淺析巴西惡意軟件進(jìn)化史

責(zé)任編輯:editor005

作者:felix

2016-04-08 15:04:54

摘自:FreeBuf.COM

巴西的惡意軟件日復(fù)一日地持續(xù)進(jìn)化著,這使它變得越來越復(fù)雜。在下面的代碼中,開發(fā)者加密了原始的用于下載惡意載荷的函數(shù)代碼,通過靜態(tài)分析你無法明白這個函數(shù)的意圖是什么。

介紹

巴西的惡意軟件日復(fù)一日地持續(xù)進(jìn)化著,這使它變得越來越復(fù)雜。如果你想了解當(dāng)前各種各樣的惡意軟件是怎么工作的,你可以直接跳到第三節(jié)。在此之前,我們將會展示巴西網(wǎng)絡(luò)犯罪者使用的技術(shù)是怎么變化的,怎么變得如此高級而復(fù)雜。

以前,分析和檢測巴西惡意軟件是非??斓氖虑椋?yàn)闆]有任何混淆,沒有反調(diào)試技術(shù),沒有加密,使用明文通信,等等。代碼本身使用Delphi和Visual Basic6,由于包含很多大體積圖片,使得其文件很大,因?yàn)楹苌偈褂卯惓L幚?,進(jìn)程常常會崩潰。

現(xiàn)在情況不同了,攻擊者花費(fèi)時間和金錢來開發(fā)一套惡意軟件方案,惡意載荷通過混淆和代碼保護(hù)被完全隱藏起來。他們也使用Delphi和VB,但也開始采用像.NET之類的其它語言,代碼質(zhì)量相比以前有很大提高,很顯然,它已經(jīng)進(jìn)入了一個新的水平。

讓我們看一些例子,分析一下我們幾年前發(fā)現(xiàn)的樣本和當(dāng)前正在發(fā)生的威脅有什么不同。

曾經(jīng)發(fā)現(xiàn)的樣本

鍵盤記錄器

最初,第一個用于竊取用戶銀行信息的樣本就是鍵盤記錄器,其中很多使用了網(wǎng)上公開的代碼,為了記錄特定環(huán)境下的鍵盤會稍微做一些修改。這在那時是可行的,因?yàn)殂y行網(wǎng)站沒有使用任何保護(hù)措施來對抗這種威脅。

  公開的鍵盤記錄器源代碼

  惡意二進(jìn)制中的代碼實(shí)現(xiàn)

代碼非常簡單,只是使用了GetAsyncKeyState來檢查每一個鍵的狀態(tài),然后在需要的時候記錄下來。大部分鍵盤記錄器沒有使用混淆的辦法隱藏目標(biāo),這有助于提取攻擊的特征。

  用來檢測導(dǎo)航欄的明文字符串

釣魚木馬

在銀行把虛擬鍵盤引入到他們的系統(tǒng)中之后,鍵盤記錄器不再那么有效了。為了繞過這種防護(hù),巴西的壞家伙們開始開發(fā)鼠標(biāo)記錄器以及隨后的釣魚木馬。

這類惡意軟件使用了DDE(Dynamic Data Exchange動態(tài)數(shù)據(jù)交換),用來獲取瀏覽器中當(dāng)前打開的URL,這個方法現(xiàn)在依然管用,但是大部分惡意程序都更新了他們的代碼,用OLE自動化來代替DDE,因?yàn)槠涮峁┝烁喔呒壍倪x項(xiàng)。

  使用DDE獲取URL信息的代碼

在獲取當(dāng)前的URL之后,惡意軟件檢查這個URL是否在目標(biāo)列表中。如果找到了,惡意軟件就會顯示一個調(diào)用界面詢問銀行的賬戶信息。

  Internet Explorer中顯示的釣魚木馬

在這一階段,惡意軟件不使用任何加密和編碼,所有的字符串都是明文的,分析起來很容易。

  沒有加密和編碼的惡意軟件字符串

竊取的信息通過郵件發(fā)給攻擊者。

  包含竊取信息的郵件

Hosts

為了在不被輕易識別出是一個釣魚木馬的條件下竊取信息,他們開始修改hosts文件,把銀行的域名解析到一個硬編碼的服務(wù)器上,這樣就可以把用戶重定向到惡意軟件的web頁面。這樣的方式,感染之后對用戶是透明的,增加了攻擊成功的可能性。

