·áááºá kernel32.dll
О ntdll32.dll
áááºážááá¯á·áá¡áááºáá»á¬ážá០hash áááºááá¯ážáá»á¬ážááᯠá¡ááŒá±áá¶á áá±á¬ááºáá¯á¶áž payload ááᯠprocess memory áá²ááá¯á· ááá¯ážááœááºážáááºá svchost.exe
Process Hollowing áááºážááá¬ááᯠá¡áá¯á¶ážááŒá¯á (áááºážá¡ááŒá±á¬ááºážááᯠá€áá±áá¬ááœáẠáááºáááºáááºááŸá¯ááá¯ááºáá«áááºá
- áá¯ááºáááºážá
ááºáá
áºáá¯ááᯠáááºáá®ážáá²á·áááºá
svchost.exe
áá¯ááºáá±á¬ááºáá»ááºááᯠá¡áá¯á¶ážááŒá¯á ááá¯ááºážáá¶á·áá¬ážáá±á¬ á¡ááŒá±á¡áá±ááœááºCreateProcessW
; - ááá¯á·áá±á¬áẠáá¯ááºáááºážá
ááºá ááááºá
á¬áá±áá¬ááᯠá¡ááá¯ááºážááá±á¬áºááŒááŸá¯ááᯠááŸááºáá¬ážáááºá
svchost.exe
function ááᯠá¡áá¯á¶ážááŒá¯NtUnmapViewOfSection
. ááá¯á·ááŒá±á¬áá·áº áááá¯ááááºááẠáá°ááá¯ááºáááºážá ááºá ááŸááºáá¬ááºááᯠááœááºááŒá±á¬ááºá á±áááºásvchost.exe
ááá¯á·áá±á¬áẠá€ááááºá á¬ááŸá payload á¡ááœáẠmemory ááœá²áá±áá±ážáááºá - áá¯ááºáááºážá
ááºááááºá
á¬áá±áá¬ááŸá payload á¡ááœáẠááœá²áá±áááºááŸááºáá¬ážáá±á¬ ááŸááºáá¬ááº
svchost.exe
function ááᯠá¡áá¯á¶ážááŒá¯VirtualAllocEx
;
áá±ážááá¯ážááŒááºážáá¯ááºáááºážá
ááºá
áááºááŒááºážá
- payload á á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠprocess address space ááœáẠáá±ážáá²á·áááºá
svchost.exe
function ááᯠá¡áá¯á¶ážááŒá¯WriteProcessMemory
(á¡á±á¬ááºáá« screenshot ááœááºáá²á·ááá¯á·) - áá¯ááºáááºážá
ááºááᯠááŒááºáááºá
áááºáá²á·áááºá
svchost.exe
function ááᯠá¡áá¯á¶ážááŒá¯ResumeThread
.
áá±ážááá¯ážááŒááºážáá¯ááºáááºážá
ááºááᯠááŒá®ážááŒá±á¬ááºá
á±ááŒááºážá
áá±á«ááºážáá¯ááºáá¯ááºááá¯ááºáá±á¬ malware
áá±á¬áºááŒáá¬ážáá±á¬ áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážá ááááºá¡áá±ááŒáá·áºá ááá¯ááºážáááºá áºáá°ážá ááºááŸá¯á áá áºááœáẠRAT-class malware á¡áá»á¬ážá¡ááŒá¬ážááᯠááá·áºááœááºážáá²á·áááºá ááá°áá¬áá»á¬ážááẠáá°áá®áá±á¬ command ááŸáá·áº ááááºážáá»á¯ááºááá·áºáá¬áá¬ááᯠáááºáá±á¬ááºááœá¬ážáá±á¬ááŒá±á¬áá·áº á¡á±á¬ááºáá«ááá¬ážááœáẠááá¯ááºááá¯ááºáá°á¡á¯ááºá á¯áá áºá á¯áᶠáá»áœááºá¯ááºááá¯á· áá¯á¶ááŒááºá áááºáá»á áœá¬ áááºááŸááºáá±á¬áºááŒááá¯ááºááá·áº ááá¯ááºááá¯ááºááŸá¯ááœáẠá¡áá¯á¶ážááŒá¯ááá·áº malware ááᯠá á¬áááºážááŒá¯á á¯áá¬ážáááºá
Malware áá¡áááº
ááááá¯á¶ážááœá±á·áá¬á
SHA-256
C&C
áá±ážááá¯ážááá·áºáá¯ááºáááºážá ááº
Darktrack
16-04-2020
