Sysmon Threat Analysis Guide၊ အပိုင်း ၁

ဤဆောင်းပါးသည် Sysmon ခြိမ်းခြောက်မှုခွဲခြမ်းစိတ်ဖြာမှုစီးရီး၏ပထမပိုင်းဖြစ်သည်။ စီးရီး၏အခြားအစိတ်အပိုင်းအားလုံး-

အပိုင်း 1- Sysmon Log Analysis နိဒါန်း (ငါတို့ဒီမှာ)
အပိုင်း 2- ခြိမ်းခြောက်မှုများကို ဖော်ထုတ်ရန် Sysmon Event Data ကို အသုံးပြုခြင်း။
အပိုင်း 3။ ဂရပ်များကို အသုံးပြု၍ Sysmon ခြိမ်းခြောက်မှုများ၏ အတွင်းကျကျ ခွဲခြမ်းစိတ်ဖြာခြင်း။

အကယ်၍ သင်သည် သတင်းအချက်အလက် လုံခြုံရေးတွင် အလုပ်လုပ်ပါက၊ သင် မကြာခဏ ဖြစ်ပွားနေသော တိုက်ခိုက်မှုများကို နားလည်ရန် လိုအပ်ပါသည်။ သင့်တွင် လေ့ကျင့်ထားသော မျက်လုံးရှိပြီးသားဖြစ်ပါက၊ သင်သည် “အကြမ်း” မလုပ်ဆောင်ရသေးသော မှတ်တမ်းများတွင် စံမဟုတ်သော လုပ်ဆောင်ချက်ကို ရှာဖွေနိုင်သည် - ဆိုပါစို့ PowerShell script တစ်ခု အလုပ်လုပ်သည် DownloadString အမိန့်ဖြင့် သို့မဟုတ် Word ဖိုင်အဖြစ် ဟန်ဆောင်ထားသော VBS script သည် Windows event log ရှိ နောက်ဆုံးလုပ်ဆောင်ချက်ကို ရိုးရှင်းစွာ လှိမ့်လိုက်ပါ။ ဒါပေမယ့် ဒါက တကယ့်ကို ခေါင်းကိုက်မှုကြီးပါပဲ။ ကံကောင်းစွာဖြင့်၊ Microsoft သည် တိုက်ခိုက်မှုခွဲခြမ်းစိတ်ဖြာမှုကို ပိုမိုလွယ်ကူစေသည့် Sysmon ကို ဖန်တီးခဲ့သည်။

Sysmon မှတ်တမ်းတွင်ပြသထားသည့် ခြိမ်းခြောက်မှုများနောက်ကွယ်ရှိ အခြေခံအယူအဆများကို နားလည်လိုပါသလား။ ကျွန်ုပ်တို့၏လမ်းညွှန်ချက်ကို ဒေါင်းလုဒ်လုပ်ပါ။ WMI ဖြစ်ရပ်များသည် သူလျှိုလုပ်ခြင်း၏ နည်းလမ်းတစ်ခုဖြစ်သည်။ အတွင်းလူများသည် အခြားဝန်ထမ်းများကို ခိုးကြောင်ခိုးဝှက် စောင့်ကြည့်လေ့လာနိုင်ပုံကို သင်သဘောပေါက်ပါသည်။ Windows event log နှင့်အလုပ်လုပ်ခြင်း၏အဓိကပြဿနာမှာ parent processes များအကြောင်းသတင်းအချက်အလက်မရှိခြင်းဖြစ်သည်၊ ဆိုလိုသည်မှာ။ ၎င်းမှ လုပ်ငန်းစဉ်များ၏ အထက်တန်းအဆင့်ကို နားလည်ရန် မဖြစ်နိုင်ပေ။ အခြားတစ်ဖက်တွင်၊ Sysmon မှတ်တမ်းတွင် ထည့်သွင်းရမည့် ပင်မလုပ်ငန်းစဉ် ID၊ ၎င်း၏အမည်နှင့် အမိန့်ပေးစာကြောင်းတို့ ပါဝင်သည်။ ကျေးဇူးတင်ပါတယ်၊ Microsoft။