  為了重定向?qū)懭氲絟osts文件中的數(shù)據(jù)

  向host文件寫數(shù)據(jù)的代碼

在當(dāng)時,這種類型的攻擊非常有效,并不是所有的殺毒軟件廠商會識別并封鎖他們?,F(xiàn)在我們依然能夠看到一些樣本修改host文件,但是已經(jīng)不是很有效了。

反rootkit

在這個階段,他們意識到殺毒軟件的解決方案以及網(wǎng)絡(luò)銀行的安全插件使他們開展工作越來越難。為了增加成功執(zhí)行的機(jī)會,并且在感染的機(jī)器上盡量存活得久些,他們開始在運(yùn)行惡意載荷之前先移除這些安全措施。

最好的方法當(dāng)然是使用已經(jīng)包含這些功能的有名的公開的命令行工具,其中大部分已經(jīng)被禁用了。

RegRun Partizan

這個工具是一個本地可執(zhí)行程序,在Wind32子系統(tǒng)啟動前隨著系統(tǒng)啟動運(yùn)行。它可以刪除文件和注冊表鍵,即便他們被內(nèi)核模式下的驅(qū)動保護(hù),因?yàn)樗隍?qū)動加載到系統(tǒng)之前就運(yùn)行了。要執(zhí)行命令保存在指定的.RRI文件中,如下所示:

  包含要刪除的文件的Partizan RRI腳本

The Avenger

一個用于移除文件和注冊表鍵的Windows驅(qū)動。要執(zhí)行的命令寫在腳本中,驅(qū)動啟動的時候會讀取。

  刪除安全機(jī)制的Avenger圖形界面和腳本

Gmer

Gmer是一個有名的rootkit檢測器和清除器,有很多檢測rootkit行為的函數(shù),也可以用它的設(shè)備驅(qū)動刪除文件。它有一個命令行接口,非常容易刪除被保護(hù)的文件。

  使用GMER的killfile函數(shù)刪除安全機(jī)制

可以在 這篇博客中找到更多關(guān)于使用GMER卸載安全軟件的銀行木馬的信息,

Bootlader惡意軟件

在使用反rootkit工具之后,巴西的網(wǎng)絡(luò)罪犯們走得更遠(yuǎn),開始開發(fā)他們自己的 bootloaers,這被修改后用來專門移除用戶機(jī)器上的安全機(jī)制。下載者負(fù)責(zé)安裝惡意文件然后重啟機(jī)器。在重啟后,惡意軟件bootloader能夠移除系統(tǒng)中想要刪除的文件。

一般地,惡意軟件替換原始的NTLDR,從Windows NT系統(tǒng)到Windows XP上的一個bootloader,將其替換成一個經(jīng)過修改的GRUB版本。

  用于替換NTLDR的被修改的GRUB loader

這個loader會讀取menu.lst文件,該文件指向一個已經(jīng)安裝在系統(tǒng)上的惡意文件xp-msantivirus和xp-msclean。

  包含用于執(zhí)行惡意軟件命令的參數(shù)的Menu.lst文件

當(dāng)惡意軟件執(zhí)行的時候,它會移除與安全機(jī)制相關(guān)的文件,然后恢復(fù)原來的NTLDR文件,這個文件之前被改名為NTLDR.old。

  移除安全模塊和恢復(fù)原始NTLDR的命令

現(xiàn)在的樣本

自動化

大部分銀行都使用機(jī)器標(biāo)識碼來阻止用竊取的信息進(jìn)行非授權(quán)操作的企圖。為了繞過這個,壞家伙們開始在感染的機(jī)器上實(shí)施惡意行為,使用Internet Explorer自動化(以前的OLE自動化)來操作頁面內(nèi)容。

第一個使用這種攻擊類型的樣本是瀏覽器幫助對象(Browser Helper Objects,BHOs),它可以檢測到轉(zhuǎn)賬交易,改變目標(biāo)賬戶,把錢轉(zhuǎn)到攻擊者那里而不是真正的賬戶。

后來,同樣的方法被用到了 Boleto攻擊中,它使用自動化獲取輸入的條形碼,然后用假的替換。

因?yàn)檫@方法只在Internet Explorer上有效,惡意軟件需要強(qiáng)制用戶使用該瀏覽器訪問互聯(lián)網(wǎng)。因此,它利用一個定時器檢查被使用的Firefox或者Chrome,然后結(jié)束進(jìn)程。

