1.背景
2024年1月至5月,腾讯安全科恩实验室(以下简称“科恩”)对"银狐"(又被称作"谷堕大盗"、"树狼"、"游蛇")钓鱼攻击黑产团伙的传播途径和攻击手法进行了持续跟踪。该团伙持续通过社交聊天软件、邮件附件投递钓鱼文件或钓鱼链接URL,伪装成知名软件安装包等方式,进行有针对性的传播。攻击对象主要为企业单位中的财务、税务工作人员,其次为教育、电商、货运、设计等行业人员。
经过分析整理,该团伙攻击时的典型特征有以下7点:
1. 以chm、msi、pyinstaller等多种形式的载体打包母体文件,母体进一步释放或下载裹挟恶意代码的xml、jpg、dat、png等后缀的非PE文件;
2. 母体文件会通过加壳、代码混淆、检测杀毒软件进程和虚拟机等方式对抗分析;
3. 宿主进程读取母体释放的非PE文件并定位目标数据段,然后通过异或等算法解密出远控木马程序,使用的远控木马绝大部分为Gh0st;
4. 在执行木马程序阶段,利用白加黑执行、进程代码注入、内存加载shellcode、与合法程序源码一起打包编译、利用商业远控软件等手法进行免杀;
5. 通过个人网站、FTP服务器、云存储桶、云盘、云笔记等平台下载托管的恶意文件;
6. 通过添加系统启动项和计划任务进行持久化攻击;
7. 利用golang、C#、vbe、vbs、bat、js、lua、powershell等多种语言开发,以实现其多样化的对抗需求。
科恩针对此类钓鱼攻击用户数量趋势、钓鱼文件命名特点、钓鱼木马的技术特征、以及木马连接C2地址的端口类型和IP地址分布等特点进行了统计和分析,并在文末附上了近期该团伙攻击相关的IOC。根据科恩威胁情报样本云查引擎检测数据显示,预计在相当一段时间内该钓鱼团伙还会持续活跃,相关企业和单位应当及时部署有效的防御和检测方案。
2.攻击趋势
2.1 拦截钓鱼数量
科恩威胁情报样本云查引擎提供API接口形式,为腾讯多个产品提供恶意文件识别能力,同时还会将从多源运营生产的威胁情报IOC应用到企业级产品的安全模块或安全产品中,以提高企业客户对恶意攻击的综合拦截率。
据科恩情报云查侧统计,2024年1月至5月每日查杀到"银狐"钓鱼样本用户数量如下所示:
由上图可以看出,在2月以后,"银狐"钓鱼攻击的量级虽然有所下降,但仍然维持在每日受攻击用户约1000的高位水平(注:这些钓鱼样本均已被拦截)。
2.2 C2及端口
科恩累计针对2万多个钓鱼样本及其C2地址进行了分析,发现样本连接C2时有一些高频使用的端口,例如“7000”端口有270多个样本使用,而**“12345”,“6666”,“8888”,“5555”,“7777”这样通过数字简单排列或者重复的端口使用占比也较大,另外部分还使用了“2022”“2024”**这样的代表年份的数字来作为通信端口。
2.3 文件类型
经分析,钓鱼时投递的PE可执行文件中(如果的投递压缩包,则取解压出的文件类型),占比最高的为EXE,其次为MSI类型。EXE类型文件在Windows系统界面中被双击后会直接运行,而MSI文件是Windows Installer的数据包,通常攻击过程中MSI运行后会安装和启动其他EXE木马程序。
2.4 典型钓鱼案例
在某用户具体反馈的案例中,攻击者先通过钓鱼控制了某单位人员"人事处-xxx"的电脑,然后利用该人员账号在其所在的“xxxx财务处报账群”中发送了附带远程控制木马的文件“2024最新涉税企业名单.rar”,造成该群聊中的所有人员存在被攻击的风险。
在另一用户反馈案例中,在“xxx地区xxx机构联络”群中,有相关人员的电脑被控制并向群里发送附带钓鱼木马文件的下载链接的消息,消息开头为**“2024年度1月起税务稽查局企业抽查名单”**,并且标明该文件需要用电脑打开,导致该群聊中的所有机构相关人员均存在被攻击的风险,并且不止一位的成员电脑已经被黑客控制。
在第三位用户反馈案例中,某人员的电脑被黑客控制后,拉了另外两位同事建立一个新的群聊,并在群聊中发布了一个名位“工作内容.docx”的文档,该文档中的内容明显是随意生成的与财务工作安排相关的话术。
随后,该人员向相关同事发送了附带远程控制木马的压缩包文件“今日工作排程.zip",并导致他的同事的电脑也被植入木马。
2.5 文件命名特点
经分析,在社交聊天软件和邮件附件钓鱼过程中,攻击团伙主要利用财税类、发票订单类、视频资源类、政策通知类等主题命名钓鱼文件,并且从社会工程学角度出发,充分利用人们的逐利、好奇、恐惧等心理,构造了以“**补贴”、“**视频”、“**通知”、“**名单”等为标题关键词的钓鱼文件。
变化趋势上,前期主要的方向为以财务、税务等主题,后来逐渐发展为根据实时的热点事件进行命名,例如在2月出现某证券公司员工桃色新闻事件后、3月国家退税流程开始后、4月清明节假期开始后,在对应的时间节点分别出现了对应主题的钓鱼文件传播。相关类别钓鱼文件示例如下:
A.财税类
针对财税人员的钓鱼话术,利用人们追求利益的心理,钓鱼文件的命名方式包含“补贴”,“退税减税”,“薪资奖金”等,另外一类利用好奇和恐惧心理,以“抽查”,“稽查”,“名单”,“违规”等,第三类为操作提示类的,例如“税务系统操作指南”,“计税工具”,“查询”等进行投放。钓鱼文件实例:
文件名
md5