ကျွန်ုပ်တို့၏စီးရီး၏ပထမအပိုင်းတွင်၊ Sysmon မှအခြေခံအချက်အလက်များဖြင့် သင်လုပ်ဆောင်နိုင်သည်များကို ကြည့်ရှုပါမည်။ အပိုင်း XNUMX တွင်၊ ကျွန်ုပ်တို့သည် ခြိမ်းခြောက်မှုဂရပ်များဟုခေါ်သော ပိုမိုရှုပ်ထွေးသော လိုက်နာမှုပုံစံများကို ဖန်တီးရန်အတွက် ပင်မလုပ်ငန်းစဉ်အချက်အလက်ကို အပြည့်အဝအခွင့်ကောင်းယူပါမည်။ တတိယအပိုင်းတွင်၊ ဂရပ်၏ "အလေးချိန်" ကိုခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့်ပုံမှန်မဟုတ်သောလှုပ်ရှားမှုကိုရှာဖွေရန်ခြိမ်းခြောက်မှုဂရပ်ကိုစကင်န်ဖတ်သည့်ရိုးရှင်းသော algorithm ကိုကြည့်ရှုပါမည်။ အဆုံးတွင်၊ သပ်ရပ်သော (နားလည်နိုင်သော) ဖြစ်နိုင်ခြေရှိသော ခြိမ်းခြောက်မှုရှာဖွေရေးနည်းလမ်းဖြင့် သင့်အား ဆုချီးမြှင့်မည်ဖြစ်သည်။

အပိုင်း 1- Sysmon Log Analysis နိဒါန်း

အဖြစ်အပျက်မှတ်တမ်း၏ ရှုပ်ထွေးမှုများကို နားလည်ရန် အဘယ်အရာက ကူညီပေးနိုင်သနည်း။ အဆုံးစွန်သော - SIEM ။ ၎င်းသည် ဖြစ်ရပ်များကို ပုံမှန်ဖြစ်စေပြီး ၎င်းတို့၏ နောက်ဆက်တွဲခွဲခြမ်းစိတ်ဖြာမှုကို ရိုးရှင်းစေသည်။ ဒါပေမယ့် ငါတို့က အဲဒီလောက်ဝေးဝေးသွားစရာ မလိုဘူး၊ အနည်းဆုံး အစတုန်းကတော့ မဟုတ်ဘူး။ အစပိုင်းတွင် SIEM ၏အခြေခံမူများကိုနားလည်ရန်၊ အံ့သြဖွယ်အခမဲ့ Sysmon utility ကိုစမ်းသုံးရန်လုံလောက်လိမ့်မည်။ ပြီးတော့ သူမနဲ့ အလုပ်လုပ်ရတာ အံ့သြစရာကောင်းတယ်။ ဆက်ထားပါ Microsoft!

Sysmon တွင်မည်သည့်အင်္ဂါရပ်များရှိသနည်း။

အတိုချုပ်အားဖြင့် - လုပ်ငန်းစဉ်များအကြောင်း အသုံးဝင်ပြီး ဖတ်ရှုနိုင်သော အချက်အလက် (အောက်ပုံများကို ကြည့်ပါ)။ Windows Event Log တွင်မပါဝင်သော အသုံးဝင်သောအသေးစိတ်အချက်အလတ်များစွာကို သင်တွေ့လိမ့်မည်၊ သို့သော် အရေးအကြီးဆုံးမှာ အောက်ပါနယ်ပယ်များဖြစ်သည်-

• လုပ်ငန်းစဉ် ID (ဒဿမဖြင့်၊ hex မဟုတ်ပါ။)
• မိဘလုပ်ငန်းစဉ် ID
• စီမံကွပ်ကဲမှုလိုင်း
• ပင်မလုပ်ငန်းစဉ်၏ command line
• ဖိုင်ပုံ hash
• ဖိုင်ပုံအမည်များ

