有幾個已知的網路組織專門從俄羅斯公司竊取資金。 我們已經看到利用允許存取目標網路的安全漏洞的攻擊。 一旦獲得存取權限,攻擊者就會研究組織的網路結構並部署自己的工具來竊取資金。 這一趨勢的典型例子是駭客組織 Buhtrap、Cobalt 和 Corkow。
本報告重點關注的RTM群體就是這一趨勢的一部分。 它使用用 Delphi 編寫的專門設計的惡意軟體,我們將在以下部分中更詳細地了解。 2015 年底,人們在 ESET 遙測系統中首次發現了這些工具的蹤跡。 該團隊根據需要將各種新模組載入到受感染的系統上。 這些攻擊針對俄羅斯和一些鄰國的遠距銀行系統使用者。
1. 目標
RTM 活動針對企業用戶 - 從攻擊者試圖在受感染系統中檢測的過程中可以明顯看出這一點。 重點是用於遠端銀行系統的會計軟體。
RTM 感興趣的進程列表類似於 Buhtrap 群組的相應列表,但這些群組具有不同的感染媒介。 如果 Buhtrap 更頻繁地使用虛假頁面,那麼 RTM 則使用偷渡式下載攻擊(對瀏覽器或其元件的攻擊)和透過電子郵件發送垃圾郵件。 根據遙測數據,威脅針對的是俄羅斯和幾個週邊國家(烏克蘭、哈薩克、捷克共和國、德國)。 然而,由於使用了大規模分發機制,在目標區域之外檢測到惡意軟體並不奇怪。
偵測到的惡意軟體總數相對較少。 另一方面,RTM活動使用了複雜的程序,這表明攻擊具有很強的針對性。
我們發現了 RTM 使用的一些誘餌文件,包括不存在的合約、發票或稅務會計文件。 誘餌的性質以及攻擊目標軟體的類型表明,攻擊者正在透過會計部門「進入」俄羅斯公司的網路。 該小組按照相同的計劃行事 2014年至2015年
在研究過程中,我們能夠與多個 C&C 伺服器進行互動。 我們將在以下部分列出完整的命令列表,但現在我們可以說客戶端將資料從鍵盤記錄器直接傳輸到攻擊伺服器,然後從攻擊伺服器接收其他命令。
然而,您只需連接到命令和控制伺服器並收集您感興趣的所有資料的日子已經一去不復返了。 我們重新創建了真實的日誌檔案以從伺服器獲取一些相關命令。
第一個請求是向機器人傳輸文件 1c_to_kl.txt - 1C: Enterprise 8 程式的傳輸文件,其外觀由 RTM 主動監控。 1C 透過將付款資料上傳到文字檔案來與遠端銀行系統互動。 接下來,該文件被發送到遠端銀行系統,以自動執行付款訂單。
該文件包含付款詳細資訊。 如果攻擊者更改有關付款的信息,轉帳將使用虛假詳細資訊發送到攻擊者的帳戶。
從命令和控制伺服器請求這些檔案大約一個月後,我們觀察到一個新插件 1c_2_kl.dll 被載入到受感染的系統上。 此模組(DLL)旨在透過穿透會計軟體進程來自動分析下載檔案。 我們將在以下部分詳細描述它。
有趣的是,俄羅斯央行FinCERT曾在2016年底發布過關於網路犯罪者使用1c_to_kl.txt上傳文件的公告警告。 1C的開發者也知道這個方案,他們已經做出了官方聲明並列出了注意事項。
其他模組也從命令伺服器加載,特別是 VNC(其 32 位元和 64 位元版本)。 它類似於先前在 Dridex 木馬攻擊中使用的 VNC 模組。 該模組據稱用於遠端連接到受感染的電腦並對系統進行詳細研究。 接下來,攻擊者嘗試在網路中移動,提取使用者密碼,收集資訊並確保惡意軟體的持續存在。
2. 感染媒介
下圖顯示了該活動研究期間檢測到的感染媒介。 該組織使用多種媒介,但主要是偷渡式下載攻擊和垃圾郵件。 這些工具對於有針對性的攻擊很方便,因為在第一種情況下,攻擊者可以選擇潛在受害者訪問的站點,而在第二種情況下,他們可以將帶有附件的電子郵件直接發送給所需的公司員工。
該惡意軟體透過多種管道分發,包括 RIG 和 Sundown 漏洞利用工具包或垃圾郵件,顯示攻擊者與提供這些服務的其他網路攻擊者之間存在聯繫。
2.1. RTM 和 Buhtrap 有什麼關係?
RTM 活性與 Buhtrap 非常相似。 自然的問題是:它們之間有何關係?