最终通知一国家税财会人员薪资补贴调整(更新日期:2024.1.1).exe
0dadf900cfb946cf2abec3a65d288acd
2024最新发布-财会人员薪资补贴所需材料.exe
a3b107395ee1ecee13674554cb410791
2024年月新发布-财会人员薪资补贴调整新政策所需材料.exe
b09a5b62152b21e1cdd4517d0c49f516
密码123_关于企业和个人所得税政策.exe
260521432d424ac3aa826de748e987cb
关于政府给中小企业补贴公告.exe
833a7c8344df149859f00277ac5b2751
学院关于2024年科研补贴的说明.exe
503d2e8bcbe83c475273c965a64efe02
关于企 业 单 位-调整增值税税率有关政策(密码123).exe 中型企业“六税两费”减免政策(电脑版).zip
1654ac65b2d728575078b413fe5d41df
2024公司年终奖奖金名额人员.exe
750cac46994e82ba83ff142dd6ee2e3d
0131 年终奖报税,半税报减免税额存问题.rar
c5109d20dc5ca3b1bf5ab5175389d0d1
年终奖福利表 (4).exe
3cbd704a35789431be7a19ebfcff7dc2
2024年度1月企业抽查名单@h.exe
91128221df26497fc8b7534c6fa90dcc
国家税务局2024年1月度税务稽查随机抽查结果名单公示(1).exe
4254b4b481bd250300a746eb4f4ddc32
关于2024最新税务稽查通知.exe
a68f7de26252cf4d7f6d6c6259c58741
2024年1月份企业税务稽查通告【电脑版】.exe
ea9ed03ef700c5518c0654e5199d47bb
(4月)重点稽核企业税务名单公示.exe
dc964ea4e2725332ee70d394d7237946
3月份涉税财会人员征信拉黑名单如下.exe
4479178d28e07bd1eef068ef15a83d47
四月企业罚款名单.exe
5361f396d10252751b39c06af8168c34
2024年清明节公司财税违规名单.rar
254943ea6620a11127ee127ba8d3d447
3月份涉税财会人员征信拉黑名单如下.exe
4479178d28e07bd1eef068ef15a83d47
总局关于〔2024〕第一季度重点抽查企业名单公示(电脑版).exe
e8fa3aadc9317fa456ad64ad7c587071
点击查询.msi
5e876b99583dfc4b2a27df919613bfe0
2024年新社保后台系统操作指南.msi
654fbfa984c04547a99223faded28167
财务人员常犯的21个财税知识误区 .exe
09391196a2b823c45588d5e20002200d
B.发票订单类
这类攻击针对贸易中的商家或者客户,使用“发票”,“订单”,“公司资料”,“发货单”,“价格表”等命名的钓鱼文件进行投递。钓鱼文件实例:
文件名
md5
电子发票.exe
64215587dc6863b9b0a71bb95dba1164
电子发票-终端.exe
0be9fc43bb6581574a1e46884f8e7688
公司成立资料.Word.exe
b81e57f53615405fe30c58af27c22b52
律师函-终端.exe
026a5407ac53ac6ef68f5de78ffb3ae3
最新装备的价格表.exe
84dcef26e3284b0bb5c9cb3fd405b140
资料.exe
1215cb125ea2d2d00c3e839fb56af787
电子云票PPTX.exe
48ab5ef59884e263651d874dcff59ab0
资料全套.msi
09ffdc1f4d2a3d9115d79f82b9024e9a
C.视频资源类
这类攻击针对吃瓜群众的好奇心,例如在出现某某出轨,或者某某泄露事件之后,利用以“*视频”命名的钓鱼文件在聊天群中进行投递,可能在短时间内造成大量用户中招。钓鱼文件实例:
文件名
md5
原版MP4.exe
308504f9d0195b122b9d35b9b6b385e7
原版视频.exe
0ceeedc53c31c5af2dba607fab7f3a1f
2024mp4.exe
43ccc4cf86af53c0f431871747120ed8
(密码123)原版视频.exe
a26d4964ab8b7401307515afc0d9e881
原版视频.zip
616a202383a221937c6431ca27ac248c
**集团一女员工被丈夫举报与领导通J聚众Y乱.exe
cfc26301c8f293054ea9849f9acbd0ac
高中女老师出轨16岁学生.exe
b248cd243bd89f5d3aa93c115edae50e
**微博之夜无下限视频合集.exe
67d386805c43c9eaafea2d11dcf7d8cb
