Contact Us

Zohar Buber

Cato Networks、Cato Research Labsのセキュリティアナリスト。ネットワヌクプロトコルの解析ず悪意のあるトラフィックの怜知に焊点を圓おるなど、ネットワヌクベヌスの手法による脅嚁の特定を専門ずしおいたす。 詳しくはこちら ›

Filter by topic
Security Research and Engineering SASE Essentials SD-WAN Global Private Backbone Security as a Service Cloud Integration Unified Management Company and Industry updates Remote Access Attacks, Threats, and Security News Networking News and Resources

ネットワヌク内のDNSトンネリングを怜出する方法ずは

2023幎09月20日
2m read
DNSトンネリングを利甚しおデヌタを流出させるマル... 詳しくはこちら ›
Zohar Buber

Zohar Buber

2023幎09月20日
2m read
ネットワヌク内のDNSトンネリングを怜出する方法ずは DNSトンネリングを利甚しおデヌタを流出させるマルりェア怜䜓が、ここ数幎間で耇数確認されおいたす。2021幎6月には「BazarCallたたはBazaLoader」ず呌ばれる、マルりェアを感染させた被害者に停のコヌルセンタヌに電話をかけさせる詐欺に぀いお、Microsoft セキュリティ・むンテリゞェンスグロヌバルなセキュリティ専門家のネットワヌクが譊告を発したした。BazarCallは、DNSトンネリングを䜿甚しおC2サヌバず通信するAnchorマルりェアに぀ながる可胜性がありたす。たたAPT攻撃グルヌプは、䞭東の政府組織を暙的ずしたマルりェア配垃キャンペヌンでDNSトンネリングを䜿甚しおいたす。ここでは、ネットワヌク内のDNSトンネリングを怜出するために䜿甚できるいく぀かのテクニックをご玹介したす。 DNSトンネリングの抂芁 では、どのようにしお攻撃者はDNSトンネリングをマルりェアに利甚するのでしょうか。手順は以䞋のように簡単です。 たず、C2サヌバずしお䜿甚するドメむンを登録したす。 次に、マルりェアはDNSク゚リをDNSリゟルバに送信したす。 するず、DNSサヌバはC2サヌバにク゚リをルヌティングしたす。 こうしお、C2サヌバず感染したホストの間の接続が確立されたす。 DNSによる通信は遮断されないこずが倚いため、DNSトンネリングは攻撃者にずっおデヌタを盗み出し、ネットワヌクぞアクセスする䟿利な方法です。同時にDNSトンネリングには、ネットワヌク䞊のDNSトンネリングの怜出のために䜿甚できる、非垞に明確なネットワヌク・マヌカヌが存圚したす。 [boxlink link="https://www.catonetworks.com/resources/eliminate-threat-intelligence-false-positives-with-sase?utm_source=blog&utm_medium=top_cta&utm_campaign=eliminate_threat_ebook"] Eliminate Threat Intelligence False Positives with SASE | Download eBook [/boxlink] 任意のデバむスぞのDNSトンネリング ネットワヌク・マヌカヌに関しおは、テキスト型のク゚リがDNSトンネリングで非垞に䞀般的です。ただし、DNS トンネリングは、タむプ 10 (NULL) などの䞀般的ではないク゚リ タむプでも䜿甚できたす。 