Sysmon ကို စက်ဒရိုက်ဗာအဖြစ်နှင့် ဝန်ဆောင်မှုတစ်ခုအဖြစ် နှစ်မျိုးလုံး ထည့်သွင်းထားသည် - အသေးစိတ်အချက်အလက်များ ဤနေရာတွင်။ ၎င်း၏ အဓိကအားသာချက်မှာ မှတ်တမ်းများကို ခွဲခြမ်းစိတ်ဖြာနိုင်စွမ်းဖြစ်သည်။ အနည်းငယ်၏ ရင်းမြစ်များ၊ သတင်းအချက်အလက်များ၏ ဆက်စပ်မှုနှင့် ရလဒ်တန်ဖိုးများ လမ်းကြောင်းတစ်လျှောက်ရှိ ဖြစ်ရပ်မှတ်တမ်းဖိုင်တွဲတစ်ခုသို့ ထွက်ပေါ်လာသောတန်ဖိုးများ၊ Microsoft -> Windows -> Sysmon -> Operational. Windows မှတ်တမ်းများတွင် ကျွန်ုပ်၏ ဆံပင်ပြုစုပျိုးထောင်မှုဆိုင်ရာ စုံစမ်းမှုများတွင်၊ PowerShell မှတ်တမ်းဖိုင်တွဲနှင့် လုံခြုံရေးဖိုင်တွဲကို အဆက်မပြတ်ပြောင်းရန်၊ ဖြစ်ရပ်မှတ်တမ်းများကို လှန်လိုက်ကာ ၎င်းတို့နှစ်ခုကြားရှိ တန်ဖိုးများကို တစ်နည်းနည်းနဲ့ ဆက်စပ်မှုဖြစ်စေရန် သတ္တိရှိရှိ ကြိုးစားမှုဖြင့် အဖြစ်အပျက်မှတ်တမ်းများကို လှန်လှောကြည့်ရင်း၊ . ဒါက ဘယ်တော့မှ လွယ်တဲ့အလုပ်မဟုတ်သလို နောက်ပိုင်းမှာ ငါသဘောပေါက်လာတာနဲ့အမျှ အက်စပရင်ကို ချက်ချင်း စုဆောင်းတာက ပိုကောင်းပါတယ်။

Sysmon သည် အရင်းခံလုပ်ငန်းစဉ်များကို နားလည်ကူညီရန် အသုံးဝင်သော (သို့မဟုတ် ရောင်းချသူများကဲ့သို့ ပြောဆိုနိုင်သော၊ လုပ်ဆောင်နိုင်သော) အချက်အလက်များကို ပံ့ပိုးပေးခြင်းဖြင့် ကွမ်တမ်ခုန်တက်သွားပါသည်။ ဥပမာအားဖြင့်၊ ကျွန်ုပ်သည် လျှို့ဝှက်အစည်းအဝေးတစ်ခုကို စတင်ခဲ့သည်။ wmiexecကွန်ရက်အတွင်း စမတ်အတွင်းလူတစ်ဦး၏ ရွေ့လျားမှုကို ပုံဖော်ခြင်း။ ဤသည်မှာ Windows ဖြစ်ရပ်မှတ်တမ်းတွင် သင်မြင်ရမည့်အရာဖြစ်သည်-

Windows မှတ်တမ်းတွင် လုပ်ငန်းစဉ်နှင့်ပတ်သက်သည့် အချက်အလက်အချို့ကို ပြသထားသော်လည်း ၎င်းသည် အသုံးနည်းပါသည်။ ဆဋ္ဌမကိန်းဂဏန်းများတွင် လုပ်ငန်းစဉ် ID များအပြင် ???

ဟက်ကာ၏အခြေခံများကိုနားလည်သောပရော်ဖက်ရှင်နယ် IT ပရော်ဖက်ရှင်နယ်တစ်ဦးအတွက်၊ command line သည်သံသယဖြစ်သင့်သည်။ ထို့နောက် အခြားသော command ကို run ရန်နှင့် ထူးဆန်းသောအမည်ဖြင့် ဖိုင်တစ်ခုသို့ အထွက်ကို ပြန်ညွှန်းရန် cmd.exe ကို အသုံးပြုခြင်းသည် စောင့်ကြည့်ခြင်းနှင့် ထိန်းချုပ်သည့်ဆော့ဖ်ဝဲ၏ လုပ်ဆောင်ချက်များနှင့် ဆင်တူသည်။ အမိန့်နှင့်ထိန်းချုပ်မှု (C2): ဤနည်းဖြင့် WMI ဝန်ဆောင်မှုများကို အသုံးပြု၍ pseudo-shell ကို ဖန်တီးထားသည်။
အခု Sysmon entry နဲ့ ညီမျှတဲ့ နောက်ထပ်အချက်အလက် ဘယ်လောက်ပေးတယ်ဆိုတာကို သတိပြုလိုက်ကြရအောင်။