2016 年 XNUMX 月,我們觀察到使用 Buhtrap 上傳器分發 RTM 樣本。 此外,我們還發現 Buhtrap 和 RTM 中都使用了兩個數位憑證。
第一個據稱是發給 DNISTER-M 公司的,用於對第二個 Delphi 表單(SHA-1:025C718BA31E43DB1B87DC13F94A61A9338C11CE)和 Buhtrap DLL(SHA-1:1E2642B454C2CE)和 Buhtrap DLL(SHA-889:6E41116B83A6C2D4890FXNUMXBCDXNUMXAXNUMXCXNUMXDBADXNUMX
第二個發佈給 Bit-Tredj,用於簽署 Buhtrap 載入程式(SHA-1:7C1B6B1713BD923FC243DFEC80002FE9B93EB292 和 B74F71560E48488D2153AE2FB51207A0AC206A2AXNUMXACXNUMXAXNUMXACXNUMXAXNUMXACXNUMXAXNUMXB),以及下載和安裝 RTME 元件。
RTM 操作者使用其他惡意軟體家族通用的證書,但他們也有一個獨特的證書。 根據ESET遙測,它被發布給Kit-SD,僅用於簽署一些RTM惡意軟體(SHA-1:42A4B04446A20993DDAE98B2BE6D5A797376D4B6)。
RTM 使用與 Buhtrap 相同的載入器,RTM 元件是從 Buhtrap 基礎架構載入的,因此這些群組具有相似的網路指標。 然而,根據我們的估計,RTM 和 Buhtrap 是不同的群體,至少因為 RTM 的分發方式不同(不僅使用「外國」下載器)。
儘管如此,駭客組織仍然使用類似的操作原理。 他們針對使用會計軟體的企業,同樣收集系統訊息,搜尋智慧卡讀卡器,並部署一系列惡意工具來監視受害者。
3. 進化
在本節中,我們將了解研究期間發現的不同版本的惡意軟體。
3.1. 版本控制
RTM 將設定資料儲存在登錄部分中,最有趣的部分是殭屍網路前綴。 下表列出了我們在研究的樣本中看到的所有數值。
這些值有可能用於記錄惡意軟體版本。 然而,我們並沒有註意到bit2和bit3、0.1.6.4和0.1.6.6等版本之間有太大差異。 此外,其中一個前綴從一開始就存在,並已從典型的 C&C 域演變為 .bit 域,如下所示。
3.2. 行程
使用遙測數據,我們創建了樣本出現情況的圖表。
4、技術分析
在本節中,我們將描述RTM銀行木馬的主要功能,包括抵抗機制、其自己版本的RC4演算法、網路協定、間諜功能和其他一些功能。 我們將特別關注 SHA-1 樣本 AA0FA4584768CE9E16D67D8C529233E99FF1BBF0 和 48BC113EC8BA20B8B80CD5D4DA92051A19D1032B。
4.1. 安裝與儲存
4.1.1. 執行
RTM 核心是 DLL,該程式庫使用 .EXE 載入到磁碟上。 可執行檔通常被打包並包含DLL程式碼。 啟動後,它會提取 DLL 並使用以下命令運行它:
rundll32.exe “%PROGRAMDATA%Winlogonwinlogon.lnk”,DllGetClassObject host4.1.2. DLL
主 DLL 始終會作為 %PROGRAMDATA%Winlogon 資料夾中的 winlogon.lnk 載入到磁碟。 這個檔案副檔名通常與快捷方式相關聯,但該檔案實際上是一個用Delphi編寫的DLL,被開發人員命名為core.dll,如下圖所示。
Пример названия DLL F4C746696B0F5BB565D445EC49DD912993DE6361
一旦啟動,木馬就會啟動其抵抗機制。 這可以透過兩種不同的方式來完成,這取決於受害者在系統中的權限。 如果您具有管理員權限,則該特洛伊木馬會將 Windows Update 項目新增至 HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun 登錄中。 Windows 更新中包含的命令將在使用者工作階段開始時執行。