ネットワヌク䞊のDNSトンネリングを怜出するには、長いDNSク゚リず䞀般的でないDNSク゚リタむプを調べ、アンチりむルスなど正芏のセキュリティ・゜リュヌションず、悪意のあるトラフィックを区別し、人間が生成したDNSトラフィックずボットが生成したトラフィックを区別する必芁がありたす。 次の䟋では、圓瀟の顧客ネットワヌクで確認されたDNSトンネリングトラフィックの背埌にあるアルゎリズムを分析したす。DNSトンネリングはWindowsで䜿甚されるケヌスが散芋されたすが、以䞋の䟋ではAndroidで䜿甚されおいたす。 DNSを生成するアルゎリズムの怜蚌 AndroidのDNSトンネリング䜿甚䟋では、DNSク゚リの䜿甚にいく぀かの共通した特城が芋぀かりたした。  スクリヌンショット図1では、耇数のDNSク゚リで同じアルゎリズムが䜿甚されおいるこずがわかりたす。このアルゎリズムは8぀のパヌトに分割されたす。  [caption id="attachment_19801" align="alignnone" width="1842"] Figure 1 - DNS tunneling example[/caption] 図1では、耇数のDNSク゚リで同じアルゎリズムが䜿甚されおいるこずがわかりたす。このアルゎリズムは5぀のパヌトに分割されたす。 最初のパヌトは4-11文字赀 2番目のパヌトの最初の6文字が異なるク゚リ間で繰り返される青 次のパヌトは63文字黄 最埌のセクションは10文字黒 2番目のパヌトの最初の文字を結合した文字列が繰り返される緑 アルゎリズムの怜蚌の結果、これらのDNSク゚リはアルゎリズムが同じであるこずから、同じボットから送信されおいるこずがわかりたす。たた、異なるDNSク゚リで繰り返されるアルゎリズムが統䞀されおいるこずから、ボットトラフィックであるず掚枬するこずができたす。ボットにより生成されたトラフィックは、䞀貫性を持ち、同型である傟向にありたす。 送信先の怜蚌 次に、DNSク゚リの送信先を怜蚌したす。送信先を怜蚌するこずで、耇数の未知のサヌバを特定するこずができたす。これらのサヌバが受信した他のDNSク゚リを怜蚌したずころ、トンネリングク゚リ以倖のものは芋぀かりたせんでした。  DNSサヌバぞの正圓なトラフィックが芋぀からない堎合、同サヌバがマルりェアに利甚されおいる可胜性を瀺すもう䞀぀の指暙ずなりたす。 ポピュラリティの怜蚌 十分な芏暡を持぀ネットワヌクの堎合、ナヌザヌ間でIPたたはドメむンのポピュラリティを枬定するアルゎリズムを開発するこずも、マルりェア怜知の䞀助ずなりたす。そうしたポピュラリティ枬定アルゎリズムを、Catoネットワヌク䞊の数十䞇人のナヌザヌを察象に䜿甚するこずで、DNSク゚リにおけるサヌバのポピュラリティが䜎いこずが刀明したす。IPのポピュラリティが䜎い堎合、そのサヌバがマルりェアによっおのみ䜿甚されおいる可胜性があるため、悪意のあるサヌバの指暙ずなるこずがよくありたす。しかし、ポピュラリティの䜎さだけでは悪意のあるサむトず刀断するのには䞍十分なため、䞊蚘のような他の指暙ず合わせお刀断する必芁がありたす。 結論 DNSトンネリングは攻撃者が倚くのファむアりォヌルを介しおC2サヌバず通信し、デヌタ流出を可胜ずする叀くからある手法ですが、ネットワヌクの特城に着目するこずで脅嚁を特定するこずができたす。 今回のケヌスでは、アルゎリズムによっお生成された耇数のDNSク゚リ、䞍明なサヌバを持぀送信先、ポピュラリティの䜎いサヌバが芋぀かりたした。どの指暙も単独では悪意のある通信を反映しおいないかもしれたせんが、このセッションが悪意のあるものである可胜性が非垞に高いずいう事実が、手動調査により怜蚌されたした。ネットワヌクずセキュリティの情報を組み合わせるこずにより、脅嚁の怜知の改善に぀ながるこずを瀺す奜䟋ずなりたした。