现场视频.msi
eed12d3972d286eea065114ff33fae8a
某公司财务挪用公款跳楼事件原视频.exe
fbfe1d055b5234292b3398e2fd201786
抖音6万粉网红女神大尺度x爱视频流出.exe
47740761957c4fc47e61bb292aadc07b
**视 频 被 曝 光。.zip.exe
0610efa65b46be9bbcd435d5d19645f0
D.政策通知类
这类攻击利用人们对“放假安排”,“医保社保”,“考试”等新政策的关注,利用包含“放假通知”,“政策调整通知”,“证书考试通知”,“社保医保通知”命名的文件进行钓鱼,可以对用户进行无差别广泛攻击。钓鱼文件实例:
文件名
md5
公司通知财会人员清明节调休时间如下.exe
2f202856508ad743315739b0b8164e45
关于印发《2024年管委会春节最新放假安排》的通知.exe
4b9aa6c899cd0dd91e49df50f730b7ad
2024春节放假通知.exe
b979d1dc310e69c04b2247817be00ee4
全国大学生放假通知.exe
6cb46d01a61a26fe21f80ebead47eeb9
春节放假通知.docx.exe
4690cfe93f7d57da740d5d80772e752b
2024年度全国会计证资格书过期更变通知系统官方查询.zip
90e99dec6d872c8e662142aec41ea3ac
**市社会保险事务中心关于公布2024年社会保险费缴费具体标准的通知.exe
a8a7ba0b8b38926aad6dda76aae901fa
《二四年度税务事项通知书》.rar
0a0ab76db354c782f4c1b1e2befda139
2024年***局对于企业经济普查表电子版更改和要求.exe
7eefb1e1fa8d0787bba801d91b932cca
***部发〔2024〕关于社保、最低工资最新变化(电脑版).exe
563bfc8edaf2294bb9e06c2c1d11ff10
【明确规定2024员工社保新政策文件通告】.exe
7b7274c56aade7473f0bdad1cc9feb50
医保核定企业名单.exe
d6804bb59e92b76857ed8f04386c8931
【新】公司法规定6037.exe
d3e6440de20bf5036c1cbb4ba7c90944
3.技术分析
为了躲避杀毒软件的检测,攻击者钓鱼时不会直接投递远程控制木马文件,而是会将木马加密后隐藏在文件数据中,或者从远程服务器下载,最终通过加载器解密执行。执行过程中还会使用反沙箱、反虚拟机、白+黑启动、进程代码注入、内存加载等技术,最终在用户主机植入Gh0st等类型的远程控制木马。
远程控制木马为了达到完全控制主机的目的,还会将进程提升至具备特殊权限等级,例如远程关机、加载设备驱动、创建计算机账户等,还会通过创建启动项、计划任务对木马进行启动,以便后续可以持续对主机进行控制。
3.1 诱导下载
为了防止投递的诱饵文件被检测和拦截,部分攻击者向目标用户投递文件下载地址和域名,并通过话术诱导用户主动下载运行。
发送下载链接:
诱导访问域名,域名下会不定期更新钓鱼样本:
钓鱼域名
钓鱼文件名
md5
https[:]//
emailqy[.]com/
ssetup凭证_6037.exe
3eb270f628533a2a9e8afadcdfb418f2
http[:]//
www.shuiwutg\[.\]com
电子发票-终端.exe
0be9fc43bb6581574a1e46884f8e7688
http[:]//
www.shuiwutg1\[.\]cn
查处名册.exe
bf198e28de8258f0e245e39eb3f21ab7
http[:]//
www.shuiwutg2\[.\]cn
稽查企业名单册-终端.exe
59b52b546ec7c5eb47b774dde279b904
http[:]//
www.shuiwutg3\[.\]cn
乔迁之喜邀请函-终端.exe
f669cd352cb4b4d1162524a17f5dc768
http[:]//
www.shuiwutg4\[.\]cn
重点稽查名单册-终端.exe
adfbd1410f57f6bdc91aa4c9b4cd7c51
http[:]//
www.shuiwujc0\[.\]cn
税务查处名单册-终端.exe
59b52b546ec7c5eb47b774dde279b904
http[:]//
www.shuiwujc1\[.\]cn
44终端.exe
a63228536a7c5265c9bace82cd40420c
页面打开状态:
页面代码通过重定向,3秒后会自动下载钓鱼文件:
3.2 检测运行环境
28b0f8889030473bf43741b5f6d08eef检测是否存在XueTr、OllyDbg等分析和监控软件进程
b045c4a93a926a638dc10d0130ee067f检测当前进程是否处于被调试状态
b045c4a93a926a638dc10d0130ee067f根据电源状态判断是否处于虚拟机环境
