巴西恶意软件针对拉丁美洲和欧洲发起攻击

阅读量    39704 |   稿费 200

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

简介

巴西在近十年间发起了无数次网络犯罪活动,这些活动主要针对金融行业和私营企业,主要通过发送垃圾邮件和钓鱼邮件的方式进行传播。The Spamhaus Project的报告称,巴西是在印度和中国之后世界上第三个受僵尸网络影响最严重的国家。

在2018年,Cybereason的Nocturnus团队分析了许多与巴西金融恶意软件相关的样本。该类型恶意软件的攻击范围是拉丁美洲、西班牙、葡萄牙等十几个国家,攻击目标是这些地区内的60多家银行的网上客户。

 

攻击过程

该攻击者针对不同的银行开发了不同的恶意软件,目前防病毒厂商将此类型病毒命名为:Banload,Banbra,Bancos,Boleto,Delf和Spy.Banker。虽然这些恶意软件最终投递的载荷有所差异,但是都有以下三个攻击阶段:

这种通过多个步骤传递的恶意软件可以将其被杀毒软件检测到的风险降到最低。该病毒使用了各种手段以绕过基于签名/启发式病毒搜索引擎的检测,虽然多阶段交付方法在网络犯罪中并不新鲜,但却十分有效。研究人员通过对这些广告投递病毒的观察,发现了它们的一些共性:

  1. 以社会工程学作为入侵切入点
  2. 通过URL shorteners进行多次重定向以及使用动态DNS服务
  3. 恶意负载托管在合法的存储服务器和CDN上
  4. 使用命令行日志记录规避的混淆PowerShell下载程序
  5. 使用微软签署的二进制文件技术
  6. 通过DLL劫持使病毒成为受信任的应用程序
  7. 将恶意payload拆分为两个或多个组件

 

目标地区

此次攻击范围由巴西已经扩展到了拉丁美洲和西班牙等西班牙语国家,包括阿根廷,智利,玻利维亚,哥伦比亚,墨西哥,委内瑞拉,葡萄牙等。

 

病毒分析

此次巴西恶意软件的雏形是一款可在Github上下载到的一种远程访问工具(RAT),目前没有证据表明该作者与此次金融恶意软件有直接联系。研究人员认为该公开的源码被不同的攻击者重新利用,并添加了银行模块以及反分析功能。

投递过程

在在2017-2018期间,研究人员发现虽然病毒的感染流程有许多细微的变化。但是其大概的步骤均为:

传播:病毒伪装成合法的商业发票的网络钓鱼邮件进行传播。电子邮件通常包含获取或运行第一阶段下载程序的链接或附件(如pdf,zip,批处理脚本,html)。

第一阶段-下载器:一般是一些脚本或下载程序命令(如.cmd,.lnk,.vbs,.js),用于下载第二阶段payload。该阶段的下载程序通常是URL,该URL重定向到Web主机服务,动态DNS或CDN,目的是获取第二阶段程序。

第二阶段-下载器:主要是混淆的PowerShell脚本以获取最终的恶意载荷。在某些情况下,第二阶段下载器具有其他功能,例如创建持久性和执行反安全分析检查。

第三阶段-最终payload:最终被投递的payload,目的是窃取目标银行的在线银行数据。

研究人员在网络流量中观察到了不同步骤的传送过程。

示例流程一:URL Shortener → Dropbox → URL Shortener → Facebook CDN → 恶意站点/ C2

实例流程二:URL Shortener → 动态DNS → URL Shortener → Github → 恶意站点/ C2

传递过程中所使用的一些设备信息为:

研究人员发现了一个托管在Gitlab上的第一阶段payload:

hxxps://gitlab[.]com/faturavivodigitalabi0x/210820148vivox/raw/master/cliente_anexo_seguro_senha_1425.rar

可从中提取出一个很难检测到的混淆过的.cmd scriptlet。

钓鱼邮件

电子邮件正文通常包含附件或指向URL shortener的链接,该URL shortener会指向存储第一阶段payload的网站(payload经常伪装成Flash / Java更新)

大多数电子邮件都伪装成发票内容(葡萄牙语中的“FATURA”)。也有部分邮件的来源伪装成巴西最大的电信公司VIVO。

示例一:伪装成VIVO发来的电子邮件和发票(SHA-1 :86C7312D9E786D89FC12973B7584F6CAF39805C3)

当用户打开附件PDF后,感染链将被启动:

通过分析PDF可以发现其中包含被缩写的URL:

一旦用户点击PDF上的任何地方,代码就会向该URL发出连接请求,杀毒软件很难检测到该被缩写的URL为恶意的。

URL接下来会解析为以下DropBox URL,该URL包含第一阶段下载程序脚本的ZIP文件:

hxxps://ucf18b68308d0a38b496c554353b[.]dl[.]dropboxusercontent[.]com/cd/0/get/AOAYxd4VLLCvZ5lZ_2VQLUD93KO_p8GEm42Z-uFIqBoBSf_XFcMeFA-vgnvGhpvTKabzARrr6NPIvETHkG7jSg_35Bo9ablTRfbK2tPVbsQukqfuMMvtDljNN8nnTt9Ahp-eRqczHWhm-qaGp2BfJ2ZRMIuM3hXRbcl3NXQ-agrbpgO6NuMoA-w24mRfR3FZBfE/file?dl=1

示例二:从Web托管网站下载的.lnk文件

攻击者实行网页钓鱼,诱导受害者下载ZIP文件:

被下载的ZIP文件中包含一个.lnk文件(arq1561.lnk) ,其中包含了恶意下载器(SHA-1 : 3723E2A328AAFB359116DFC987222C5001BF59D7):

用户单击.lnk文件后,会自动生成cmd.exe和powershell.exe进程,这些进程会下载后续的payload:

第一阶段:被混淆的下载程序脚本

在70%的感染中,感染链可以追溯到三个主要文件类型:.bat,.cmd和.lnk,这些脚本通常包含在压缩文件中以绕过垃圾邮件过滤器。除批处理文件外还有其他的文件类型例如.exe(Windows可执行文件)和.chm(已编译的HTML)。

第一阶段payload大多由混淆的脚本或一组混淆的命令组成。

这种混淆类型似乎来自于Daniel Bohannon的Invoke-Obfuscation项目。执行PowerShell后,实际的下载程序不会出现在进程的命令行参数中:

第二阶段:POWERSHELL下载器

根据调查显示,不同的投递方式的第二阶段下载程序的类型也不同。第二阶段下载程序的主要目的是获取最终的恶意程序。但是也有的有其他功能,例如持久性创建,UAC绕过和反研究检查。

示例一:获取最终的payload和保持持久性

该PowerShell脚本用于检查现有的感染情况,投递检查注册表中值的批处理文件,并投递指向上述批处理文件以保持持久性的.lnk文件,并获取来自同一台远程服务器的使用xor加密的payload。该脚本很难被检测到。最初,脚本通过在%temp%目录中搜索带有日期(以yyyymmdd形式)的文件名来检查可能的先前感染,如果此文件不可用,则会下载XOR加密的payload:

完整的批处理文件脚本由PowerShell脚本动态构建。在这里,我们看到它是使用环境变量构建的。

.lnk文件是通过Windows脚本宿主(通常称为Wscript)创建的,用于保持病毒的持久性存在,它将在执行时指向批处理文件($ cmdFileName变量包含批处理文件的路径)。该脚本使用计划任务绕过UAC(用户帐户控制)。创建的批处理文件执行一次,然后删除任务:

批处理文件的内容:

示例二:检查虚拟运行环境的模糊下载器

在分析时,研究人员发现了另一个PowerShell脚本,该脚本与上一个下载程序不同,疑似被ISESteroids PowerShell模糊扩展。该脚本的检出率极低。

在对脚本进行反混淆处理后,发现该程序对是否运行在虚拟机环境中进行了检测。如下所示,该脚本使用WMI查询其是否运行在这些虚拟机中:VirtualBox, VMware Virtual Platform, Virtual Machine, HVM DOMU。

如果确认其存在于真实的用户环境中,脚本将通过.lnk文件创建持久性,该文件将通过Rundll32.exe执行恶意软件。

最终阶段

在本部分中,研究人员分析了通过DLL劫持可信的第三方应用程序以及使用内置Microsoft签名二进制文件(也称为“LOLBins”)来执行恶意软件代码,使用这些技术可降低被检测到的风险。

拆分

在2017年和2018年期间,研究人员发现恶意软件被拆分成了两个组件,这使其更难被检测到。

Loader:伪造的DLL,它将加密的恶意软件payload加载到内存,解密并执行它。

恶意软件payload:无法独立运行且依赖于加载程序的加密文件。

要运行恶意软件则需要两个文件都保存在同一文件夹中。在大多数情况下,加载器DLL还将验证它是否在虚拟环境中运行,如果是,则程序崩溃。

示例:Remoto通过DLL劫持Avira覆盖RAT

攻击者发送给用户的电子邮件附件包含.lnk文件,该文件执行以下命令下载二进制文件(reymr.exe)

进一步调查显示,与reymr.exe一起,PowerShell脚本还投递了以下文件:

执行reymr.exe后,它将加载假的DLL(avira.oe.nativecore.dll)并解密payload(RestartManagerUninstall.mui):

使用RUNDLL32.EXE执行恶意程序

在近期监控到的一次攻击事件中,恶意软件作者使用内置的Rundll32.exe来启动DLL。一旦DLL被执行,它将加载和解密第二个(有时甚至是第三个)加密的最终恶意二进制文件。

