标签: 勒索软件

人为操控攻击的 Maze 勒索软件

摘要 Maze勒索软件是目前在野外使用最广泛的勒索软件之一,由具有能力的参与者进行分发。 我们发现了一个Maze分支机构,在交付勒索软件之前部署了量身定制的持久性方法。 行动者似乎使用了被盗的证书在其信标上签名。 与其他攻击一样,行动者使用HTA有效载荷作为交互式外壳,能够捕获到实时的和去模糊化的内容。 背景 Maze勒索软件在过去的大约一年时间里被广泛使用,成为全世界许多不同参与者的最终有效载荷。今年,臭名昭著的Maze运营商不仅开始通过加密文件勒索公司,而且威胁会在线发布被窃取的文件,从而勒索公司。最近,我们抓住了一个Maze会员,该会员尝试通过借由我们客户的网络进行传播。 在这篇文章中,我们分享有关该Maze会员使用方法的详细信息,以阐明他们的策略并帮助安全团队在其自己的网络中寻找类似的IOC。   … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1294/ 消息与封面来源:SentinelLABS,译者:叶绿体 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

自2020 年 3 月以来 NetWalker 勒索软件团伙已经赚了 2500 万美元

安全公司McAfee今天表示,NetWalker勒索软件的运营者据信自今年3月以来已经从勒索金支付中赚取了超过2500万美元。虽然没有精确的最新统计数据,但2500万美元的数字使NetWalker在目前已知最成功的勒索软件团伙中排名靠前,其他已知的名字包括Ryuk、Dharma和REvil(Sodinokibi)。 McAfee最近发布了一份关于NetWalker行动的综合报告,它能够追踪受害者向该勒索软件团伙比特币地址支付的款项。然而,安全专家认为,由于他们的观点并不完整,该团伙可能从他们的非法行动中获得更多的利益。NetWalker作为一个勒索软件,最早出现在2019年8月。在最初的版本中,该勒索软件的名称为Mailto,但在2019年年底重新命名为NetWalker。 该勒索软件以封闭访问的RaaS–勒索软件即服务门户的形式运行。其他黑客团伙注册并通过审查,之后他们被授予访问一个门户网站的权限,在那里他们可以构建定制版本的勒索软件。分发工作由这些二线帮派(即所谓的附属机构)负责,每个帮派都会根据自己的情况进行部署。通过这一审查过程,NetWalker最近开始选择专门针对高价值实体网络进行定向攻击的关联公司,而不是那些专门采用大规模传播方法的关联公司,如利用工具包或电子邮件垃圾邮件。原因是,以大公司为目标进行精准和外科手术式的入侵,可以让该团伙提出更大的赎金要求,因为与小公司相比,大公司在倒闭时损失的利润更多。 NetWalker的作者似乎更青睐于能够通过网络攻击,对RDP服务器、网络设备、VPN服务器、防火墙等执行入侵的关联公司。值得注意的是,NetWalker的作者化名为Bugatti,只对雇佣说俄语的二级帮派感兴趣。McAfee专家表示,从历史上看,NetWalker通过利用Oracle WebLogic和Apache Tomcat服务器中的漏洞,通过RDP端点以薄弱的凭证进入网络,或者通过对重要公司的工作人员进行鱼叉式钓鱼来进行入侵。 但根据FBI上周发布的警报,最近,该团伙还加入了针对Pulse Secure VPN服务器的漏洞(CVE-201911510)和针对使用Telerik UI组件网络应用的漏洞(CVE-2019-18935),使他们的武器库多样化。同一警报还警告美国公司和政府组织一定要更新系统,因为该局看到NetWalker团伙的活动有所增加,甚至冲击了一些政府网络。 而该团伙如此受欢迎的原因之一,也是因为它的 “泄密门户”,该团伙在网站上公布拒绝支付其赎金要求的受害者的姓名,并且发布数据。一旦NetWalker联盟入侵网络,他们首先会窃取公司的敏感数据,然后对文件进行加密。如果受害者在最初的谈判中拒绝支付解密文件的费用,勒索软件团伙就会在他们的泄密网站上创建一个条目。该条目有一个计时器,如果受害者仍然拒绝支付,该团伙就会泄公布他们从受害者网络中窃取的文件。     (稿件与封面来源:cnBeta。)