b3d68b2a5b370a46845e0d466612c1f7查看显卡等硬件信息判断是否处于虚拟机环境
3.3 加壳和混淆
46997abfc24ecb1b186b0ceffe60bfc0添加VMP壳保护,VMP属于高强度壳,使用了指令虚拟化技术,对代码和数据都进行了高强度混淆。
006298721ac79417f93e8c1252add3e5添加themida壳保护。Themida会将程序中的函数和代码进行加密和混淆,同时还会使用虚拟机技术,将部分程序代码转换为虚拟指令,使得程序在运行时动态解密和执行,属于类似于VMP的高强度壳。
dcb901adb00237486002282e7b653961通过Replace对模块名称字符串进行混淆
67d386805c43c9eaafea2d11dcf7d8cb使用for-switch模式逻辑混淆和函数名随机化混淆
d279c0d8860bb0b8608e493e816dbf09通过字符串拼接和base64对文件名和URL地址进行混淆
3.4 获取载荷数据
为了躲避杀毒软件的检测,攻击者投递的第一个程序往往不是后门或者远程控制木马本身,而是木马的一个启动器,这个启动器进一步从自身附带的数据中解密或者从远程地址下载数据而得到木马,进一步启动木马。由于这个启动器不具备恶意功能的特征,并且可以不断变化形式,造成杀毒软件难以在第一时间识别。
3.4.1 释放载荷文件
12532d6f8434b4f1e6b1ec7b98ef8e91从网络下载加密的数据并写入注册表中,后续运行时,启动器从注册表中读取数据并解密出恶意代码,并加载到内存执行。
d06916f1ca25a36ceb30b559006a3e7b从资源文件中释放木马启动器
“索伦”木马等攻击案例中,启动器运行后,从以".dat",".jpg",".xml",“.ini”等类型的非PE文件文件中读取数据,并在内存中解密还原出恶意的PE文件,最终执行恶意代码,由于部分杀毒软件对非PE文件(可执行)的检测力度不够,并且这些文件中的数据被加密,可以一定程度上躲避查杀。
78b0c87c04ee3a9a9bf29f3574eace61从ffff.lop和ffff.pol中读取数据并在内存中还原为PE
13a36ea56290c6f93edfcf3a4c41a18f从xxxx.dat和edge.xml文件中读取数据并在内存中还原为PE
9365dadd184585de8e7e28384803ed93从xxxx.dat和xxxx.xml文件中读取数据并在内存中还原为PE
d9352655d7e9164607f3d01ac5d2ff0c从config.ini文件中读取数据并在内存中还原为PE
c13e4e7787ebd5605c9ad1a3de148a15从sqm.dat文件中读取数据并解密出远控木马
3.4.2 下载载荷文件
攻击者还会在自建的服务器或者云服务平台上创建恶意文件,启动器运行后从对应的地址上下载文件,并执行后续阶段的恶意功能。
从自有服务器地址下载文件:
965f0223e27c1af313e39d7ea016616c从FTP服务器中下载木马模块
d06916f1ca25a36ceb30b559006a3e7b从木马服务器oqlap5.2xsi[.]cn下载恶意文件act.rar
b362d702048aa693a7591335cc767764从木马服务器20.205.25[.]117下载木马载荷ser.txt
从云平台下载文件:
b402f1eeba8e6d7a26bf0d24c5254eed从云平台下载多个PE文件,包括木马文件KwMusicCore.dll
8ea13069afecb0cafa4e064ab7826bdb从云平台下载恶意模块d204.dll
3.5 解密攻击载荷
从文件中读取或者网络上下载的数据,加载到内存后,需要进一步解密还原出原本的恶意代码
ec373011704e5baf4821273cb373e419通过异或和取余运算进行解密
887a04cda34f7af3f350fd5f4d7a10c2通过异或和取运算进行解密
FA4C32B79F9B2BFED5217F86040338F7通过异或和取余运算进行解密
9365dadd184585de8e7e28384803ed93通过异或运算进行解密
a68933fddef808075b204e3a01d6125b通过异或和取余运算进行解密
afde3c42bec08fd5a5a6f4047c02fc06通过异或和取余运算进行解密
3.6 执行攻击载荷
3.6.1 白+黑启动
启动器在加载恶意模块的过程中,还大量使用的白+黑和代码注入技术,即通过一个具有合法数字签名的白文件来加载恶意的DLL文件,或者将恶意代码注入到系统进程,因为具有签名的软件文件和系统进程文件都在白名单内,黑客尝试将恶意代码藏匿在其中运行来躲避杀毒软件的检测。
d0cae00cf58fc13b5592ef038ff3ac39使用Windows资源管理器的插件ClassicExplorerSettings来加载同目录下的恶意DLL模块ClassicExplorer32.dll
811276868346227b4c1124d2f842d0bc利用某游戏公司升级程序,加载同目录下的恶意DLL模块dmcef.dll