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWindows Update [REG_SZ] = rundll32.exe“%PROGRAMDATA%winlogon.lnk”,DllGetClassObject 主機
該特洛伊木馬還嘗試將任務新增到 Windows 任務規劃程式中。 任務將使用與上述相同的參數啟動 winlogon.lnk DLL。 常規使用者權限允許特洛伊木馬將具有相同資料的 Windows Update 項目新增至 HKCUSoftwareMicrosoftWindowsCurrentVersionRun 註冊表中:
rundll32.exe “%PROGRAMDATA%winlogon.lnk”,DllGetClassObject host4.2. 修改後的RC4演算法
儘管有已知的缺點,RC4 演算法仍被惡意軟體作者經常使用。 然而,RTM 的創建者對其進行了輕微修改,可能是為了使病毒分析人員的任務變得更加困難。 RC4 的修改版本廣泛用於惡意 RTM 工具中,用於加密字串、網路資料、配置和模組。
4.2.1. 差異
原始的 RC4 演算法包括兩個階段:s 區塊初始化(又稱 KSA - 金鑰調度演算法)和偽隨機序列產生(PRGA - 偽隨機產生演算法)。 第一階段涉及使用金鑰初始化 s-box,第二階段使用 s-box 處理來源文字以進行加密。
RTM 作者在 s-box 初始化和加密之間新增了一個中間步驟。 附加金鑰是可變的並且與要加密和解密的資料同時設定。 執行此附加步驟的函數如下圖所示。
4.2.2. 字串加密
乍一看,主 DLL 中有幾行可讀的行。 其餘部分使用上述演算法進行加密,其結構如下圖所示。 我們在分析的樣本中發現了超過 25 個用於字串加密的不同 RC4 金鑰。 每行的 XOR 鍵都不同。 分隔線的數字欄位的值始終為 0xFFFFFFFF。
在執行開始時,RTM 將字串解密到全域變數中。 當需要存取字串時,木馬會根據基底位址和偏移動態計算解密字串的位址。
這些字串包含有關惡意軟體功能的有趣資訊。 第 6.8 節提供了一些範例字串。
4.3. 網絡
RTM 惡意軟體聯絡 C&C 伺服器的方式因版本而異。 第一次修改(2015 年 2016 月至 XNUMX 年 XNUMX 月)使用傳統網域以及 livejournal.com 上的 RSS 提要來更新指令清單。
自 2016 年 05 月以來,我們發現遙測資料已轉向 .bit 領域。 網域註冊日期證實了這一點 - 第一個 RTM 網域 fde0573d13da.bit 於 2016 年 XNUMX 月 XNUMX 日註冊。
我們在監控活動時看到的所有 URL 都有一個共同的路徑:/r/z.php。 這是非常不尋常的,它將有助於識別網路流中的 RTM 請求。
4.3.1. 命令和控制通道
舊範例使用此通道來更新其命令和控制伺服器清單。 託管位於 livejournal.com,在撰寫報告時,其 URL 仍為 hxxp://f72bba81c921(.)livejournal(.)com/data/rss。
Livejournal 是一家提供部落格平台的俄裔美國公司。 RTM 操作員創建了一個 LJ 博客,他們在其中發布了一篇包含編碼命令的文章 - 請參閱螢幕截圖。
命令和控製字串使用修改後的 RC4 演算法進行編碼(第 4.2 節)。 該通道的當前版本(2016 年 XNUMX 月)包含以下命令和控制伺服器位址:
- hxxp://cainmoon(.)net/r/z.php
- hxxp://rtm(.)dev/0-3/z.php
- hxxp://vpntap(.)top/r/z.php
4.3.2. .bit 域