示例一:Rundll32发布的金融特洛伊木马

在此示例中,可以看到由于.lnk文件执行而使cmd.exe生成的PowerShell进程。PowerShell从恶意网站下载辅助载荷:

下载网址:

hxxp://barca21[.]zapto[.]org/barca21/vx1.txt

PowerShell投递并执行的ZIP文件包含以下文件:

命令行:

"C:\Windows\System32\rundll32.exe" C:\Users\Public\YAEW.TOIB ,,, OCSVFWBO56

解包的payload疑似RAT的变体。

在示例二中,Rundll32将最终payload注入到了Windows Media Player中。

 

针对的银行列表

巴西银行:

Brazil do Banco,Santander,Itau Unibanco,Banco Bradesco,Sicredi,Unicred do Brasil,Sicoob,Banco de Inter,Banco de Nordeste,Banco Mercantil do Brasil,Caixa Economica Federal

玻利维亚银行:

Banco Mercantil Santa Cruz(BMSC),Banco Union,Banco Nacional de Bolivia(BNB),Banco Bisa,BancodeCréditodeBolivia(BCP),Banco Fassil,Banco FIE,BancoSol,Banco Ganadero和Baneco

智利银行:

ItaúCorpBanca,Scotiabank Azul(BBVA),Banco Falabella,Banco Edwards,Banco Ripley,BancodeCréditoeInversiones(BCI),Banefe(Santander),Scotiabank,Banco Industrial y de Comercio Exterior(BICE),Banco Internacional and Banco Consorcio

西班牙银行:

Bankia,Sabadell,Bankinter,Ibercaja,Liberbank,Abanca,Kutxabank,Unicaja,Santander,Banco Bilbao Vizcaya Argentaria(BBVA)和CaixaBank

委内瑞拉银行:

Bancaribe,BancoFondoComún(BFC),Banco Exterior,Banco Sofitasa,BBVA Provincial,Banco Universal,Banco Industrial de Venezuela,Banesco Banco Universal,BancoCaroní,Banco VenezolanodeCrédito,Banco NacionaldeCrédito,El Banco Federal

阿根廷银行:

Banco Patagonia,ItaúArgentina,Standard Bank Argentina,Banco Macro,中国工商银行(阿根廷),Santander Rio

 

IOC

Domains

www.actcontabilidadeltdarh[.]com
wd1g1talvivowce98[.]ddns[.]net
d1g1talvivoscaep09x[.]ddns[.]net
lvivoscaep[.]ddns[.]net/
financeirocontabiltda[.]com
hewayo[.]com
dlm[.]capemn[.]com
stot[.]irrema[.]com
dlm[.]nadolt[.]com
bacon[.]semilonn[.]com
contrato-brasil[.]hopto[.]org
Irrory[.]com
Dlminjuado[.]com
dlm[.]supote[.]com
psom[.]uticis[.]com
macos[.]revelf[.]com
s1.sleove[.]com
dlm.tinert[.]com
macos.revelf[.]com
jazy.othiak[.]com
yipe.cebeer[.]com
security[.]upesse[.]com
www[.]examedoenem[.]com
sso[.]anbtr[.]com
Www[.]movavis[.]com
Www[.]auayyertagaphgoabqigeyhsat[.]net
notificacion[.]org