cfb2c95221f07a75531d1b30b6c2d507利用网银控件白文件NXYBankAssist.exe启动同目录下木马模块WDAlg.dll
d9352655d7e9164607f3d01ac5d2ff0c利用某公司签名白文件加载同目录下的黑DLL文件lol.launcher_tencentBase.dll
3.6.2 进程代码注入
将恶意代码注入到系统进程中,也是"银狐"钓鱼木马常使用的躲避查杀手法,选择注入的系统进程包括svchost、rundll32等。在代码注入完成后,木马往往会将自身文件删除,来抹掉攻击痕迹。
8492c439a3de4a68d38edc10e3c89106通过QueueUserAPC向svchost.exe进程注入并执行shellcode
8ea13069afecb0cafa4e064ab7826bdb将下载的shellcode注入到rundll32.exe进程中执行
3.6.3 内存加载运行
启动器在从文件中或者从网络下载得到木马载体后,需要一段代码将木马部署到进程内存中,并且跳转到木马入口处执行,这段代码包含申请可执行内存,向内存写入数据,执行目标代码几个步骤。
b3d68b2a5b370a46845e0d466612c1f7通过VirtualAlloc申请内存,FillMemory写入恶意代码,CreateThread创建线程执行
28b0f8889030473bf43741b5f6d08eef将恶意代码写入内存后,通过CreateRemoteThread创建远程线程执行
2f202856508ad743315739b0b8164e45将从远程下载的恶意代码写入到内存,然后跳转到shellcode入口处执行
9365dadd184585de8e7e28384803ed93通过ImmEnumInputContext执行回调的方式运行shellcode
8492c439a3de4a68d38edc10e3c89106申请内存,解密shellcode并跳转到目标代码处执行
b362d702048aa693a7591335cc767764通过HeapAlloc申请内存,写入恶意代码并创建线程执行
ec373011704e5baf4821273cb373e419通过WriteProcessMemory在当前进程写入恶意代码,并通过CreateThread创建线程执行
3.7 权限提升
403bb0eb3c9d3b415f861410995bf87d利用Windows工具AdvancedRun以SYSTEM用户、无窗口显示的方式运行木马程序。
357fd7910fb0e3a252cd00f5415ec055通过netsh命令添加防火墙规则,允许相关模块的网络请求。
0d477e31eab28fbd9bc5f06d99d738b5检查当前进程是否以Admin权限启动,如果不是则以Admin权限重新启动
c17aa0a7bc88d9f753fdd5cb13be697a提升当前进程权限,获取包括远程关机、加载设备驱动程序、创建计算机账户等在内的37个特殊权限
3.8 利用商业软件
样本357fd7910fb0e3a252cd00f5415ec055通过安装企业电脑监控软件WorkWin,并利用该软件对用户进行远程控制
47974856e589cef269a5cadbb6a5dd46安装"灰鸽子"监控软件作为黑客的远程控制工具
3.9 持久化攻击
攻击者在用户机器上成功执行木马后,为了防止因木马程序退出后失去机器的控制权,还会通过写注册表,创建计划任务等方式留下后门,定期重新启动木马,以达到长期控制机器的目的。
d4bef91bb38780c1ce0ecc21c864750e将释放在C:\Users\Public\Pictures\xxxx下的exe文件添加计划任务启动,进行持久化
74833e390e037f107159c794b2321c9f将释放在C:\Users\Public\Videos\xxxxx下的exe文件添加计划任务启动,进行持久化
16c62a485e9f1bd855701a6d046c02cd通过执行脚本命令添加计划任务,启动文件为C:\\Program Files (x86)\\KuGou\\QQPr0tect.exe
5579f07bd5769ee1f4fdfb093fa4a253创建计划任务,执行C:\Program Files (x86)\Fonsd\update.exe
887a04cda34f7af3f350fd5f4d7a10c2将木马启动器文件拷贝到
C:\ProgramData\StartMenuExperienceHos.exe,并且将文件设置为隐藏和系统文件属性,然后安装名为"系统垃圾清理"的计划任务进行持久化,当任何用户登陆时启动该木马程序
d0cae00cf58fc13b5592ef038ff3ac39写注册表Run启动项进行持久化
4.科恩检测方案