在最新的 RTM 範例中,作者使用 .bit TLD 頂級域連接到 C&C 域。 它不在 ICANN(域名和互聯網公司)的頂級域名列表中。 相反,它使用的是建立在比特幣技術之上的 Namecoin 系統。 惡意軟體作者並不經常在其網域中使用 .bit TLD,儘管先前已在 Necurs 殭屍網路的某個版本中觀察到此類使用的範例。
與比特幣不同,分散式 Namecoin 資料庫的使用者俱有保存資料的能力。 此功能的主要應用是.bit頂級域。 您可以註冊將儲存在分散式資料庫中的網域。 資料庫中的對應條目包含由網域解析的 IP 位址。 該 TLD 具有“抗審查性”,因為只有註冊人才能更改 .bit 網域的解析度。 這意味著阻止使用此類 TLD 的惡意網域要困難得多。
RTM 木馬沒有嵌入讀取分散式 Namecoin 資料庫所需的軟體。 它使用中央 DNS 伺服器(例如 dns.dot-bit.org 或 OpenNic 伺服器)來解析 .bit 網域。 因此,它具有與 DNS 伺服器相同的耐用性。 我們觀察到,一些團隊域在部落格文章中提及後不再被檢測到。
對駭客而言,.bit TLD 的另一個優勢是成本。 要註冊一個域名,運營商只需支付 0,01 NK,相當於 0,00185 美元(截至 5 年 2016 月 10 日)。 相比之下,domain.com 的成本至少為 XNUMX 美元。
4.3.3. 協定
為了與命令和控制伺服器進行通信,RTM 使用 HTTP POST 請求以及使用自訂協定格式化的資料。 路徑值始終為/r/z.php; Mozilla/5.0 使用者代理程式(相容;MSIE 9.0;Windows NT 6.1;Trident/5.0)。 在向伺服器發出的請求中,資料格式如下,其中偏移值以位元組表示:
位元組0到6不編碼; 從 6 開始的位元組使用修改後的 RC4 演算法進行編碼。 C&C回應報文的結構更加簡單。 位元組編碼從 4 到資料包大小。
下表列出了可能的操作位元組值:
惡意軟體始終計算解密資料的 CRC32,並將其與資料包中存在的內容進行比較。 如果它們不同,則特洛伊木馬會丟棄該資料包。
附加資料可以包含各種對象,包括PE檔案、要在檔案系統中搜尋的檔案或新的指令URL。
4.3.4. 控制板
我們注意到 RTM 在 C&C 伺服器上使用面板。 截圖如下:
4.4. 特色標誌
RTM是典型的銀行木馬。 運營商想要有關受害者係統的資訊也就不足為奇了。 一方面,機器人收集有關作業系統的一般資訊。 另一方面,它查明受感染的系統是否包含與俄羅斯遠端銀行系統相關的屬性。
4.4.1. 一般信息
當惡意軟體在重新啟動後安裝或啟動時,系統會向命令和控制伺服器發送一份報告,其中包含一般訊息,包括:
- 時區;
- 預設系統語言;
- 授權使用者憑證;
- 流程完整性等級;
- 用戶名;
- 電腦名稱;
- 作業系統版本;
- 額外安裝的模組;
- 安裝了防毒程式;
- 智慧卡讀卡機清單。
4.4.2 遠端銀行系統
典型的木馬目標是遠距銀行系統,RTM 也不例外。 該程式的模組之一稱為 TBdo,它執行各種任務,包括掃描磁碟和瀏覽歷史記錄。
木馬透過掃描磁碟來檢查機器上是否安裝了銀行軟體。 目標計劃的完整清單如下表所示。 偵測到感興趣的檔案後,程式將資訊傳送到命令伺服器。 接下來的操作取決於命令中心 (C&C) 演算法指定的邏輯。
RTM 也會在瀏覽器歷史記錄和開啟的標籤中尋找 URL 模式。 此外,程式還檢查 FindNextUrlCacheEntryA 和 FindFirstUrlCacheEntryA 函數的使用,並檢查每個條目以將 URL 與以下模式之一相符:
偵測到開啟的標籤後,木馬會透過動態資料交換 (DDE) 機制聯絡 Internet Explorer 或 Firefox,以檢查標籤是否與模式相符。
檢查瀏覽記錄和開啟的標籤是在 WHILE 循環(帶有前提條件的循環)中執行的,檢查之間有 1 秒的休息時間。 其他即時監控的數據將在 4.5 節中討論。
如果找到模式,程式會使用下表中的字串清單將此情況報告給命令伺服器:
4.5 監控
當木馬運作時,有關受感染系統特徵的資訊(包括有關銀行軟體存在的資訊)被傳送到命令和控制伺服器。 當 RTM 在初始作業系統掃描後立即首次運行監控系統時,就會發生指紋辨識。