စခရင်ရှော့တစ်ခုတွင် Sysmon အင်္ဂါရပ်များ- လုပ်ငန်းစဉ်အကြောင်း အသေးစိတ်အချက်အလက်များကို ဖတ်နိုင်သောပုံစံဖြင့်

အမိန့်ပေးစာကြောင်းကို သင်မြင်ရုံသာမက ဖိုင်အမည်၊ လည်ပတ်နိုင်သော အပလီကေးရှင်းသို့ လမ်းကြောင်း၊ ၎င်းနှင့်ပတ်သက်သည့် Windows သိသောအရာများ (“Windows Command Processor”) ၏ identifier မိဘ လုပ်ငန်းစဉ်၊ အမိန့်လိုင်း မိဘcmd shell နှင့် parent process ၏ စစ်မှန်သော ဖိုင်အမည်ကို ဖွင့်ပေးသော၊ အရာအားလုံးကို တစ်နေရာတည်း၊ နောက်ဆုံးတော့။
Sysmon မှတ်တမ်းမှ ကျွန်ုပ်တို့သည် “အကြမ်း” မှတ်တမ်းများတွင် တွေ့ရသော သံသယဖြစ်နိုင်ခြေမြင့်မားသော အတိုင်းအတာဖြင့် ဝန်ထမ်း၏ပုံမှန်အလုပ်၏ရလဒ်မဟုတ်ကြောင်း ကျွန်ုပ်တို့ ကောက်ချက်ချနိုင်ပါသည်။ ဆန့်ကျင်ဘက်အနေနှင့်၊ ၎င်းကို အစောပိုင်းတွင်ဖော်ပြခဲ့သည့်အတိုင်း C2-like process - wmiexec မှထုတ်လုပ်ပြီး WMI ဝန်ဆောင်မှုလုပ်ငန်းစဉ် (WmiPrvSe) မှ တိုက်ရိုက်ပေါက်ဖွားလာခြင်းဖြစ်သည်။ ယခု ကျွန်ုပ်တို့တွင် အဝေးမှ တိုက်ခိုက်သူ သို့မဟုတ် အတွင်းလူသည် ကော်ပိုရိတ်အခြေခံအဆောက်အအုံကို စမ်းသပ်နေကြောင်း ညွှန်ပြချက်တစ်ခုရှိသည်။

Get-Sysmonlogs ကို မိတ်ဆက်ခြင်း။

Sysmon သည် မှတ်တမ်းများကို တစ်နေရာတည်းတွင် ထည့်ထားသည့်အခါ ကောင်းပါတယ်။ သို့သော် ကျွန်ုပ်တို့သည် တစ်ဦးချင်းစီ၏ မှတ်တမ်းအကွက်များကို ပရိုဂရမ်ဖြင့် ဝင်ရောက်နိုင်လျှင် - ဥပမာအားဖြင့် PowerShell ညွှန်ကြားချက်များမှတဆင့် ပိုကောင်းပါသည်။ ဤကိစ္စတွင်၊ သင်သည် ဖြစ်နိုင်ချေရှိသော ခြိမ်းခြောက်မှုများကို ရှာဖွေမှုကို အလိုအလျောက်လုပ်ဆောင်ပေးမည့် PowerShell script အသေးကို သင်ရေးသားနိုင်သည်။
ဒီလို အကြံဥာဏ်မျိုး ငါ ပထမဆုံး ရခဲ့တာ မဟုတ်ပါဘူး။ အချို့သော ဖိုရမ်ပို့စ်များနှင့် GitHub တို့တွင် ကောင်းပါသည်။ စီမံကိန်းများ Sysmon မှတ်တမ်းကိုခွဲခြမ်းစိတ်ဖြာရန် PowerShell ကိုအသုံးပြုပုံကိုရှင်းပြပြီးဖြစ်သည်။ ငါ့ကိစ္စတွင်၊ Sysmon အကွက်တစ်ခုစီအတွက် သီးခြားစီစဥ်သောစာကြောင်းများရေးရန် ရှောင်ရှားလိုခဲ့သည်။ ဒါကြောင့် ကျွန်တော်ပျင်းတဲ့လူရဲ့နိယာမကိုသုံးပြီး ရလဒ်အနေနဲ့ စိတ်ဝင်စားစရာတစ်ခုခုရလာတယ်လို့ ကျွန်တော်ထင်ပါတယ်။
ပထမဆုံး အရေးကြီးတာက အသင်းရဲ့ စွမ်းဆောင်ရည်ပါ။ ရယူပါ Sysmon မှတ်တမ်းများကိုဖတ်ပါ၊ လိုအပ်သောဖြစ်ရပ်များကိုစစ်ထုတ်ပြီး ရလဒ်ကို ဤနေရာတွင်ကဲ့သို့ PS variable သို့ထုတ်ပေးပါ-