科恩提供的自研杀毒引擎TAV,基于不断更新的病毒特征,第一时间覆盖"银狐"团伙钓鱼样本精准检测能力。对于在文件层面存在强混淆、高对抗的样本,可进一步投递到沙箱分析系统中,通过sigma、yara、ids规则对样本运行产生的主机行为日志、内存数据、网络通信数据进行匹配,命中相关规则后立即将样本文件对应hash判黑并录入云查杀引擎黑库,并将样本网络连接的C&C IP录入到威胁情报库中,以便于各合作产品提供实时更新的钓鱼威胁检测能力。
通过样本文件、进程行为、进程内存、网络数据四个维度的特征对"银狐"钓鱼木马进行综合鉴定,极大地提高了检测覆盖度和效率,可以迅速有效地对该团伙进行打击。在打击钓鱼样本过程中生产的IOC可以实时更新到威胁情报线上环境,对于请求已知钓鱼黑IP或者DOMAIN的网络连接进行阻断。
相关IOC
md5:
3eb270f628533a2a9e8afadcdfb418f2
ec373011704e5baf4821273cb373e419
747959625308d11e1530d87aeab54af3
4e0f706c773796ec4daa2e487cd66f9f
205f9668ce6a52dc1e8a95201097d766
af811acb947b4299d68dd792e9fe0625
7f98842b6d79cdd00930e949d5ad95a5
995010298fb1d25d492112e12d9a06a0
d863cc94fe006cce2eb130dbc14a3e74
12532d6f8434b4f1e6b1ec7b98ef8e91
887a04cda34f7af3f350fd5f4d7a10c2
21a41eea0c4a12ac80a0a41dd06b86c6
c17aa0a7bc88d9f753fdd5cb13be697a
ed7d98ec86252ba3f73d92f7d08513ea
e90bafa40809c64f1535bf1684b14ee4
9c6b3ebb6719f90e638aa097825e5bd3
2f202856508ad743315739b0b8164e45
edc41e28dc9c16705b6658f8536c8101
bb5c8121a1748a170d4cc5e16f40093e
93a8cc0f7a074b83e34f6e89c538005c
4479178d28e07bd1eef068ef15a83d47
5361f396d10252751b39c06af8168c34
277034be6ced435eee05828efc667a7c
f0cdb673d986220b1acb66b965430be7
254943ea6620a11127ee127ba8d3d447
a1ed0088746b3c32069f9c03b29941c3
122113733ebd64e52e574cbfe2488f04
4dbf6b59106684ac56d63448d7af432c
530781bfc00af3cb514224c395fb8cc9
e1c98c669b0f4f9d36363159b44c10bb
9b630d01963e15bf5b95b9cef6d99195
73dd67e9a28ad65aee8cc7124e72c29d
db75168085d86684dda95e27fa4edf8d
0bff46b362062157ec4c30f8dd0844f5
29a25c10c424c783092286fa2aab9f42
c03f269ee0be50799a55ef60715090b4
13b74c9f5bebb00fac30f564f7471192
48916e81c1e9aa7ab49781db0eece78b
e39be7543a5c207dd644bbda61d56a5c
d37921e7d9e37f278046835fdb35ac96
910791ee946623a2e48c23db6694a583
dd389d68658326c52658649d798c315a
59b9287a187e8b611d9b027544574e7a
a54f4cef4f1f72c361dafa288cb657fc
1878d82888fb77c426a21e1f1d996120
ae582838083b5651df0883e29caa66c6
e32cbb79663bcb2cefe39fc452eb7867
ba4b67b1548b4f1b52811095d14fb25b
40df53e429cec1c6512789810bab8cb9
78b0c87c04ee3a9a9bf29f3574eace61
d0cae00cf58fc13b5592ef038ff3ac39
28b0f8889030473bf43741b5f6d08eef
74833e390e037f107159c794b2321c9f
3c2a0c93f7719542b2829a51b4ce492e
43ccc4cf86af53c0f431871747120ed8
9bfb493171cfeeb407efb26d31781a48
8f539512029203568a3570a9430babce
51dbc37b357bc3a0501125b45e6312b7
7b6bcd30f3ff76b839ee7b0063b1bb4c
308504f9d0195b122b9d35b9b6b385e7