Garmin Connect 服务在遭受勒索软件攻击后下线

Garmin地图和导航服务所在的公司遭到了勒索软件的攻击,攻击者加密了这家智能手表制造商的内部服务器,迫使其关闭了呼叫中心、网站和Garmin Connect服务,而所有的Garmin地图用户几乎都依靠该服务通过移动应用同步他们的活动。 在Twitter上分享的消息中,该公司向用户道歉,并详细介绍了不同服务被迫关闭的严重程度。 据ZDNet报道,此次攻击还影响到了Garmin的航空数据库服务,即支持航空导航设备的flyGarmin,甚至是位于亚洲的一些生产线。 Garmin官方并未将此次故障归结为勒索软件攻击所致,但公司员工此后在Twitter上将其描述为勒索软件攻击。 台湾科技新闻网站IThome公布了一份Garmin的IT部门给其台湾工厂的内部备忘录,宣布周五和周六两天进行维护,消息人士告诉网站,这是由于 “病毒”造成的。     (稿源:cnBeta,封面源自网络。)  

NetWalker 勒索软件相关分析

Netwalker (又名 Mailto)勒索软件近期十分活跃。 由于新型冠肺炎的爆发,一些活跃的勒索软黑客们开始不再攻击医疗目标,但NetWalker 勒索软件却是例外。 这款勒索软件的赎金要求很高,很多受害者们因无法支付相关赎金导致数据被泄露。 最近美国的教育机构也成为了勒索软件的重点攻击目标,密歇根州立大学、加州大学旧金山分校和哥伦比亚大学芝加哥分校都没有幸免。近期的RaaS(勒索软件即服务)模式转变加剧了勒索的范围,导致网络检测和清理不再足以确保组织数据机密的安全,预防成为了面对威胁的唯一解决办法。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1243/     消息来源:sentinelone,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

遭遇勒索软件攻击 本田暂停工厂生产并关闭办公室

据外媒报道,本田的全球业务受到了勒索软件攻击,这家日本汽车制造商仍在努力让一切恢复正常。该家公司于当地时间周二表示,它将不得不暂时关闭部分生产设施,另外客户和金融服务业务也已经被关闭。本田在向The Verge发表的一份声明中说道:“目前没有证据表明个人身份信息丢失。我们大多数工厂都已恢复生产,目前正在努力恢复我们在俄亥俄州的汽车和发动机工厂的生产工作。” 据了解,本田遭到的网络攻击所使用的是被认为是被叫做Snake的勒索软件。通过它,黑客可以对遭到攻击的公司的文件进行加密将其作为勒索筹码。根据The Verge网站看到的一条信息显示,本田在其内部警报系统中将其称为“重大电脑勒索软件病毒攻击”。“来自全球和跨NA地区的IT团队正在持续工作以遏制这次攻击(带来的影响),另外还在尽快恢复正常的业务操作,但许多依赖于信息系统的业务流程仍受到了影响。” 据Twitter上的投诉显示,虽然本田表示一些工厂正在重新开工,但业主无法进行在线支付或进入公司的客户服务网站。该公司北美最大的客户和金融服务办公室的一名员工告诉The Verge,临时员工在办公室关闭时是没有工资的。 即使系统已经备份,本田美国客户和金融服务办公室的许多员工也无法远程工作。正如The Verge在5月份报道的那样,这意味着在大流行期间,许多员工不得不去办公室,对此一些员工担心公司在阻止新冠病毒传播方面做得不够。不过在过去几周,这些办公室的员工告诉The Verge,本田终于开始实行体温检测、加强社交距离,并且在某些地区地方允许更多的人远程工作。     (稿源:cnBeta,封面源自网络。)