  避免使用Chrome和Firefox的代碼

當(dāng)找到了一個IE實(shí)例,惡意軟件會尋找tab頁面以讀取窗口文本,然后知道訪問了哪個URL。

  尋找tab句柄,獲取訪問的URL

  搜索目標(biāo)的特定標(biāo)題

由于自動化會處理頁面的結(jié)構(gòu),需要知道受害者是否在頁面上輸入Boleto信息(boleto是一種電子錢包付費(fèi)方式,也是一種本地支付方法,且無需支付額外費(fèi)用,常用于巴西)。為了頁面一加載就得到完整的URL,并且檢查用戶是否在目標(biāo)頁面上,它在OnDocumentComplete事件上安裝了處理函數(shù):

  搜索目標(biāo)的特定頁面

在確認(rèn)用戶在目標(biāo)頁面上之后,惡意軟件處理頁面結(jié)構(gòu),在submit按鈕上安裝一個處理函數(shù),然后它就可以在用戶提交頁面的時候取得控制權(quán),處理輸入的內(nèi)容。

  搜索特定的文本框,獲取輸入的數(shù)據(jù)

在收集到輸入的數(shù)據(jù)后,它被處理然后在提交頁面之前換成惡意內(nèi)容。

對于那些我們能找到的樣本,字符串混淆,調(diào)試器檢測,虛擬機(jī)檢測以及這種方式,都使得其不像其它釣魚木馬和hosts木馬那樣容易檢測。

代碼混淆和RunPE

在尋找新的規(guī)避檢測方法過程中,為了隱藏實(shí)施主要操作的代碼,巴西網(wǎng)絡(luò)罪犯開始使用混淆的方法。

在下面的代碼中,開發(fā)者加密了原始的用于下載惡意載荷的函數(shù)代碼,通過靜態(tài)分析你無法明白這個函數(shù)的意圖是什么。

  加密下載者代碼

在運(yùn)行時,惡意軟件調(diào)用函數(shù)解密前面的代碼,然后執(zhí)行:

  調(diào)用解密代碼

  解密程序

正如我們在上面的代碼中看到的,解密就是一個簡單的對密字節(jié)的0×42減操作,這是一個簡單快速的隱藏代碼的方法。

  已解密的下載者函數(shù)

為了避免被網(wǎng)絡(luò)防火墻檢測,下載的文件被它自己的加密函數(shù)加密。

  加密的文件

  解密的文件

使用與加密下載函數(shù)的相同的方法加密了加密函數(shù),在解密這段代碼后,我們能找到一個融合了對異或秘鑰右移操作的基于異或的加密算法。

在解密完文件之后,不會用惡意代碼常用的正常方法執(zhí)行它。為了隱藏進(jìn)程,惡意軟件使用了一個有名的RunPE的技術(shù),代碼會以掛起的方式執(zhí)行一個干凈的進(jìn)程(比如iexplorer.exe或者explorer.exe),然后把內(nèi)存內(nèi)容修改成惡意代碼后再執(zhí)行。

  以掛起狀態(tài)啟動干凈進(jìn)程的代碼

在以掛起的狀態(tài)創(chuàng)建完進(jìn)程之后,代碼會把一段新的代碼寫到內(nèi)存空間中,設(shè)置要執(zhí)行的新的EIP,然后恢復(fù)線程。

  寫惡意代碼,恢復(fù)線程

  儲存惡意文件的Internet explorer進(jìn)程

因?yàn)閻阂獯a在分配給Internet Explorer的內(nèi)存空間中運(yùn)行,使用像Process Explorer的工具來檢查發(fā)布者簽名是不可行的,因?yàn)樗麄儥z查的是進(jìn)程對應(yīng)的文件的簽名。

很明顯,他們已經(jīng)完全從使用初學(xué)者的代碼轉(zhuǎn)到更加專業(yè)的開發(fā),我們意識到,是時候更新我們分析巴西惡意軟件的方法了。我們肯定,大部分的進(jìn)化是因?yàn)榕c其他地方的惡意軟件的接觸和交流,主要是東歐國家,我們在 這篇文章中描述過。