$events = Get-WinEvent  -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}

အမိန့်ကို သင်ကိုယ်တိုင် စမ်းသပ်လိုပါက $events array ၏ ပထမဒြပ်စင်ဖြစ်သော၊ $events[0]တွင် အကြောင်းအရာကို ပြသခြင်းဖြင့်။ Message၊ ရလဒ်သည် အလွန်ရိုးရှင်းသော ဖော်မတ်ဖြင့် စာသားအတွဲလိုက် ဖြစ်နိုင်သည်- အမည်၏ အမည်၊ Sysmon field, a colon, ပြီးရင် value က သူ့ဟာသူ။

ဟူး! Sysmon ကိုထုတ်ပေးခြင်း JSON အဆင်သင့်ဖော်မတ်သို့ဝင်ရောက်ပါ။

မင်းက ငါနဲ့ထပ်တူစဉ်းစားနေတာလား။ အနည်းငယ်ပိုအားစိုက်ထုတ်ခြင်းဖြင့်၊ သင်သည် အထွက်ကို JSON ဖော်မတ်လုပ်ထားသည့် စာကြောင်းအဖြစ်သို့ ပြောင်းလဲပြီးနောက် အားကောင်းသည့်အမိန့်ကို အသုံးပြု၍ PS အရာဝတ္ထုတစ်ခုသို့ တိုက်ရိုက်တင်နိုင်သည်။ ConvertFrom-Json .
ပြောင်းလဲခြင်းအတွက် PowerShell ကုဒ်ကို ပြပါမည် - ၎င်းသည် အလွန်ရိုးရှင်းပါသည် - နောက်အပိုင်းတွင်။ ယခုအချိန်တွင်၊ PS module တစ်ခုအနေဖြင့် ကျွန်ုပ်ထည့်သွင်းထားသည့် get-sysmonlogs ဟုခေါ်သော ကျွန်ုပ်၏ command အသစ်သည် အဘယ်အရာလုပ်ဆောင်နိုင်သည်ကို ကြည့်ကြပါစို့။
အဆင်မပြေသည့်ဖြစ်ရပ်မှတ်တမ်းအင်တာဖေ့စ်မှတဆင့် Sysmon မှတ်တမ်းခွဲခြမ်းစိတ်ဖြာမှုထဲသို့ နက်နက်နဲနဲဝင်နေမည့်အစား၊ PowerShell စက်ရှင်မှ တိုက်ရိုက်လုပ်ဆောင်မှုကို ကျွန်ုပ်တို့ မစိုက်ထုတ်ရှာဖွေနိုင်သည့်အပြင် PS command ကိုသုံးနိုင်သည်။ ဘယ်မှာ ရှာဖွေမှုရလဒ်များကို အတိုချုံ့ရန် (အမည်များ – “?”)

WMI မှတဆင့်ထုတ်လွှတ်သော cmd ခွံများစာရင်း။ ကျွန်ုပ်တို့၏ကိုယ်ပိုင် Get-Sysmonlogs အဖွဲ့ဖြင့် စျေးသက်သက်သာသာဖြင့် ခြိမ်းခြောက်မှုဆန်းစစ်ခြင်း။

အံ့ဩစရာ! ကျွန်ုပ်သည် Sysmon မှတ်တမ်းကို ဒေတာဘေ့စ်ကဲ့သို့ စစ်တမ်းကောက်ယူရန် ကိရိယာတစ်ခုကို ဖန်တီးခဲ့သည်။ ကျွန်ုပ်တို့၏ဆောင်းပါး၌ IQ တရားဝင် SQL-like interface ဖြင့် တည်ရှိနေသော်လည်း ၎င်းတွင်ဖော်ပြထားသော အေးမြသော utility ဖြင့် ဤလုပ်ဆောင်ချက်ကို လုပ်ဆောင်မည်ဖြစ်ကြောင်း မှတ်သားထားသည်။ ဟုတ်ကဲ့ EQL ကြော့ဒါပေမယ့် တတိယအပိုင်းမှာတော့ အဲဒါကို ထိပါမယ်။