商业服务巨头 Conduent 遭 Maze 勒索软件攻击

Maze勒索软件运营商声称已经成功攻击了商业服务巨头Conduent,他们窃取了其网络上未加密的文件并攻破加密设备。Conduent是一家位于美国新泽西州的商业服务公司,拥有6.7万名员工,2019年业务收入为44.7亿美元。 今天,Maze勒索软件操作者在他们的数据泄露网站上发布了一个新的条目,称他们在2020年5月入侵Conduent网络。在进行攻击时,Maze勒索软件的操作者会在部署勒索软件之前窃取未加密的文件。这些被窃取的数据和公开发布的威胁,被用作杠杆,说服受害者支付赎金。Maze勒索入侵者公布的入侵Conduent的证据,包括1GB文件,据称是在勒索软件攻击期间被盗取的。发布的文件名为’BusinessIntelligence.zip’和’Compliance1.zip’,包括各种财务电子表格、客户审计、发票、佣金报表和其他杂项文件。 由于已经发布的数据类型多样,Conduent必须将其作为数据泄露事件向客户和员工披露。在给BleepingComputer的一份声明中,Conduent证实他们在2020年5月29日遭受了勒索软件攻击,影响服务约10小时。Conduent表示:“旗下欧洲业务在2020年5月29日星期五经历了一次服务中断。我们的系统识别到了勒索软件,随后我们的网络安全协议对其进行了处理。这次中断始于欧洲中部时间5月29日凌晨12点45分,到欧洲中部时间当天上午10点,系统大部分又恢复了生产,此后所有系统都恢复了。这导致我们向部分客户提供的服务部分中断。随着我们的调查继续进行,我们有内部和外部安全取证和反病毒团队在审查和监控我们的欧洲基础设施。 威胁情报公司Bad Packets表示,在2019年12月17日到2020年2月14日之间的至少8周时间里,Conduent公司有一台Citrix服务器被曝出存在CVE-2019-19781漏洞。该漏洞允许攻击者在易受攻击的设备上进行远程代码执行,该漏洞已于2020年1月被修补。攻击者将这些设备作为中转站,然后在损害更多设备的同时,在内部网络中横向扩散。据悉,CVE-2019-19781漏洞过去曾被黑客用来入侵网络并部署勒索软件。虽然目前还不能确认这个漏洞是否被用作这次攻击的一部分,但Maze勒索软件操作者过去一直都是利用漏洞来进行网络入侵。     (稿源:cnBeta,封面源自网络。)  

勒索软件攻击者公开拍卖受害者机密数据

为迫使受害者支付赎金,勒索软件攻击者宣布拍卖受害者的机密数据。勒索软件 REvil、Sodin 和 Sodinokibi 背后的犯罪分子通过其维护的暗网网站 Happy Blog 启动了拍卖流程。 以前勒索软件攻击者为了迫使受害者支付赎金会选择性的披露部分窃取的数据。可能是早先的策略效果不佳,攻击者试图通过拍卖对受害者施加更大的压力。 Happy Blog 目前拍卖的数据来自于两家公司,其一是食品销售商,另一家是加拿大的农作物生产商。     (稿源:solidot,封面源自网络。)