4.5.1. 遠距銀行
TBdo 模組也負責監控銀行相關流程。 它在初始掃描期間使用動態資料交換來檢查 Firefox 和 Internet Explorer 中的標籤。 另一個 TShell 模組用於監視命令視窗(Internet Explorer 或檔案總管)。
此模組使用 COM 介面 IShellWindows、iWebBrowser、DWebBrowserEvents2 和 IConnectionPointContainer 來監視視窗。 當使用者導航到新網頁時,惡意軟體會注意到這一點。 然後,它將頁面 URL 與上述模式進行比較。 偵測到匹配後,木馬會以 5 秒的間隔連續截取 XNUMX 張螢幕截圖,並將其傳送到 C&S 指令伺服器。 該程式還檢查一些與銀行軟體相關的視窗名稱 - 完整清單如下:
4.5.2. 智慧卡
RTM 可讓您監控連接到受感染電腦的智慧卡讀卡機。 這些設備在一些國家/地區用於核對付款訂單。 如果這種類型的設備連接到計算機,它可能會向特洛伊木馬表明該計算機正在用於銀行交易。
與其他銀行木馬不同,RTM 無法與此類智慧卡互動。 也許這個功能包含在我們還沒見過的附加模組中。
4.5.3. 鍵盤記錄器
監控受感染電腦的一個重要部分是捕捉擊鍵。 看來RTM開發人員並沒有遺漏任何訊息,因為他們不僅監控常規按鍵,還監控虛擬鍵盤和剪貼簿。
為此,請使用 SetWindowsHookExA 函數。 攻擊者記錄按下的按鍵或與虛擬鍵盤相對應的按鍵,以及程式的名稱和日期。 然後緩衝區被傳送到 C&C 命令伺服器。
SetClipboardViewer函數用於攔截剪貼簿。 當資料是文字時,駭客會記錄剪貼簿的內容。 在將緩衝區傳送到伺服器之前,也會記錄名稱和日期。
4.5.4. 截圖
RTM的另一個功能是截圖攔截。 當視窗監控模組偵測到感興趣的網站或銀行軟體時,請套用該功能。 使用圖形圖像庫截取螢幕截圖並將其傳輸到命令伺服器。
4.6. 解除安裝
C&C 伺服器可以阻止惡意軟體運作並清理您的電腦。 此命令可讓您清除 RTM 運行時所建立的檔案和登錄項目。 然後,該 DLL 用於刪除惡意軟體和 winlogon 文件,之後該命令將關閉電腦。 如下圖所示,開發人員使用erase.dll刪除了該DLL。
伺服器可以向木馬發送破壞性卸載鎖定命令。 在這種情況下,如果您具有管理員權限,RTM 將刪除硬碟上的 MBR 開機磁區。 如果失敗,木馬會嘗試將 MBR 開機磁區轉移到隨機磁區 - 那麼電腦關機後將無法開機作業系統。 這可能導致作業系統完全重新安裝,這意味著證據被破壞。
如果沒有管理員權限,惡意軟體會在底層 RTM DLL 中寫入編碼的 .EXE。 可執行檔執行關閉電腦所需的程式碼,並在 HKCUCurrentVersionRun 註冊表項中註冊該模組。 每次使用者啟動會話時,電腦都會立即關閉。
4.7. 設定檔
預設情況下,RTM幾乎沒有配置文件,但是命令和控制伺服器可以發送配置值,這些配置值將儲存在註冊表中並由程式使用。 配置鍵列表如下表所示:
配置儲存在 Software[Pseudo-random string] 登錄項目中。 每個值對應於上表中顯示的一行。 RTM中使用RC4演算法對數值和資料進行編碼。
資料具有與網路或字串相同的結構。 在編碼資料的開頭新增一個四位元組 XOR 密鑰。 對於配置值,XOR 鍵是不同的,並且取決於值的大小。 可以按下式計算:
xor_key = (len(配置值) << 24) | (len(配置值) << 16)
| 長度(配置值)| (len(配置值) << 8)
4.8. 其他特性
接下來我們來看看RTM支援的其他功能。
4.8.1. 附加模組
該特洛伊木馬包含附加模組,即 DLL 檔案。 從 C&C 命令伺服器發送的模組可以作為外部程式執行,反映在 RAM 中並在新執行緒中啟動。 對於存儲,模組保存在 .dtt 檔案中,並使用 RC4 演算法和用於網路通訊的相同密鑰進行編碼。