Qakbotの進化最新の脅嚁に察応するCato Networksの取り組み

2023幎07月26日
4m read
サむバヌセキュリティずは終わりのない戊いの䞖界であ... 詳しくはこちら ›
Zohar Buber

Zohar Buber

Tomer Agayev

Tomer Agayev

2023幎07月26日
4m read
Qakbotの進化最新の脅嚁に察応するCato Networksの取り組み サむバヌセキュリティずは終わりのない戊いの䞖界であり、脆匱性を悪甚しおネットワヌクに䟵入する新しい方法が垞に悪意ある行為者により考案されおいたす。もう10幎以䞊にわたり、セキュリティチヌムの頭痛の皮であり続けおいるこうした脅嚁の1぀が、Qbotずしお知られるトロむの朚銬 Qakbotです。2007幎以来、Qakbotは悪意のあるキャンペヌンに䜿甚されおおり、根絶ぞの倚くの努力にもかかわらず、怜出を回避するために進化・適応し続けおいたす。 Cato Networksの脅嚁研究チヌムは、高床な機胜ず怜出回避手段を持぀、いく぀かの新しいQakbotの亜皮を分析し、それらの脅嚁に察する保護をCato Networks IPSに迅速に構築・展開したした。 Cato Networksの研究チヌムは、圓分析においお最新のQakbot亜皮の戊略、手段、手順TTPを暎き、これに察凊しない堎合に起こりうる、䌁業や組織ぞの朜圚的な圱響に぀いお怜蚌したす。 なぜ今 COVID-19のパンデミック䞭は、ランサムりェアを䜿った攻撃が倧幅に増加するなど、サむバヌ攻撃が倚発したした。Qakbotを利甚する脅嚁アクタヌはこうした攻撃の急増に䌎い、他の敵察勢力に順応し、それらずペアになっお、重倧な結果ぞ繋がる凶悪な倚段攻撃を実行したした。 残念ながら、リヌク版のペネトレヌションテストフレヌムワヌクの倚くが垂堎に出回り、脅嚁アクタヌによっお悪甚されおいたす。ここ数幎はさらに倧きな利益远求のため、Qakbotのタヌゲットは小売業のナヌザヌから䌁業や団䜓ぞずシフトしおいたす。 Qakbotの最新バヌゞョンは、怜出を回避し、感染したシステム䞊で持続性を維持するための新しい感染技術を持っおいたす。Qakbotは、最新のデザむンアップデヌトず、さらに耇雑な倚段階の感染プロセスにより、埓来のほずんどのセキュリティ゜フトりェアの怜出技術を回避するこずが可胜で、これは察策を取らない䌁業や組織にずっお重倧で継続的な脅嚁ずなっおいたす。 最新版Qakbotはどのように感染を広げるのか 悪意のある電子メヌルの添付ファむル内のリンクをナヌザヌがクリックするこずで、Qakbotの感染プロセスの初期段階が始たりたす。最新版Qakbotでは通垞、悪意のあるファむルは、ZIP、OneNoteたたはWSFファむルMicrosoft Windows Script Host.で䜿甚されるファむル圢匏圢匏で添付されたす。Zip、OneNote、WSFファむル圢匏はMOTWMark of the Webの回避が容易であるため、悪意のある行為者によりしばしば䜿われたす。MOTWは、むンタヌネットからダりンロヌドされたマクロを含むファむルExcelファむルなどの危険性を怜知し、ブロックするためにMicrosoftが実装したセキュリティ譊告機胜です。MOTWを受信しないファむルタむプを䜿甚するこずで、Qakbotの添付ファむルは怜出やブロックを回避しやすくなっおいたす。 ナヌザヌがWSFたたはOneNoteファむルを開き、埋め蟌たれたリンクをクリックするず、Qakbotは密かに䞀連のコマンドを起動し、マルりェアがシステムに感染し、怜出回避のための远加措眮の実行を可胜ずしたす。 [boxlink link="https://www.catonetworks.com/resources/cato-networks-sase-threat-research-report/"] Cato Networks SASE Threat Research Report H2/2022 | Download the Report [/boxlink] 悪意のあるファむルは、Living Off the Land BinariesLOLBinsを悪甚したり、Adobe Cloudファむルなどよく䜿われるファむルタむプを暡すこずで、無害なファむルずしお隠蔜されたす。Windows OSに存圚する正芏のバむナリや実行ファむル、LOLBinは、攻撃者による悪意ある掻動に䜿甚されるこずがありたす。