ea64fe672c953adc19553ea3b9118ce4ee88a14d92fc7e75aa04972848472702
kimjoy007.dyndns[.]org:2017
ááŒááºááá¯áž
Parallax
24-04-2020
b4ecd8dbbceaadd482f1b23b712bcddc5464bccaac11fe78ea5fd0ba932a4043
kimjoy007.dyndns[.]org:2019
ááŒááºááá¯áž
áá±á»á¬ááºá
18-05-2020
3786324ce3f8c1ea3784e5389f84234f81828658b22b8a502b7d48866f5aa3d3
kimjoy007.dyndns[.]org:9933
ááŒááºááá¯áž
ááœááºáááºááŒáá¯áž
20-05-2020
6dac218f741b022f5cad3b5ee01dbda80693f7045b42a0c70335d8a729002f2d
kimjoy007.dyndns[.]org:2000
ááŒááºááá¯áž
áá°áá®áá±á¬ ááááºážáá»á¯ááºááŸá¯áá¬áá¬ááŒáá·áº ááŒáá·áºáá±áá¬ážáá±á¬ malware ááá°áá¬áá»á¬áž
áá®áá±áá¬ááŸá¬ ááŸááºáá¬ážá áᬠá¡áá»ááºááŸá áºáá»ááºááŸááá«áááºá
áááá¡áá»ááºááŸá¬á ááá¯ááºááá¯ááºáá°áá»á¬ážááẠááá°áá®áá±á¬ RAT áááá¬ážá á¯áá»á¬ážá áœá¬ááᯠáá áºááŒáá¯ááºááẠá¡áá¯á¶ážááŒá¯áá²á·ááá·áºá¡áá»ááºááŒá áºáááºá á€á¡ááŒá¯á¡áá°ááẠáá°áááá»á¬ážáá±á¬ááá¯ááºáá¬á¡á¯ááºá á¯áá»á¬ážá¡ááœáẠáá¯á¶ááŸááºááá¯ááºáá±á áááºážááá¯á·ááŸáá·áºáááºážááŸá®ážáá±á¬ áá°áá®áá±á¬áááááá¬á¡á á¯á¶á¡áááºááᯠáááŒá¬ááá¡áá¯á¶ážááŒá¯áá±á·ááŸááááºá
áá¯áááá¡áá±ááŸáá·áºá RATKing ááẠá¡áá°ážááŒá¯ááá¯áááºáá»á¬ážááœáẠá á»á±ážááŸá¯ááºážáá»áá¯áá¬á áœá¬ááŒáá·áº áá±á¬ááºážáá»ááá·áº ááá¯á·ááá¯áẠopen source ááá±á¬áá»ááºáá áºáá¯ááẠááŒá áºáááºá
á¡áá±ážááŒá®ážáá±á¬ ááááá±ážáá»ááºáá áºáá¯ááŸáá·áºá¡áá° áááºááááºážááœááºá¡áá¯á¶ážááŒá¯ááá·áº malware á á¬áááºážááᯠáá±á¬ááºážáá«ážáá¡áá¯á¶ážááœáẠáá±ážáá¬ážáááºá
á¡ááœá²á·á¡ááŒá±á¬ááºáž
áá±á¬áºááŒáá¬ážááá·áº á¡áá¹ááá¬ááºááŸááá±á¬ ááŸá¯á¶á·áá±á¬áºááŸá¯ááᯠáá»áœááºá¯ááºááá¯á· ááááŸááá¬ážááá·áº ááá¯ááºááá¯ááºáá°áá»á¬ážáᶠá¡ááá¡ááŸááºááŒá¯á áááá«á ááá¯á¡áá»áááºááœááºá á€ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááᯠá¡ááŒá±áá¶áá»áá±á¬ á¡á¯ááºá á¯á¡áá áºá áá¯ááºáá±á¬ááºáááºáᯠáá»áœááºá¯ááºááá¯á· áá¯á¶ááŒááºáá«áááºá á¡á ááŸá¬áá±ážáá²á·áááá¯áá² RATKing ááá¯á· áá±á«áºáá«áááºá
VBS script ááá¯áááºáá®ážáááºá á¡ááœá²á·ááẠutility ááŸáá·áºáááºáá°áá±á¬ tool ááá¯á¡áá¯á¶ážááŒá¯áá¬ážááá¯ááºáááºá
- áá¯ááºáá±á¬ááºáá»ááºááᯠá¡áá¯á¶ážááŒá¯á ááŸá±á¬áá·áºááŸá±ážááá·áº áá¯ááºáá±á¬ááºáá»ááºááᯠáá¯ááºáá±á¬ááºáá«á
Sleep
; - WMI ááá¯áá¯á¶ážáá«á
- executable file áááá¯ááºáááºá¡á¬áž registry key parameter áá áºáá¯á¡ááŒá Ạá á¬áááºážááœááºážáá«á