到目前為止,我們已經觀察到VNC模塊(8966319882494077C21F66A8354E2CBCA0370464)、瀏覽器數據提取模塊(03DE8622BE6B2F75A364A275995C3411626C4D9F)和1c_2_kl模塊(B1EE562E1F69EF)的安裝C6FBA58 B88753BE7D0B3E4CFAB)。
為了載入 VNC 模組,C&C 伺服器發出命令,請求連接到連接埠 44443 上特定 IP 位址的 VNC 伺服器。瀏覽器資料擷取插件執行 TBrowserDataCollector,它可以讀取 IE 瀏覽記錄。 然後,它將訪問過的 URL 的完整清單傳送到 C&C 命令伺服器。
最後發現的模組稱為 1c_2_kl。 它可以與1C Enterprise軟體包互動。 此模組包括兩部分:主要部分 - DLL 和兩個代理程式(32 位元和 64 位元),這兩個代理程式將被注入到每個進程中,註冊到 WH_CBT 的綁定。 此模組被引入1C流程後,綁定了CreateFile和WriteFile函數。 每當呼叫 CreateFile 綁定函數時,模組都會將檔案路徑 1c_to_kl.txt 儲存在記憶體中。 攔截 WriteFile 呼叫後,它會呼叫 WriteFile 函數並將檔案路徑 1c_to_kl.txt 傳送到主 DLL 模組,並向其傳遞精心設計的 Windows WM_COPYDATA 訊息。
主 DLL 模組開啟並解析文件以確定付款順序。 它識別文件中包含的金額和交易編號。 該資訊被傳送到命令伺服器。 我們認為模組目前正在開發中,因為它包含偵錯訊息並且無法自動修改 1c_to_kl.txt。
4.8.2. 權限提升
RTM 可能會嘗試透過顯示虛假錯誤訊息來升級權限。 此惡意軟體模擬註冊表檢查(見下圖)或使用真實的註冊表編輯器圖示。 請注意拼字錯誤 wait – whait。 掃描幾秒鐘後,程式會顯示錯誤訊息。
儘管存在語法錯誤,但虛假訊息很容易欺騙普通用戶。 如果使用者點擊兩個連結之一,RTM 將嘗試提升其在系統中的權限。
選擇兩個復原選項之一後,木馬會使用管理員權限的 ShellExecute 函數中的 runas 選項啟動 DLL。 使用者將看到真實的 Windows 提升提示(見下圖)。 如果使用者授予必要的權限,木馬將以管理員權限運行。
根據系統上安裝的預設語言,該特洛伊木馬會以俄語或英語顯示錯誤訊息。
4.8.3. 證書
RTM 可以將憑證新增至 Windows 應用程式商店,並透過自動按一下 csrss.exe 對話方塊中的「是」按鈕來確認新增的可靠性。 這種行為並不新鮮;例如,銀行木馬 Retefe 也會獨立確認新證書的安裝。
4.8.4. 反接
RTM 作者也創建了 Backconnect TCP 隧道。 我們還沒有看到該功能投入使用,但它旨在遠端監控受感染的電腦。
4.8.5。 主機檔案管理
C&C伺服器可以向木馬發送命令來修改Windows主機檔案。 主機檔案用於建立自訂 DNS 解析。
4.8.6。 尋找並發送文件
伺服器可能會要求搜尋並下載受感染系統上的檔案。 例如,在研究過程中,我們收到了對檔案 1c_to_kl.txt 的請求。 如前所述,該文件由 1C:Enterprise 8 會計系統產生。
4.8.7. 更新
最後,RTM 作者可以透過提交新的 DLL 來取代目前版本來更新軟體。
5.Заключение
RTM 的研究表明,俄羅斯銀行系統仍然吸引網路攻擊者。 Buhtrap、Corkow 和 Carbanak 等團夥成功從俄羅斯的金融機構及其客戶那裡竊取資金。 RTM 是這個行業的新參與者。
根據 ESET 遙測數據,惡意 RTM 工具至少從 2015 年底就開始使用。 該程式具有全方位的間諜功能,包括讀取智慧卡、攔截擊鍵和監控銀行交易,以及搜尋 1C: Enterprise 8 傳輸檔案。
使用去中心化、未經審查的 .bit 頂級域可確保基礎設施具有高度彈性。
來源: www.habr.com