0ceeedc53c31c5af2dba607fab7f3a1f
9f040ee5c27d3643d0b5e591916c436c
616a202383a221937c6431ca27ac248c
032b698c6d1f2220eae6ca614d6dfda6
4f2ca6ee02d42836ab03906fe0dfbe2c
c1a45bc362896a6c05972600addef0dc
2b6970131921341620c85ff9c73f1e4a
8752b4045fe8ee9184ac8ff9e13421b7
b43ef2d941c622571ffa715fff11455c
0a305c091e5c3b58e189b9c4ab55dc7c
d0ba5c2315afdebf90987bb6ecbe9724
0de663476ced12a3b6d633fef35588f5
d9a510849cb0fe2c2148ca7f122d38ec
a2d25b8582cf7614574409ffcc1a4bd5
56312bdb825c33ad1b7be4f524466bd1
9121ee3aa724655dc8481f5ea1918baf
b29e378b1e7af347dbaf692ff5689b9f
26ac5a23786236788d194cd546170095
24f5dfb8a9bd05a3f074941981e71b42
dfc25e2bb6ea37f3486d908f6bfb0578
03f874a196626ddb2b753864b2095b55
dc6b2053b59350c569cb4a9bdbbce917
3fe683410a666e9243107390ab8edc06
a01445ceee78aef2f21732802042eff3
abf9745f3f5f700b5935da9f582dc4da
6c2c48099e97f5587a72f504d1a191d1
f9bbfef5303536535fa8100021199143
fb3d87627c1e8a0b5161ac955299c294
9276462e9a9f4904a95235281245e7d1
a008d4bae68f58470744b95cc30e12dc
4341acb0681072dec411338cb7c825df
366c29d89842138e5ff6704157ac5deb
c44e46a5899e92f95989612e16e30d31
c13e4e7787ebd5605c9ad1a3de148a15
d06916f1ca25a36ceb30b559006a3e7b
d4bef91bb38780c1ce0ecc21c864750e
b045c4a93a926a638dc10d0130ee067f
a45532641f7ef4ea528553215793d3ae
d89af29467d134e007d41a724abffa9b
903daba4f7e8cc1967e7438eb152fd45
b5c29deed916d718e1732cbca6ab3aac
9b17a6231070cabe811216aea1e8f1e8
3aeb1faf2fdd7f56801940708f62f22b
f2a5621b59f7d56dd7227cccd7f19ebc
9680489fa9e0c73c7829823b943de68e
792723a95489cb52a952c1e488a85b13
04052847183ff4d64a721c667ee2026d
2f4ed623e83d3eb1d7697baffdd74f2d
b83372a9f8ae9d8c4e55735b574d141e
b469df2ed7597009d2325685d5a7ab7e
a82e61c35abff75a5d50f885394814d7
c5ec61c5fffddd9e393f2f94d70bce6e
2d5304ea5f5276e828feefc93e03546b
89fb1d3af2bc5277931f0217f58797cd
b324bfe941591d7ae93bb807454a030f
ec98998c1d75860c5b0f372bd665bd23
8f8b78015d84df89188fb4e56a56dd1c
298c3f5d5daf44619c878d29bd79504b
d6531e506b31e4b4da8bd87d1e605dd1
10add5eb4a1a6ee7b9bc487a36eb241b
e61097ca937c6f975d010d40ce468764
912593587b375046900635917b2e1f7d
8dd19c304f93740928a4c9b463895c3f
97c98bbf6eabe7a40a71d08395f61018
53d02cf0f94ef4d12d3b348ba73b776f
f86883180a137f7b7c2936946c04b445
b89545f52013f7cbb7c496fe7b09d27d