AutoIt Crypto

為了躲避檢測,AutoIt常用來下載和解密最終的載荷。在編譯完成后,AutoIt腳本被加密并嵌入到一個生成的二進(jìn)制文件中,這使得要分析原始的腳本就必須先提取它。

在尋找更好的隱藏最后載荷方法的過程中,巴西網(wǎng)絡(luò)罪犯用AutoIt語言開發(fā)了一個新的Crypto,解密后的載荷使用RunPE的技術(shù)被執(zhí)行。

  AutoIt Cyrpto執(zhí)行流程

這個crypto使用兩種不同的方法保存加密的文件:第一個是使用AutoIt中已經(jīng)存在的FileInstall函數(shù),另一個是把文件嵌入到二進(jìn)制文件的末尾。

在使用第二種方法的時候,crypto寫一個關(guān)鍵字符串,用來標(biāo)記加密載荷內(nèi)容的起始位置,后面就可以找到要解密的內(nèi)容。在下面的樣本中,關(guān)鍵字用的是“Sei que ganharei 20K”的縮寫版,意思是“我知道我會賺R$20,000”。

  標(biāo)記加密載荷起始的關(guān)鍵字符串

  AutoIt Crypto主代碼

在讀取加密載荷后,它使用解密密鑰“VENCIVINICI”解密內(nèi)容,然后使用RunPE執(zhí)行惡意代碼。

解密函數(shù)的代碼不是用AutoIt寫的,它是用C語言寫的。在編譯后,作為一個字符串包含到代碼中,然后映射到內(nèi)存中,使用CallWindowProc API執(zhí)行。

  解密函數(shù)的實(shí)現(xiàn)

我們發(fā)現(xiàn)這個crypto使用了下面的加密和壓縮算法。

RC4

XXTEA

AES

LZMA

ZLIB

在惡意軟件開發(fā)時使用AutoIt并不是一個新鮮的事情,但是,在2014年中期,我們在巴西發(fā)現(xiàn)了一個使用AutoIt攻擊的高峰,如下圖所示:

  Trojan.Win32.Autoit:在巴西受攻擊的用戶數(shù)量

MSIL數(shù)據(jù)庫

另一個最近出現(xiàn)的惡意軟件類型是惡意軟件用.NET代碼代替Visual Basic 6.0和Delphi,順應(yīng)了我們看到的 歷史潮流。找到一個用.NET寫的下載者并不難。但是當(dāng)我們發(fā)現(xiàn)其中一些樣本并沒有使用一般的函數(shù)下載載荷時,一些 Trojan-Banker.MSIL.Lanima樣本吸引了我們的注意力。

  下載函數(shù)

正如我們在上圖中看到的,這個樣本并沒有使用任何下載函數(shù),因?yàn)樗褂昧薙QL Server來儲存二進(jìn)制的內(nèi)容,它只是使用SQL命令獲取內(nèi)容然后保存到硬盤。

為了隱藏與惡意軟件的主要行為相關(guān)的文本,字符串被用base64編碼并且使用3DES算法加密。

  解密函數(shù)

這個惡意軟件家族在巴西和中國非常流行:

  MSIL Crypto

與AutoIt Crypto使用相同的方法,壞家伙們又開發(fā)了另一個crypto,這次使用.NET語言。提取真正的可執(zhí)行文件的過程與AutoItCrypto是一樣的,但是它有一個中間模塊負(fù)責(zé)提取最后的載荷。

主模塊使用.NET代碼,主模塊的主函數(shù)的功能是提取并加載嵌入的DLL。

  .NET Crypto執(zhí)行流程

  crypto主函數(shù)

正如我們看到的,上面的函數(shù)會使用字符串“cdpapxalZZZsssAAA”作為分隔符分割二進(jìn)制內(nèi)容,并且使用第一分塊,此分塊包含了加密的Loader DLL代碼。

  Loder DLL的加密內(nèi)容

現(xiàn)在通過調(diào)用名為“fantasma”(英文為“ghost”)的函數(shù)解密它,在論壇上這個crypto的官方名稱是PolyRevDecrypt,這其實(shí)是把要加密的字節(jié),要加密的緩沖區(qū)的最后一個字節(jié),以及函數(shù)提供的密鑰的其中一個字節(jié)做一個異或操作。

  解密函數(shù)