加密文件增加 .Cov19 扩展名,FushenKingdee 勒索病毒正在活跃​

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/GnXrOJ2Ep469c0WUbMplag   一、概述 腾讯安全威胁情报中心检测到一款名为FushenKingdee的勒索病毒正在活跃,已有企业遭受攻击。该病毒系Scarab勒索病毒的变种,会使用RSA+AES的方式对文件进行加密。病毒不仅会加密文件内容,同时还会使用RC4+非标准的Base64对文件名进行加密编码,被攻击后系统内文件将被修改为“固定名的编码数据.cov19”格式。 攻击者留下勒索信,要求联系指定邮箱FushenKingdee@protonmail.com购买解密工具。被该病毒加密破坏的文件,目前暂不能解密恢复,腾讯安全专家提醒用户小心处理不明邮件,政企用户须强化网络安全管理措施,避免受害。 FushenKingdee勒索病毒作者疑似来自俄语地区,病毒加密时会排除俄罗斯、白俄罗斯、乌克兰等地。根据攻击者在受害电脑残留的processhacker(一款安全分析工具),NetworkShare v.2.exe(网络共享扫描)等工具,腾讯安全专家推测攻击者不仅限于加密一台电脑,还有进行网络扫描横向扩散的意图,攻击者可能采用钓鱼邮件、弱口令爆破、或漏洞入侵等方式尝试入侵,再释放勒索病毒。 目前,腾讯电脑管家、腾讯T-Sec终端安全管理系统均可查杀FushenKingdee勒索病毒。 二、安全建议与解决方案 腾讯安全专家建议用户采取必要措施提升网络安全性,避免遭遇勒索病毒攻击。 企业用户 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆; 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问; 3、采用高强度的密码,避免使用弱口令密码,并定期更换。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理; 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器; 5、对重要文件和数据(数据库等数据)定期备份,至少保留一份非本地的备份; 6、建议企业终端用户谨慎处理陌生电子邮件附件,若非必要,应禁止启用Office宏代码; 7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台。. 8、建议全网安装腾讯T-Sce终端安全管理系统(腾讯御点,https://s.tencent.com/product/yd/index.html)。 御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户 1、建议启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码; 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 三、样本分析 FushenKingdee勒索病毒使用了复杂的加密流程,在没有获得私钥的情况下,无法完成解密,因而中招后会损失惨重。 加密部分分析 病毒运行后首先从内存中使用ZLib解压出大量要使用的明文字串信息,其中包含了硬编码的RSA 2048公钥信息。 随后生成本地RSA 512密钥对信息,将其RSA 512 Private Key(N , D)导出后拼接保存待用。 之后再使用解压后配置中硬编码的RSA 2048 Public Key对其RSA 512 Private Key进行加密,加密结果待进一步处理。 RSA 512 Private Key被加密后,再进行以下3个流程处理: 计算RSA 512 Private Key被加密后的内容长度:下图(Offset:0x0,Size: 0x8); 对RSA 512 Private Key被加密后的内容进行CRC32校验,保存其Hash:下图(Offset:0x8,Size:0x4); 将其RSA 512 Private Key被加密后的内容进行ZLib-Level 2压缩,去除其压缩前2字节压缩标志,去除尾5字节后保存(Offset:0xC,Size:压缩后大小)。 最后再对其处理后的3部分数据使用修改过的Base64进行编码: 标准Base64-Table为: ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ 病毒修改后的Base64-Table为: ABCDEFGHIJKLMNOPQRSTUVWXYZ+=0123456789abcdefghijklmnopqrstuvwxyz 非标准Base64处理后的结果将保存作为用户ID,即勒索信中的personal identifier部分内容。 病毒加密文件前,会使用rdtsc对每个文件单独生成共计0x30(0x10+0x20两部分)字节的随机密钥数据。 其生成大小0x20字节部分会被首先作为Key,并结合使用RC4对其文件名进行加密 随后对RC4加密过的文件名数据进行非标准Base64编码,编码后的字串就是文件加密后的随机文件名,例如下图中文件名cef_100_percent.pak最终将被重命名为iDQbLSy99iHpsRqiT2f7kwmrQhhHKOcKFaq5TnhlZgEX5gLATUo.cov19 文件加密则使用了AES-256 CBC模式,之前生成的0x10字节数据将再次作为IV,0x20字节部分随机数据为作为Key,对文件内容进行加密。 文件内容加密完成后,再把随机生成的0x30字节数据拼接到一起使用本地生成的RSA 512 Public Key进行加密,最后附加到文件末尾,由于RSA 512 Private Key信息被硬编码RSA 2048 Public Key加密后再Zlib压缩Base64编码存放在勒索信中,无法获取其明文,故被加密文件在无私钥情况下无法解密。 其他行为分析 该病毒作者疑似来自俄语系国家,病毒加密会避开以下地域0x7(俄罗斯),0x177(白俄罗斯),0x17C(乌克兰) 病毒会加密大量扩展后缀文件,几乎包括所有的数据文件类型: 由于病毒会删除系统备份,文件卷影信息,被加密后的文件也无法通过文件恢复的方式找回,系统内大量文件将被加密为”乱码.cov19”形式,且病毒会对文件修改时间进行重设置以防止时间相关的随机生成参数被爆破的可能。 在病毒的实际攻击环境中,同时还发现了攻击者留下的processhacker(一款安全分析工具),NetworkShare v.2.exe(网络共享扫描)等工具,这说明攻击者并不满足于只加密一台机器,攻击者还会尝试扫描攻击局域网内其它机器以扩大战果。 IOCs MD5 aa87be1b17d851905ea3fa5d93223912

美国最大 ATM 供应商遭勒索软件攻击

美国最大 ATM 供应商 Diebold Nixdorf 遭勒索软件攻击。该公司表示黑客未能接触 ATM 或客户网络,只影响其企业网络。Diebold 有 3.5 万名员工,其 ATM 机器在全球的市场占有率估计为 35%,它还生产零售商使用的销售终端系统和软件。 攻击发生在 4 月 25 日晚上,安全团队探测到企业网络的异常行为,它立即采取行动隔离网络中的系统,阻止恶意程序扩散。该公司表示勒索软件没有影响到它的客户网络。入侵 Diebold 企业网络的是被称为 ProLock 的勒索软件。Diebold 称它没有向攻击者支付赎金。安全专家表示这么做也许更好,因为当前版本的 ProLock 解密工具会损坏数据库之类的大型文件。   (稿源:solidot,封面源自网络。)