- PowerShell ááá¯á¡áá¯á¶ážááŒá¯á áááºážáááá¯ááºááá¯ááºááááºá á¬áá±áá¬á á€ááá¯ááºááá¯áá¯ááºáá±á¬ááºáá«á
ááŸááºážáááºážáááºá¡ááœááºá VBS-Crypter ááá¯á¡áá¯á¶ážááŒá¯á áááºáá®ážáá¬ážáá±á¬ script áá áºáá¯ááŸá¡áá¯á¶ážááŒá¯ááá·áº registry ááŸááá¯ááºáá áºáá¯ááᯠrun ááẠPowerShell á¡áááá·áºááᯠááŸáá¯ááºážááŸááºáá«-
((Get-ItemPropertyHKCU:SoftwareNYANxCAT).NYANxCAT);$text=-join$text[-1..-$text.Length];[AppDomain]::CurrentDomain.Load([Convert]::FromBase64String($text)).EntryPoint.Invoke($Null,$Null);
ááá¯ááºááá¯ááºáá°áá»á¬áž script ááŸá¡áá¯á¶ážááŒá¯áá±á¬ á¡áá¬ážáá° command ááŒáá·áº-
[System.Threading.Thread]::GetDomain().Load((ItemProperty HKCU:///Software///<rnd_sub_key_name> ).<rnd_value_name>);
[GUyyvmzVhebFCw]::EhwwK('WScript.ScriptFullName', 'rWZlgEtiZr', 'WScript.ScriptName'),0
ááá¯ááºááá¯ááºáá°áá»á¬ážááẠNYAN-x-CAT á០á¡ááŒá¬ážáá±á¬ utility áá
áºáá¯ááᯠpayloads áá
áºáá¯á¡ááŒá
Ạá¡áá¯á¶ážááŒá¯áá²á·áááº-
C&C áá¬áá¬áá»á¬ážá ááááºá á¬áá»á¬ážááẠRATKing á á¡ááŒá¬ážáá°ážááŒá¬ážáá±á¬ á¡ááºá¹áá«áááºáá»á¬ážááᯠááœáŸááºááŒáááº- á¡ááœá²á·ááẠáááºááŒáœáá±á¬ DNS áááºáá±á¬ááºááŸá¯áá»á¬ážááᯠááŸá áºáááºááẠ(IoC ááá¬ážááœáẠC&C á á¬áááºážááᯠááŒáá·áºáá«)á
IoC
á¡á±á¬ááºáá±á¬áºááŒáá«ááá¬ážááẠáá±á¬áºááŒáá¬ážáá±á¬ áááºááááºážá¡ááœáẠááŒá áºááá¯ááºááŒá±á¡ááŸááá¯á¶ážááŒá áºááá¯ááºáá±á¬ VBS script áá»á¬ážá á¬áááºážá¡ááŒáá·áºá¡á á¯á¶ááᯠáá±ážáá«áááºá ဠscript áá»á¬ážá¡á¬ážáá¯á¶ážááẠáááºáá°ááŒá®áž ááá·áºááŸááºážááŒá±á¡á¬ážááŒáá·áº áá°áá®áá±á¬ áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºáá«áááºá áááºážááá¯á·á¡á¬ážáá¯á¶ážááẠRAT á¡áááºážá¡á á¬áž malware ááᯠáá¯á¶ááŒááºá áááºáá»ááá±á¬ Windows áá¯ááºáááºážá ááºáá²ááá¯á· ááá¯ážááœááºážáááºá áááºážááá¯á·á¡á¬ážáá¯á¶ážááœáẠDynamic DNS áááºáá±á¬ááºááŸá¯áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á á á¬áááºážááœááºážáá¬ážáá±á¬ C&C ááááºá á¬áá»á¬ážááŸááááºá
ááá¯á·áá±á¬áºá áá°áá®áá±á¬ C&C ááááºá á¬áá»á¬áž (á¥ááᬠkimjoy007.dyndns.org) ááŸááá°áá¬áá»á¬ážááŸááœá²á á€á ááá áºá¡á¬ážáá¯á¶ážááᯠáá°áá®áá±á¬ááá¯ááºááá¯ááºáá°áá»á¬ážá០ááŒáá·áºáá±áá¬ážááŒá±á¬ááºáž áá»áœááºá¯ááºááá¯á· ááá±á¬ááºážááá¯ááá¯ááºáá«á
Malware áá¡áááº
SHA-256
C&C