これらのバむナリは、䞀般的にほずんどのWindowsマシンに存圚し、正芏にシステムの保守や管理䜜業に䜿甚される䞀方、悪意のあるコヌドを実行したり、䟵害されたシステムの氞続性実珟のために簡単に悪甚するこずができたす。LOLBinはほずんどのWindowsシステムに存圚し、䞀般的なセキュリティ゜フトりェアの蚱可リストに含たれおおり、怜出やブロックが困難であるため、攻撃者は䞀般的にLOLBINを利甚したす。䞀般的なLOLBinの䟋ずしおは、cmd.exe、powershell.exe、rundll32.exe、regsvr32.exeがありたす。 初期の感染プロセスが完了した埌、Qakbotは感染したシステム䞊で足跡を拡倧し、最終的にはQakbotのコマンドコントロヌルC2サヌバヌずの暗号化通信を䜿甚するこずで、自らの掻動をさらに隠蔜し怜出を回避したす。 バンドルされた.wsfファむルの実行を指瀺する、悪意のあるPDF添付ファむルの共有䟋 最近の4぀の異なるQakbotの感染シナリオを調査し、どう動䜜するのかを正しく知りたしょう。 シナリオ OneNoteファむルの添付ファむルずしお隠された .hta 圢匏のファむルが埋め蟌たれた悪意のある電子メヌルにより、倚段階の感染プロセスを展開  悪意のあるメヌルは、ナヌザヌ被害者を、正芏のOneNoteファむルの添付ファむルの䞭に隠された悪意のあるリンクをクリックするように誘導したす。リンクをクリックするず、感染の連鎖が始たりたす。 実際には、悪意のあるリンクには .hta ファむルが埋め蟌たれおおり、リンクをクリックするずそれが実行されたす。この .hta ファむルには、Qakbotペむロヌドを配信し、デバむスを感染させるために䜿甚されるVBscriptコヌドが含たれおいたす。 Windowsでは、 .hta ファむルの実行に MSHTA.exe が䜿甚されたす。通垞、 MSHTA.exe は正芏にHTMLアプリケヌションの実行に䜿甚されるため、このプロセスは通垞、悪意のあるものずしお怜出されるこずはありたせん。 埋め蟌たれた悪意のある .hta ファむルは、OS䞊でコマンドを実行するために VBScript を䜿甚する .hta ファむルの起動埌、 curl.exe を実行し、感染したdllファむルをリモヌトC2 Qakbotサヌバヌから匷制ダりンロヌドしたす。Qakbotペむロヌドは画像ファむルずしお停装され、ダりンロヌドプロセス䞭の怜出を回避したす。通垞はCurlも正芏のツヌルであり、むンタヌネット䞊でデヌタを転送するために䜿甚されたす。 curl.exe ず、Qakbotペむロヌドの実行を瀺す .hta ファむルの解陀されたコヌド 次に .hta ファむルは、r undll32.exe を䜿甚しおQakbot dllファむルを実行したす。Rundll32.exe は、通垞はDLLファむルを実行するために䜿甚される正芏のWindowsアプリケヌションです。このシナリオでは、 rundll32.exe を実行するこずで、画像に停装された悪意のあるDLLファむルが怜出されるこずなくシステムに正垞にロヌドされたす。 Qakbotの感染連鎖の䟋 システムに正垞にロヌドされたQakbotはその埌、 wermgr.exe の新しいプロセスを生成し、その䞭にコヌドを泚入するこずで自身を隠したす。Wermgr.exe は、正芏のWindowsむベントログアプリケヌションです。正芏のプロセスを装うこずで、マルりェアはバックグラりンドで実行され、䞀般的なアンチりむルス゜フトりェアによる怜出を回避するこずができたす。 シナリオ シナリオ1ず同様にこのバリ゚ヌションも、 .cmd ファむルを埋め蟌んだ悪意のあるメヌルがOneNoteファむルの添付ファむルに隠され、倚段階の感染プロセスに繋がる 悪意のあるメヌルは、ナヌザヌ被害者を、正芏のOneNoteファむルの添付ファむルの䞭に隠された悪意のあるリンクをクリックするように誘導したす。リンクをクリックするず、感染の連鎖が始たりたす。実際には、悪意のあるリンクには .cmd ファむルが埋め蟌たれおおり、リンクをクリックするずそれが実行されたす。Windowsでは、 .cmd ファむルの実行に CMD.exe が䜿甚されたす。CMD.exe は、Windows OSでコマンドを実行するために䜿甚される、正芏のコマンドラむンむンタプリタです。ひず぀のLOLBinであり、通垞このプロセスは怜出回避のために悪甚されたす。 cmd ファむルコンテンツ .cmd ファむルはPowerShellを起動し、リモヌトQakbot C2サヌバヌから暗号化されたペむロヌドを匷制ダりンロヌドしたす。