NEMTY 的继任者——Nefilim/Nephilim 勒索软件

现在是一个研究跟踪勒索软件趋势的有趣时机,特别是在过去的一两年里,我们已经看到“主流”勒索软件甚至进一步扩展到了数据勒索和盗窃领域。对文件进行加密是一回事,但必须将每一个勒索软件感染都视为违规行为,这给这些攻击活动的受害者增加了多层复杂性。对于GDPR以及现在类似法律和合规性障碍,这尤其复杂。 勒索软件家族,如Maze、CLOP、DoppelPaymer、Sekhmet和Nefilim/Nephilim都是威胁的案例,一旦感染,就会给受害者带来相当复杂的问题。虽然Maze、DopplePayer和REvil往往会得到大量媒体报道,但Nephilim是另一个迅速发展的家族,它发起了多起破坏性活动。如果受害者不能“配合”他们的要求,他们就会公布受害者的敏感信息。   概述 Nefilim出现于2020年3月,与另一个勒索软件家族NEMTY共享相当一部分代码。NEMTY和Nefilim/Nephilim背后的确切关系尚不清楚。 NEMTY于2019年8月作为一个公共项目推出,之后转为私有。目前的数据表明,在这两个家族背后的不是同一个人,更有可能的是,Nephilim背后的人以某种方式从NEMTY那里“获得”了必要的代码。 Nefilim和NEMTY的两个主要区别是支付模式,以及缺少RaaS操作。Nefilim指示受害者通过电子邮件与攻击者联系,而不是将他们引导到基于torm的支付网站。为了使家谱更加混乱,Nefilim似乎演变为了“Nephilim”,两者在技术上相似,主要区别在于扩展名和加密文件中的工件。 然而,也有情报表明,NEMTY已经继续并分支到一个新的“NEMTY Revenue”版本。在此之前,NEMTY的幕后主使宣布他们将把威胁私有化(不再公开访问RaaS行动)。 从技术上讲,Nephilim与其他著名的勒索软件家族没有什么不同。目前主要的传播方法是利用易受攻击的RDP服务。一旦攻击者通过RDP破坏了环境,他们就会继续建立持久性,在可能的情况下查找和窃取其他凭证,然后将勒索软件的payload传播给潜在目标。   Nephilim加密协议 在Nephilim样本中我们分析了实际的文件加密是通过标签组AES-128和RSA-2048处理的。注意,Nefilim/Nephilim背后的原始供应商也这样做。 特定的文件使用AES-128加密。此时,使用RSA-2048公钥加密AES加密密钥。公钥随后被嵌入到勒索软件的可执行payload中。这是一个不同于纯NEMTY的区域,后者已知使用了不同的密钥长度。例如,早期版本的NEMTY使用RSA-8192作为“主密钥”,用于加密目标配置数据和其他密钥(src: Acronis)。 我们还知道NEMTY的变体使用RSA-1024公钥来处理AES加密密钥。此外,在早期版本的NEMTY中,处理特定大小范围的文件的方式也存在差异。NEMTY的后续版本(又名NEMTY REVENUE 3.1)在计数器模式下利用AES-128和RSA-2048加密AES密钥。 目前,只有Nephilim背后的参与者能够解密受影响的文件。也就是说,没有已知的漏洞或方法来绕过攻击者对加密文件的保护。   感染后的行为 感染后,加密文件的扩展名为.nefilim或.Nephilim。在包含加密文件的目录中存放着类似的名为ransom的记录。 在某些情况下,对于Nephilim,“nephilm – decrypt.txt”将只写入~\AppData\Local\VirtualStore。本地存储的桌面壁纸的位置和名称各不相同。在最近的Nephilim感染中,备用桌面映像被写入%temp%,文件名为’ god.jpg ‘。   字符串,区别特征 Nephilim的另一个特点是使用嵌入的字符串和编译器路径来发送“微妙的信息”,主要是向研究人员和分析人员发送。例如,以下编译器路径可以在这些示例中找到(均在2020年4月7日编译): b8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e fcc2921020690a58c60eba35df885e575669e9803212f7791d7e1956f9bf8020 而样本为: d4492a9eb36f87a9b3156b59052ebaf10e264d5d1ce4c015a6b0d205614e58e3 从2020年3月开始包含对特定AV厂商的额外攻击。 该样本来源于@malwrhunterteam 在3月13号的推文。 羞辱策略 Nefilim/Nephilim还威胁说,如果受害者拒绝配合要求,他们将公布敏感信息,这一点在这张典型的Nephilim勒索信中得到了证明。 受害者试图谈判或拒绝付款都属于不遵守规定的范畴。迄今为止,已有两家公司在Nephilim的“shaming”网站(clearnet和基于TOR的网站)上发布。值得注意的是,最初,其网站上列出的所有公司都是石油和能源公司。