áá±ážááá¯ážááá·áºáá¯ááºáááºážá ááº
Parallax
b4ecd8dbbceaadd482f1b23b712bcddc5464bccaac11fe78ea5fd0ba932a4043
kimjoy007.dyndns.org
ááŒááºááá¯áž
00edb8200dfeee3bdd0086c5e8e07c6056d322df913679a9f22a2b00b836fd72
Hope.doomdns.org
ááŒááºááá¯áž
504cbae901c4b3987aa9ba458a230944cb8bd96bbf778ceb54c773b781346146
kimjoy007.dyndns.org
ááŒááºááá¯áž
1487017e087b75ad930baa8b017e8388d1e99c75d26b5d1deec8b80e9333f189
kimjoy007.dyndns.org
ááŒááºááá¯áž
c4160ec3c8ad01539f1c16fb35ed9c8c5a53a8fda8877f0d5e044241ea805891
Franco20.dvrdns.org
ááŒááºááá¯áž
515249d6813bb2dde1723d35ee8eb6eeb8775014ca629ede017c3d83a77634ce
kimjoy007.dyndns.org
ááŒááºááá¯áž
1b70f6fee760bcfe0c457f0a85ca451ed66e61f0e340d830f382c5d2f7ab803f
Franco20.dvrdns.org
ááŒááºááá¯áž
b2bdffa5853f29c881d7d9bff91b640bc1c90e996f85406be3b36b2500f61aa1
Hope.doomdns.org
ááŒááºááá¯áž
c9745a8f33b3841fe7bfafd21ad4678d46fe6ea6125a8fedfcd2d5aee13f1601
kimjoy007.dyndns.org
ááŒááºááá¯áž
1dfc66968527fbd4c0df2ea34c577a7ce7a2ba9b54ba00be62120cc88035fa65
Franco20.dvrdns.org
ááŒááºááá¯áž
c6c05f21e16e488eed3001d0d9dd9c49366779559ad77fcd233de15b1773c981
kimjoy007.dyndns.org
cmd
3b785cdcd69a96902ee62499c25138a70e81f14b6b989a2f81d82239a19a3aed
Hope.doomdns.org
ááŒááºááá¯áž
4d71ceb9d6c53ac356c0f5bdfd1a5b28981061be87e38e077ee3a419e4c476f9
2004para.ddns.net
ááŒááºááá¯áž
00185cc085f284ece264e3263c7771073a65783c250c5fd9afc7a85ed94acc77
Hope.doomdns.org
ááŒááºááá¯áž
0342107c0d2a069100e87ef5415e90fd86b1b1b1c975d0eb04ab1489e198fc78
Franco20.dvrdns.org
ááŒááºááá¯áž
de33b7a7b059599dc62337f92ceba644ac7b09f60d06324ecf6177fff06b8d10
kimjoy007.dyndns.org
ááŒááºááá¯áž
80a8114d63606e225e620c64ad8e28c9996caaa9a9e87dd602c8f920c2197007
kimjoy007.dyndns.org
ááŒááºááá¯áž
acb157ba5a48631e1f9f269e6282f042666098614b66129224d213e27c1149bb
Hope.doomdns.org
cmd
bf608318018dc10016b438f851aab719ea0abe6afc166c8aea6b04f2320896d3
Franco20.dvrdns.org
ááŒááºááá¯áž
4d0c9b8ad097d35b447d715a815c67ff3d78638b305776cde4d90bfdcb368e38
Hope.doomdns.org
ááŒááºááá¯áž
e7c676f5be41d49296454cd6e4280d89e37f506d84d57b22f0be0d87625568ba
kimjoy007.dyndns.org
ááŒááºááá¯áž