Sysmon နှင့် graph ခွဲခြမ်းစိတ်ဖြာခြင်း။

နောက်ပြန်ဆုတ်ပြီး ငါတို့ဖန်တီးထားတဲ့အရာကို ပြန်စဉ်းစားကြည့်ရအောင်။ အခြေခံအားဖြင့်၊ ယခု ကျွန်ုပ်တို့တွင် PowerShell မှတစ်ဆင့် ဝင်ရောက်နိုင်သော Windows ဖြစ်ရပ်ဒေတာဘေ့စ်တစ်ခုရှိသည်။ စောစောက ကျွန်တော်မှတ်သားခဲ့သည့်အတိုင်း၊ ParentProcessId မှတစ်ဆင့် မှတ်တမ်းများကြားတွင် ချိတ်ဆက်မှုများ သို့မဟုတ် ဆက်ဆံရေးများ ရှိသည် - ထို့ကြောင့် လုပ်ငန်းစဉ်များ၏ ပြီးပြည့်စုံသော အထက်တန်းအဆင့်ကို ရရှိနိုင်သည်။

ဇာတ်လမ်းတွဲတွေ ဖတ်ပြီးသွားပြီ "တွေ့ရခဲသော Malware ၏စွန့်စားခန်းများ" ဟက်ကာများသည် လုပ်ငန်းစဉ်တစ်ခုစီတွင် ၎င်း၏ကိုယ်ပိုင်အခန်းကဏ္ဍအသေးစားနှင့် နောက်တစ်ဆင့်အတွက် စပီကာတစ်ခုကို ပြင်ဆင်ပေးသည့် ရှုပ်ထွေးသောအဆင့်ပေါင်းများစွာတိုက်ခိုက်မှုများကို ဖန်တီးရန် နှစ်သက်ကြောင်း သင်သိပါသည်။ ထိုအရာများကို "အကြမ်း" မှတ်တမ်းမှ ဖမ်းဆုပ်ရန် အလွန်ခက်ခဲသည်။
သို့သော် ကျွန်ုပ်၏ Get-Sysmonlogs ညွှန်ကြားချက်နှင့် အပိုဒေတာဖွဲ့စည်းပုံဖြင့် ကျွန်ုပ်တို့သည် စာသား (ဂရပ်တစ်ခုတွင်၊ သေချာပါသည်)၊ နောက်ပိုင်းတွင် ကျွန်ုပ်တို့တွင် ခြိမ်းခြောက်မှုများကို ရှာဖွေတွေ့ရှိရန် လက်တွေ့ကျနည်းလမ်းတစ်ခုရှိသည် - မှန်ကန်သော vertex ရှာဖွေမှုပြုလုပ်ရန် လိုအပ်ပါသည်။
ကျွန်ုပ်တို့၏ DYI ဘလော့ဂ်ပရောဂျက်များတွင် အမြဲတမ်းကဲ့သို့ပင် ခြိမ်းခြောက်မှုအသေးစိတ်အချက်အလက်များကို အသေးစိပ်ခွဲခြမ်းစိတ်ဖြာခြင်းတွင် သင်လုပ်ဆောင်လေ၊ လုပ်ငန်းအဆင့်တွင် မည်မျှရှုပ်ထွေးသော ခြိမ်းခြောက်မှုရှာဖွေတွေ့ရှိမှုကို သင်ပိုမိုသိရှိလာလေလေဖြစ်သည်။ ပြီးတော့ ဒီအသိတရားဟာ အလွန်အင်မတန်ကြီးပါတယ်။ အရေးကြီးသောအချက်.

Sysmon ဖြစ်ရပ်များကို ပိုမိုရှုပ်ထွေးသော ဖွဲ့စည်းပုံများအဖြစ် ချိတ်ဆက်ရန် ဆောင်းပါး၏ ဒုတိယအပိုင်းတွင် ပထမဆုံး စိတ်ဝင်စားဖွယ် ရှုပ်ထွေးမှုများကို ကျွန်ုပ်တို့ ကြုံတွေ့ရမည်ဖြစ်ပါသည်။

source: www.habr.com