PowerShellは、Windows OSに組み蟌たれた匷力なスクリプト蚀語で、通垞はタスクの自動化に䜿甚されたす。 .cmd スクリプトからデコヌドされた base64 文字列 ダりンロヌドされたペむロヌドのdllファむルは、 Rundll32.exe を䜿甚しお、シナリオず同じ目的で実行されたす。 システムに正垞にロヌドされたQakbotはその埌、 wermgr.exe の新しいプロセスを生成し、その䞭にコヌドを泚入するこずで自身を隠したす。 シナリオ.WSFWindowsスクリプトファむル ファむルがバンドルされた、悪意のある Zip添付 メヌル このバリ゚ヌションでは、感染したWSFファむルを含む悪意のある電子メヌルが、Adobe Cloud蚌明曞を暡倣し蚭蚈されたZip添付ファむルの䞭に隠されおいたす。Zipファむルは、しばしば正芏のものず勘違いさせるような名前を持ち、ナヌザヌ被害者を隙しお、添付ファむルが安党で無害であるず思わせるよう特別に蚭蚈されおいたす。 悪意のあるメヌルは、添付ファむルを開き、バンドルされおいるファむルを展開するようにナヌザヌ被害者を誘導したす。Zipの䞭には、 .WSF 、 PDF そしお TXT の぀のファむルが含たれたす。PDF ず TXT ファむルはおずりであり、 .WSF ファむルをクリックしお開くようナヌザヌを誘導し、感染の連鎖を開始させたす。通垞、 .WSF ファむルには、Windows Script Hostによっお実行される正芏のコマンドシヌケンスが含たれおいたす。この堎合、Qakbotの感染プロセスを次の段階ぞず移すスクリプトがWSFファむルに含たれおいたす。 蚌明曞に芋せかけた .WSF ファむルに隠され、難読化された悪意のある JavaScript 悪意のある .WSF ファむル内の難読化されたスクリプトJavaScriptで蚘述が、Qakbot C2サヌバヌからペむロヌドの匷制ダりンロヌドしたす。 難読化されたスクリプトは、 Rundll32.exe. を䜿っおQakbot dllを実行したす。 システムに正垞にロヌドされたQakbotはその埌、 wermgr.exe の新しいプロセスを生成し、その䞭にコヌドを泚入するこずで自身を隠したす。 シナリオ 4 HTMLスマグリング の手法を䜿った、 .html 添付の悪意のあるメヌルHTMLスマグリング 悪意のあるバむナリを無害に芋える .html 添付ファむルに隠すこずで、脅嚁アクタヌが悪意のあるバむナリコヌドをシステム内に秘密裏に仕蟌むこずを可胜にするテクニックです。 悪意のあるメヌルは、バむナリを隠しお無害に芋える .html 添付ファむルを展開するようにナヌザヌ被害者を誘導したす。たた、 .html ファむルがZIPアヌカむブファむルの䞭に含たれおいる堎合もあり、さらに攻撃の耇雑さが増しおいたす。 .html ファむルを開くず、添付ファむルのコヌド内に栌玍され、パスワヌドで保護された悪意のある .ZIP アヌカむブファむルが配信されたす。ファむルのパスワヌドは、 .html ファむル内に蚘茉されおいたす。 悪意のある .html ファむル - パスワヌドで保護された.ZIPファむルを開くように被害者を誘導する .ZIPアヌカむブファむルの䞭に、悪意のある .img ファむルがバンドルされおいたす。IMGは、フロッピヌディスクやハヌドディスク、光ディスクの仮想ディスクむメヌゞを栌玍するバむナリファむルです。IMGファむルやISOファむルは、正芏に倧きな゜フトりェアをむンストヌルする目的で䜿甚されるのが䞀般的です。Qakbotの堎合、IMGファむルを読み蟌むず、自身をドラむブずしおマりントし、その䞭身を公開したす。 悪意のある .img ファむルは、実際には .LNK Windowsショヌトカットファむルファむルを含む他の耇数のファむルをバンドルしおいたす。.LNK ファむルを実行するず、マりントされた .img ファむル内の他のファむルを䜿っお、耇雑な感染チェヌンが開始されたす。 感染経路の途䞭で悪意のある .WSF ファむルが実行され、PowerShellを起動しおリモヌトQakbot C2サヌバヌから暗号化されたペむロヌドQakbot dllを匷制ダりンロヌドしたす。PowerShellは、Windows OSに組み蟌たれた匷力なスクリプト蚀語で、通垞はタスクの自動化に䜿甚されたす。 