99785e8df90b573933dce2237a998819
6d9e9ee8586411dfb22c5aea47f34517
cf544af954335f267df679ae59da9a92
5bfbd402a64671f80a40e25cc29867fa
5afb8c553e4fff66c6c48ed820999832
cf5c10aadcbda3c7d32ad2b38633c853
80d0fcc33dbefcfc65db23048a88e8eb
034d026e66189c0207f133f0cbde5018
78686042d9816bf3d44b2e282cbb513f
a52ddfa002189144ccc54f863811bc7c
62788719e63bd951e83c22d17043e5d6
10084b6f01d18d9f1ccb4ffa62a7d946
dd20e9b98fee0de242eff692ba3cbd40
165eac063aebda0dced04ac903bcbd5a
65a2a340f1954f743ab1f4360f831bb4
8984f90e7abafb9316f1088192042554
5ccb5ea33a3598c12499fddad81f9f8b
38d8ebc06c810287f39195bcae22c11b
244dc331df110c4dc3702c98c69c4f0c
IP:
143.92.43.149
143.92.43.168
143.92.43.190
143.92.60.110
143.92.43.221
122.10.18.3
23.234.39.202
122.10.10.135
122.10.105.54
122.10.14.187
198.44.248.162
122.10.17.130
143.92.43.227
122.10.26.236
103.214.140.108
23.234.37.182
143.92.43.234
45.195.57.98
143.92.43.202
23.234.37.182
122.10.18.42
206.238.114.116
45.195.57.10
23.234.37.182
122.10.26.236
43.139.21.74
120.27.10.22
1.14.196.156
47.104.141.225
47.104.145.97
43.139.97.102
163.197.241.154
122.10.11.251
116.213.43.89
43.139.80.24
8.217.207.163
47.76.50.128
8.218.251.156
8.217.254.61
38.165.12.242
106.53.1.218
206.238.115.152
154.212.147.155
8.218.233.212
43.138.242.90
47.242.238.212
47.104.145.79
139.186.147.227
206.238.221.173
43.135.48.16
103.192.208.103
116.198.45.21
154.91.64.126
154.12.84.37
47.76.108.252
154.91.226.38
143.92.42.131
206.233.130.196
118.107.43.42
111.67.192.181
103.158.37.176
45.195.57.98
114.67.178.45
8.136.112.23
143.92.43.234
143.92.43.202
111.180.206.26
156.25.33.10
143.92.43.163
8.218.231.88
129.28.171.53
103.164.62.230
49.234.184.147
45.195.204.76
143.92.42.212
206.238.114.12
45.125.48.89
134.122.197.189
206.238.114.12
Domain:
squxdw[.]net
vlstjq[.]net
uywtex[.]netm[.]qkjyaym[.]cn
3wtmkh[.]yikeseiw[.]com
6041[.]anonymousrat8[.]com
6005[.]anonymousrat8[.]com
6043[.]anonymousrat8[.]com
www[.]youwdapp[.]com
jiqiprotrade[.]site
m[.]qkjyaym[.]cn
jiqiprotrade[.]site
www[.]youwdapp[.]com
hbawd7174[.]cn
news1[.]cookielive[.]top
webwhatsapp[.]cc
emailqy[.]com
www[.]shuiwutg[.]com
www[.]shuiwutg1[.]cn
www[.]shuiwutg2[.]cn
www[.]shuiwutg3[.]cn
www[.]shuiwutg4[.]cn
www[.]shuiwujc0[.]cn
www[.]shuiwujc1[.]cn
产品体验