但是,在2020年4月23日至4月27日期间,该组织又在现场增加了三名受害者。其中一家是另一家大型石油和天然气公司,另外两家则被归类为“服装和时装”和“工程与建筑服务”。 其他多个勒索软件家族也遵循相同的做法,将“基本”勒索软件感染转变为完全(有时是灾难性的)数据泄露。使用该模型的其他知名家族包括Maze、REvil DoppelPaymer、CLOP、Sekhmet,以及最近的Ragnar。我们注意到,Nefilim/Nephilim也是“发誓”在当前新冠疫情大流行期间不攻击医疗实体、非营利组织和其他“关键”实体的家族之一。 结论 保护你的环境免受像Nephilim这样的威胁比以往任何时候都更加重要。为了防止数据丢失和大规模数据泄露的后果,企业必须依赖于一个现代的、受良好维护的、适当调整的、受信任的安全解决方案。预防是这些攻击的关键。即使可以通过解密器、备份或回滚来减轻加密/数据丢失的情况,受害者仍然面临其数据公开发布的问题。我们鼓励我们的客户分析和理解威胁,并采取迅速而适当的行动以防止事故发生。 为了方便起见,我们在下面提供了SHA256和SHA1哈希。 SHA256 8be1c54a1a4d07c84b7454e789a26f04a30ca09933b41475423167e232abea2b b8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e 3080b45bab3f804a297ec6d8f407ae762782fa092164f8ed4e106b1ee7e24953 7de8ca88e240fb905fc2e8fd5db6c5af82d8e21556f0ae36d055f623128c3377 b227fa0485e34511627a8a4a7d3f1abb6231517be62d022916273b7a51b80a17 3bac058dbea51f52ce154fed0325fd835f35c1cd521462ce048b41c9b099e1e5 353ee5805bc5c7a98fb5d522b15743055484dc47144535628d102a4098532cd5 5ab834f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6 52e25bdd600695cfed0d4ee3aca4f121bfebf0de889593e6ba06282845cf39ea 35a0bced28fd345f3ebfb37b6f9a20cc3ab36ab168e079498f3adb25b41e156f 7a73032ece59af3316c4a64490344ee111e4cb06aaf00b4a96c10adfdd655599 08c7dfde13ade4b13350ae290616d7c2f4a87cbeac9a3886e90a175ee40fb641 D4492a9eb36f87a9b3156b59052ebaf10e264d5d1ce4c015a6b0d205614e58e3 B8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e fcc2921020690a58c60eba35df885e575669e9803212f7791d7e1956f9bf8020 SHA1 4595cdd47b63a4ae256ed22590311f388bc7a2d8 1f594456d88591d3a88e1cdd4e93c6c4e59b746c 6c9ae388fa5d723a458de0d2bea3eb63bc921af7 9770fb41be1af0e8c9e1a69b8f92f2a3a5ca9b1a e99460b4e8759909d3bd4e385d7e3f9b67aa1242 e53d4b589f5c5ef6afd23299550f70c69bc2fe1c c61f2cdb0faf31120e33e023b7b923b01bc97fbf 0d339d08a546591aab246f3cf799f3e2aaee3889 bbcb2354ef001f476025635741a6caa00818cbe7 2483dc7273b8004ecc0403fbb25d8972470c4ee4 d87847810db8af546698e47653452dcd089c113e E94089137a41fd95c790f88cc9b57c2b4d5625ba Bd59d7c734ca2f9cbaf7f12bc851f7dce94955d4 f246984193c927414e543d936d1fb643a2dff77b d87847810db8af546698e47653452dcd089c113e     消息来源:SentinelLABS, 译者:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接