9375d54fcda9c7d65f861dfda698e25710fda75b5ebfc7a238599f4b0d34205f
Franco20.dvrdns.org
ááŒááºááá¯áž
128367797fdf3c952831c2472f7a308f345ca04aa67b3f82b945cfea2ae11ce5
kimjoy007.dyndns.org
ááŒááºááá¯áž
09bd720880461cb6e996046c7d6a1c937aa1c99bd19582a562053782600da79d
Hope.doomdns.org
ááŒááºááá¯áž
0a176164d2e1d5e2288881cc2e2d88800801001d03caedd524db365513e11276
paradickhead.homeip.net
ááŒááºááá¯áž
0af5194950187fd7cbd75b1b39aab6e1e78dae7c216d08512755849c6a0d1cbe
Hope.doomdns.org
ááŒááºááá¯áž
á á áºáá¯ááº
3786324ce3f8c1ea3784e5389f84234f81828658b22b8a502b7d48866f5aa3d3
kimjoy007.dyndns.org
ááŒááºááá¯áž
db0d5a67a0ced6b2de3ee7d7fc845a34b9d6ca608e5fead7f16c9a640fa659eb
kimjoy007.dyndns.org
ááŒááºááá¯áž
ááœááºáááºááŒáá¯áž
6dac218f741b022f5cad3b5ee01dbda80693f7045b42a0c70335d8a729002f2d
kimjoy007.dyndns.org
ááŒááºááá¯áž
Darktrack
ea64fe672c953adc19553ea3b9118ce4ee88a14d92fc7e75aa04972848472702
kimjoy007.dyndns.org
ááŒááºááá¯áž
WSH RAT
d410ced15c848825dcf75d30808cde7784e5b208f9a57b0896e828f890faea0e
anekesolution.linkpc.net
RegAsm
áá¶áá¯áá¬áá®áž
896604d27d88c75a475b28e88e54104e66f480bcab89cc75b6cdc6b29f8e438b
softmy.duckdns.org
RegAsm
QuasarRAT
bd1e29e9d17edbab41c3634649da5c5d20375f055ccf968c022811cd9624be57
darkhate-23030.portmap.io
RegAsm
12044aa527742282ad5154a4de24e55c9e1fae42ef844ed6f2f890296122153b
darkhate-23030.portmap.io
RegAsm
be93cc77d864dafd7d8c21317722879b65cfbb3297416bde6ca6edbfd8166572
darkhate-23030.portmap.io
RegAsm
933a136f8969707a84a61f711018cd21ee891d5793216e063ac961b5d165f6c0
darkhate-23030.portmap.io
RegAsm
71dea554d93728cce8074dbdb4f63ceb072d4bb644f0718420f780398dafd943
chrom1.myq-see.com
RegAsm
0d344e8d72d752c06dc6a7f3abf2ff7678925fde872756bf78713027e1e332d5
darkhate-23030.portmap.io
RegAsm
0ed7f282fd242c3f2de949650c9253373265e9152c034c7df3f5f91769c6a4eb
darkhate-23030.portmap.io
RegAsm
aabb6759ce408ebfa2cc57702b14adaec933d8e4821abceaef0c1af3263b1bfa
darkhate-23030.portmap.io
RegAsm
1699a37ddcf4769111daf33b7d313cf376f47e92f6b92b2119bd0c860539f745
darkhate-23030.portmap.io
RegAsm
3472597945f3bbf84e735a778fd75c57855bb86aca9b0a4d0e4049817b508c8c
darkhate-23030.portmap.io