數(shù)據(jù)被解密之后,代碼會使用“docinho” (英文為“candy”)函數(shù)加載并執(zhí)行。

  加載和執(zhí)行Dll的函數(shù)

這個庫的代碼與主可執(zhí)行文件的代碼幾乎是相同的,除了它使用的是分割內(nèi)容的第二個部分。

  Loader DLL主函數(shù)

RAT

為了降低網(wǎng)絡(luò)攻擊造成的損失,銀行在在線交易中使用了兩個因素的認(rèn)證,在原來的基礎(chǔ)上,比如機(jī)器標(biāo)識碼,使用了硬件token和短信驗(yàn)證碼。為了解決這個問題,網(wǎng)絡(luò)罪犯創(chuàng)建了一個遠(yuǎn)程管理工具,用于請求網(wǎng)銀交易需要的信息。

  RAT執(zhí)行流程

瀏覽器監(jiān)控者(browser watcher)會監(jiān)控用戶的瀏覽器,觀察是否訪問了目標(biāo)銀行,如果有,它會解壓縮并執(zhí)行RAT客戶端,并且通知C&C有新的感染。

  網(wǎng)銀訪問監(jiān)視器

這個惡意軟件使用的字符串被他們自己的加密代碼加密。在解密后,它會識別出目標(biāo)和代碼的重要部分。

  解密的字符串

對于這種感染方式,一般的,壞家伙們會構(gòu)建一個管理攻擊行為的模式。這里我們能夠看到在同一天感染的機(jī)器的數(shù)量,請注意,這個數(shù)字意味著惡意軟件控制的機(jī)器中訪問網(wǎng)銀的用戶的數(shù)量。

  展示感染用戶列表的C&C面板

RAT客戶端會鏈接服務(wù)端,提醒攻擊者一個新的受害者訪問了網(wǎng)銀系統(tǒng)。然后,就可以進(jìn)行實(shí)時攻擊。

  顯示一個新的被害者連接的RAT服務(wù)器

在這個階段,攻擊者需要等待用戶登錄,然后進(jìn)行攻擊。當(dāng)用戶已經(jīng)登錄了,攻擊者可以看到用戶的屏幕,鎖定它并且控制執(zhí)行流,同時詢問有助于他竊取賬號的特定信息,比如:

Token

Access card code

Date of birth

Account password

Internet banking password

Electronic signature

為了防止用戶發(fā)現(xiàn)計(jì)算機(jī)被遠(yuǎn)程控制了,這個RAT有一個函數(shù)用來模擬銀行安全插件升級的樣子,顯示一個進(jìn)度條,禁止所有的用戶交互行為。同時,由于覆蓋的屏幕不會影響攻擊者,攻擊者可以使用活動的瀏覽器區(qū)域執(zhí)行銀行操作。

  模擬升級鎖定屏幕

如果確認(rèn)交易需要一些信息,比如:短信驗(yàn)證碼,攻擊者可以詢問受害者,受害者以為是為了完成升級需要這些信息。

  詢問token碼的屏幕

一旦用戶提供了信息,攻擊者就可以將之輸入到網(wǎng)銀屏幕中,繞過交易中使用的兩個認(rèn)證因素。

  從受害者接收的信息

勒索軟件

巴西網(wǎng)絡(luò)罪犯不只使用銀行惡意軟件,他們也探索其它的攻擊類型,包括勒索軟件。幾年前,我們發(fā)現(xiàn)了 TorLocker,它在惡意代碼中包含了一些說明開發(fā)者來自巴西的信息。

  包含指明作者來自巴西的字符串的代碼

正如上圖所示,我們發(fā)現(xiàn)了藍(lán)色加亮的句子:“Filho de Umbanda no cai!” (“Umbanda”的兒子決不會倒下)。Umbanda是巴西異教區(qū)。紅色標(biāo)記的名稱是作者的昵稱,它也常使用.d74作為加密的文件。這個用戶在地下論壇非?;钴S,尋找巴西的惡意軟件服務(wù)。