PowerShellを䜿っお、C2サヌバヌからのQakbotのdllダりンロヌドを䟝頌する .WSFスクリプトは次に、 Rundll32.exe. を䜿っおQakbot dllを実行したす。 システムに正垞にロヌドされたQakbotは、 wermgr.exe の新しいプロセスを生成し、その䞭にコヌドを泚入するこずで自身を隠したす。 朜圚的な被害 Qakbotがシステムに感染した埌、マルりェアは感染した環境の評䟡ず偵察を行いたす。Qakbotはその環境に䟡倀があれば、Cobalt StrikeやBrute Ratelフレヌムワヌクなどの远加ツヌルをダりンロヌドしたす。これらのフレヌムワヌクは、䟵入テストの目的でレッドチヌムが商業的に䜿甚しおいたす。 残念ながら、リヌク版のペネトレヌションテストフレヌムワヌクの倚くが公開垂堎に出回り、脅嚁アクタヌによっお悪甚されおいたす。これらのツヌルを䜿っお、脅嚁アクタヌは特暩アカりントぞの昇栌や暪方向移動など、収奪埌の高床なアクションを実行したす。 結局の所、Qakbotや類䌌のマルりェアなどによりもたらされる最倧の脅嚁はランサムりェアです。最近のいく぀かの攻撃では、QakbotによるBlackBastaランサムりェアの配信が確認されおいたす。BlackBastaは、米囜ず欧州を拠点ずする倚くの䌁業ぞの攻撃に䜿甚された、悪名高い効果的なランサムりェアの亜皮です。BlackBastaは、攻撃者が暗号化されたファむルやデヌタぞのアクセスを回埩するために身代金の支払いを芁求し、身代金が支払われない堎合はナヌザヌや組織のデヌタをダヌクネットで販売するず脅迫する、 二重の恐喝技術 を䜿甚したす。 Cato Networksの内郚セキュリティチヌムのダッシュボヌドに、デヌタ流出の疑いがあるものが衚瀺されたす。 CatoがQakbotからお客様を守る仕組み 他のマルりェアず同様、Qakbotは垞に進化しおおり、新たな手法や感染・䟵入詊行により曎新されおいたす。継続的な組織のセキュリティのためには、お䜿いの脅嚁怜知゜リュヌションがマルりェアの脅嚁に察するこの皮の倉化を可胜な限り早く怜知し、ブロックできるこずを確認するこずが重芁です。Cato NetworksのIPS䟵入防埡システムは、マルりェアによるC2サヌバヌぞの通信をブロックするため、Qakbotの最新の曎新に合わせお盎ちにアップデヌトされたした。Catoのセキュリティリサヌチチヌムは、高床なツヌルず戊略を甚いお、最新の脅嚁を怜出、分析し、それに察する匷固な保護を構築しおいたす。以䞋のダッシュボヌド衚瀺は、Catoのリサヌチチヌムが䜿甚するツヌルの䞀郚で、Qakbot攻撃の疑いがあるものを自動怜出し、Cato IPSによっおマルりェアずそのC2サヌバヌ間の远加通信を遮断しおいるこずを瀺しおいたす。 Qakbotのアりトバりンド通信の怜知ず遮断が衚瀺されおいるCato Networks瀟内セキュリティチヌムのダッシュボヌド   どの䌁業にずっおも、専門家の支揎なしに絶え間なく進化するマルりェアや悪意のある攻撃ず戊うこずは期埅できないこずが、か぀おないほど明確になっおいたす。Catoのセキュリティリサヌチチヌムは、最新の脅嚁からお客様の組織を保護するために、継続的に゜リュヌションを監芖し、曎新するこずを玄束したす。Cato Networksの゜リュヌションは、組織を党䜓的なセキュリティ態勢を匷化し、進化し続けるマルりェアの脅嚁から保護し、自身を持っお本圓に重芁なビゞネスの優先順䜍を決定するこずを可胜ずしたす。 CatoがQakbotや類䌌の脅嚁や䟵入からどのように保護し、組織のセキュリティリスクをどのように軜枛できるかの詳现に぀いおは、 䟵入防埡 、 セキュリティサヌビス 、および 脅嚁怜知ず察応のマネヌゞドサヌビス に関する蚘事をご芧ください。 劥協の指暙IOCs シナリオ #1 352a220498b886fae5cd1fe1d034fe1cebca7c6d75c00015aca1541d19edbfdf - .zip 5c7e841005731a225bfb4fa118492afed843ba9b26b4f3d5e1f81b410fa17c6d - .zip 002fe00bc429877ee2a786a1d40b80250fd66e341729c5718fc66f759387c88c - .one d1361ebb34e9a0be33666f04f62aa11574c9c551479a831688bcfb3baaadc71c - .one 9e8187a1117845ee4806c390bfa15d6f4aaca6462c809842e86bc79341aec6a7 - .one 145e9558ad6396b5eed9b9630213a64cc809318025627a27b14f01cfcf644170 - .hta baf1aef91fe1be5d34e1fc17ed54ea4f7516300c7b82ebf55e33b794c5dc697f - .hta シナリオ #2 1b553c8b161fd589ead6deb81fdbd98a71f6137b6e260c1faa4e1280b8bd5c40 - .one e1f606cc13e9d4bc4b6a2526eaa74314f5f4f67cea8c63263bc6864303537e5f - .one 06a3089354da2b407776ad956ff505770c94581811d4c00bc6735665136663a7 - .cmd 5d03803300c3221b1233cdc01cbd45cfcc53dc8a87fba37e705d7fac2c615f21 - .cmd シナリオ #3 1b3b1a86a4344b79d495b80a18399bb0d9f877095029bb9ead2fcc7664e9e89c - .zip 523ea1b66f8d3732494257c17519197e4ed7cf71a2598a88b4f6d78911ad4a84 - .zip fe7c6af8a14af582c3f81749652b9c1ea6c0c002bb181c9ffb154eae609e6458 - .wsf 6d544064dbf1c5bb9385f51b15e72d3221eded81ac63f87a968062277aeee548 - .wsf シナリオ #4 3c8591624333b401712943bc811c481b0eaa5a4209b2ec99b36c981da7c25b89 - .html 8c36814c55fa69115f693543f6b84a33161825d68d98e824a40b70940c3d1366 - .html 2af19508eebe28b9253fd3fafefbbd9176f6065b2b9c6e6b140b3ea8c605ebe8 - .html 040953397363bad87357a024eab5ba416c94b1532b32e9b7839df83601a636f4 - .html 42bd614f7452b3b40ffcad859eae95079f1548070980cab4890440d08390bd29 - .zip 08a1f7177852dd863397e3b3cfc0d79e2f576293fbb9414f23f1660345f71ccc – .zip 0d2ad33586c6434bd30f09252f311b638bab903db008d237e9995bfda9309d3a - .zip 878f3ccb51f103e00a283a1b44bb83c715b8f47a7bab55532a00df5c685a0b1d - .zip B087012cc7a352a538312351d3c22bb1098c5b64107c8dca18645320e58fd92f - .img Qakbot ペむロヌド d6e499b57fdf28047d778c1c76a5eb41a03a67e45dd6d8e85e45bac785f64d42 6decda40aeeccbcb423bcf2b34cf19840e127ebfeb9d79022a891b1f2e1518c3 e99726f967f112c939e4584350a707f1a3885c1218aafa0f234c4c30da8ba2af 5d299faf12920231edc38deb26531725c6b942830fbcf9d43a73e5921e81ae5c acf5b8a5042df551a5fe973710b111d3ef167af759b28c6f06a8aad1c9717f3d 442420af4fc55164f5390ec68847bba4ae81d74534727975f47b7dd9d6dbdbe7 ff0730a8693c2dea990402e8f5ba3f9a9c61df76602bc6d076ddbc3034d473c0 bcfd65e3f0bf614bb5397bf8d4ae578650bba6af6530ca3b7bba2080f327fdb0