RegAsm
809010d8823da84cdbb2c8e6b70be725a6023c381041ebda8b125d1a6a71e9b1
darkhate-23030.portmap.io
RegAsm
4217a2da69f663f1ab42ebac61978014ec4f562501efb2e040db7ebb223a7dff
darkhate-23030.portmap.io
RegAsm
08f34b3088af792a95c49bcb9aa016d4660609409663bf1b51f4c331b87bae00
darkhate-23030.portmap.io
RegAsm
79b4efcce84e9e7a2e85df7b0327406bee0b359ad1445b4f08e390309ea0c90d
darkhate-23030.portmap.io
RegAsm
12ea7ce04e0177a71a551e6d61e4a7916b1709729b2d3e9daf7b1bdd0785f63a
darkhate-23030.portmap.io
RegAsm
d7b8eb42ae35e9cc46744f1285557423f24666db1bde92bf7679f0ce7b389af9
darkhate-23030.portmap.io
RegAsm
def09b0fed3360c457257266cb851fffd8c844bc04a623c210a2efafdf000d5c
darkhate-23030.portmap.io
RegAsm
50119497c5f919a7e816a37178d28906fb3171b07fc869961ef92601ceca4c1c
darkhate-23030.portmap.io
RegAsm
ade5a2f25f603bf4502efa800d3cf5d19d1f0d69499b0f2e9ec7c85c6dd49621
darkhate-23030.portmap.io
RegAsm
189d5813c931889190881ee34749d390e3baa80b2c67b426b10b3666c3cc64b7
darkhate-23030.portmap.io
RegAsm
c3193dd67650723753289a4aebf97d4c72a1afe73c7135bee91c77bdf1517f21
darkhate-23030.portmap.io
RegAsm
a6f814f14698141753fc6fb7850ead9af2ebcb0e32ab99236a733ddb03b9eec2
darkhate-23030.portmap.io
RegAsm
a55116253624641544175a30c956dbd0638b714ff97b9de0e24145720dcfdf74
darkhate-23030.portmap.io
RegAsm
d6e0f0fb460d9108397850169112bd90a372f66d87b028e522184682a825d213
darkhate-23030.portmap.io
RegAsm
522ba6a242c35e2bf8303e99f03a85d867496bbb0572226e226af48cc1461a86
darkhate-23030.portmap.io
RegAsm
fabfdc209b02fe522f81356680db89f8861583da89984c20273904e0cf9f4a02
darkhate-23030.portmap.io
RegAsm
08ec13b7da6e0d645e4508b19ba616e4cf4e0421aa8e26ac7f69e13dc8796691
darkhate-23030.portmap.io
RegAsm
8433c75730578f963556ec99fbc8d97fa63a522cef71933f260f385c76a8ee8d
darkhate-23030.portmap.io
RegAsm
99f6bfd9edb9bf108b11c149dd59346484c7418fc4c455401c15c8ac74b70c74
darkhate-23030.portmap.io
RegAsm
d13520e48f0ff745e31a1dfd6f15ab56c9faecb51f3d5d3d87f6f2e1abe6b5cf
darkhate-23030.portmap.io
RegAsm
9e6978b16bd52fcd9c331839545c943adc87e0fbd7b3f947bab22ffdd309f747
darkhate-23030.portmap.io
RegAsmâ
source: www.habr.com