我們也發(fā)現(xiàn)了其它線索,比如使用巴西的服務(wù)器獲取受害者的IP,用以通知感染事件。

  請求一個巴西的服務(wù)器來獲得受害者的IP

幾個月前,我們發(fā)現(xiàn)了另一個基于Hidden Tear源代碼的勒索程序,它被改造用于攻擊巴西用戶,與初始程序攻擊英語和日語用戶不同。

  顯示葡萄牙語信息的受害者機(jī)器,想要獲取文件需要支付。

為什么他們在進(jìn)化

我們有足夠的證據(jù)表明,巴西的網(wǎng)絡(luò)罪犯與東歐的團(tuán)伙有合作,包括Zeus,SpyEye和其它這一地區(qū)產(chǎn)生的惡意軟件。惡意軟件作者增加新的技術(shù)到他們的作品中,獲得靈感,復(fù)制東歐的惡意軟件的特性,這一合作直接影響了巴西本地惡意軟件的質(zhì)量和威脅水平。巴西的網(wǎng)絡(luò)罪犯不僅發(fā)展他們的代碼質(zhì)量,而且使用國外的網(wǎng)絡(luò)犯罪基礎(chǔ)設(shè)施。

我們在使用 惡意PAC腳本的惡意軟件發(fā)展中第一次看到了這一合作關(guān)系的跡象。2011年,這一技術(shù)在巴西的惡意軟件中迅猛采用,后來俄羅斯的銀行木馬 Capper開始采用這個技術(shù)。這一合作還在繼續(xù),巴西的網(wǎng)絡(luò)罪犯開始使用東歐的銀行木馬的基礎(chǔ)設(shè)施,Trojan-Downloader.Win32.Crishi第一個使用DGA域名,由一個東歐的公司所有。 Boleto惡意軟件也大量使用fast flux域名,以防C2s被拆除,我們看到了其使用“bagaa” (bagasse葡萄牙語)域名,該域名使用匿名服務(wù)注冊,其與犯罪軟件和boleto軟件相關(guān)聯(lián),每一個請求解析到不同的IP。

  “bagaa”域名:東歐的fast flux和 bulletproof

其它說明他們合作的跡象是,巴西網(wǎng)絡(luò)罪犯常會出現(xiàn)在俄羅斯或者東歐的地下論壇中。經(jīng)常發(fā)現(xiàn)以下事情,巴西網(wǎng)絡(luò)罪犯在俄羅斯地下論壇尋找樣本,購買犯罪軟件和ATM/PoS惡意軟件,或者商務(wù)談判和提供他們的服務(wù)。這一合作的結(jié)果可以在巴西惡意軟件中采用的新技術(shù)的發(fā)展中看出來。

  在俄羅斯地下論壇談判的巴西惡意軟件TorLocker的作者

這些事實(shí)表明了,巴西網(wǎng)絡(luò)罪犯是如何通過與歐洲伙伴合作引進(jìn)新技術(shù)的。我們相信這只是冰山一角,隨著巴西網(wǎng)絡(luò)罪犯們探索和尋找新的攻擊商業(yè)和普通個人的方法,這種交流會越來越多。

結(jié)論

巴西的網(wǎng)絡(luò)犯罪在最近幾年發(fā)生了激烈的變化,它從一個利用公開源代碼構(gòu)建的簡單的鍵盤記錄器轉(zhuǎn)向一個定制的能使用受害主機(jī)實(shí)施完整攻擊的遠(yuǎn)程管理工具。

惡意軟件以前在執(zhí)行后立即顯示一個釣魚的屏幕,現(xiàn)在,完全以反應(yīng)的方式執(zhí)行,等到一個有效的會話后才開始工作。

這意味著為了開發(fā)他們的惡意代碼網(wǎng)絡(luò)罪犯投入了大量的金錢和時間,增強(qiáng)反調(diào)試技術(shù),使惡意軟件長時間運(yùn)行,不被檢測到。

正如我們知道的,他們在和東歐,俄羅斯的網(wǎng)絡(luò)罪犯們聯(lián)系,他們交換信息,惡意軟件源碼,以及在攻擊中會用到的服務(wù)。我們可以看到,巴西使用的許多攻擊是在俄羅斯的惡意軟件中首次發(fā)現(xiàn)的,并且巴西使用的技術(shù)后來也會用到俄羅斯的攻擊中。

基于此,我們預(yù)測將會發(fā)現(xiàn)使用代碼混淆,反調(diào)試,加密算法以及安全通信技術(shù)的巴西的惡意軟件,這將使我們的工作變得比現(xiàn)在更艱難。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號