URLs

hxxps://cdn[.]fbsbx.com/v/t59.2708-21/38622203_278626666261527_5981472121300189184_n.txt/loader.msi.1415.txt?_nc_cat=0&oh=f3e5a4d4218591d13784015d95f5a798&oe=5B73C975&dl=1
hxxps://ucf18b68308d0a38b496c554353b[.]dl.dropboxusercontent[.]com/cd/0/get/AOAYxd4VLLCvZ5lZ_2VQLUD93KO_p8GEm42Z-uFIqBoBSf_XFcMeFA-vgnvGhpvTKabzARrr6NPIvETHkG7jSg_35Bo9ablTRfbK2tPVbsQukqfuMMvtDljNN8nnTt9Ahp-eRqczHWhm-qaGp2BfJ2ZRMIuM3hXRbcl3NXQ-agrbpgO6NuMoA-w24mRfR3FZBfE/file?dl=1
hxxps://uca170a0c980fec5e870c5d85655[.]dl.dropboxusercontent[.]com/cd/0/get/AOCrXrpG7lb1—ypzOHG2PKmum07jCJFXdnpAt67PJVlnu8SKbwMoOcVlQYcsXtg_Y2OyAfmdS6_nb-LtaZ-Ya-8MchtHXmRrxiV7tQ258TGwxfyA3fqrBTLDEQG9qqd-hlKZaRg7xiu-vCg20q3SSmCJ5GNdxJlmKW81amy1wV5SNpI73Id61FE4D-Cm7SAX3Q/file?dl=1
Ucb6056cad19f90f56a81cf4aabe[.]dl.dropboxusercontent[.]com
hxxps://github[.]stihic[.]com/?cGBhuAyAZ6UDuIJdSOhrb8WFtI5PLgdQ2cXfe30ATnjlK6L0bndQxwBUYz4oft6IGQeMqJv/DWmhCcD1EFogJrlI+Gbc+/qcTPBalQE0BsO8jl0=
hxxps://cld[.]pt/dl/download/3fffb114-0cf2-41fd-a664-dc23129a31cc/156498Arquivo521solicitado1536714090[.]rar
hxxps://gitlab[.]com/diigitalvivosuxxs/22082018x/raw/master/clientes_anexo_seguro_senha_1425[.]rar
hxxps://gitlab.com/faturavivodigitalabi0x/210820148vivox/raw/master/cliente_anexo_seguro_senha_1425.rar
hxxps://fs13n3[.]sendspace[.]com/dlpro/60669bfbc7614b1ecb0b7988ce7b325e/5b869d74/r7un2z/clientes_anexo_seguro_senha_1425[.]rar
hxxp://serasaconsumidorexperian[.]com/consumidor?download/extrato/debitos?extrato-debitos/serasaconsumidor.html
hxxp://amazoncontabilfinan[.]com/segmentos?rastreamentoobjetos/sistemas.html
hxxp://faturasimplesltda.com/contrato
hxxp://clientesemailrh.com.br/contabil/
hxxp://consultafacilserasaexperian.com/clientes
hxxp://serasaconsumidorexperian.com/consumidor
hxxp://nfefazendaportalprincipal.com/clientes
hxxps://gitlab[.]com/nfeagosto9dyur5/300882018
hxxps://gitlab[.]com/faturavivodigitalabi0x/210820148vivox
hxxp://consultafacilserasaexperian.com/consumidor/?serasaconsumidor?gclid=EAIaIQobChMImqi3i4633QIVT4GRCh0ZBgZMEAAYASAAEgKpR_D_BwE
hxxp://lealcontabil.com/comercio
hxxp://portaltributariorhltda.com/contabilrh
http://portaldacontabilidaderh.com/002122018455320
hxxp://wsfinanceiraalfa.com/contabilrh
hxxp://portaltributariorhltda.com/htb00025518
hxxp://realizesolucoesfinanceirasltda.com/INBOX?PORTAL/FormularioDePesquisa.aspx?tipoconsulta=completa?C61BB027A724A032974585D278
hxxp://raizcontabilrh.com/100833276
hxxp://imperiocobrancasrh.com/DOCUMENTO8545006
hxxps://fairsharetraining.eu/sites/default/files/p.txt
hxxp://icog.futtsociety.com/updt1/n.php
hxxps://fairsharetraining.eu/sites/default/files/misc/ax.png
hxxps://fairsharetraining.eu/sites/default/files/misc/mg.png
hxxps://www.aguiarnopolisatacadista.com.br/stornews/?a=Z0DEXUBSWD7FE45T3JHBMMJXCW3DON98P9LY3SRT
hxxp://psom.uticis.com/6eKGNr74/crypted_loader_1516355349-g.cmd
hxxp://psom.uticis.com/6eKGNr74/loader-gestor.lnk
hxxps://gitlab.com/silvosi/ftavi
hxxp://corretorandremendes.com.br/images/contA/ponto.php
hxxps://github.com/dantealighieriii/startup/raw/master/Actualizacion_setup.version052018.zip
hxxps://github.com/dantealighieriii/startup/raw/master/Actualizacion_Complemiento%20FIashWeb.v55.3.2018.zip
hxxps://raw.githubusercontent.com/dantealighieriii/startup/master/ch.css
hxxps://gitlab.com/diigitals/v22082018x
hxxp://ch.rmu.ac.th/wp-content/plugins/ubh/auxaudioo.jpg
hxxp://ch.rmu.ac.th/wp-content/plugins/ubh/home.jpg
hxxps://ppa1.r1-cz.storage.forpsicloud.cz/Fatura-24913089743.zip?time=636766229160513717
hxxps://s3-eu-west-1[.]amazonaws[.]com/teste34s2/Outpos.data
hxxp://www[.]movavis[.]com/cgi_sys/token.html
hxxp://www[.]examedoenem[.]com/cgi_sys/token.html
hxxp://178[.]62[.]125[.]145/streamback.zip

IP addresses

134.73.90.141
134.73.90.200
185.207.204.138
34.199.8.144
108.167.168.35
178.62.125.145
18.188.80.202

Hashes

934B2F43B1D6F54A2BFD0552C853D7274C3BAB40
FAFE2261493FF6F4D10613610FD44CBB203C551A
48D3A9C5D38924378E4BF4F73305D448ACED93DF
C635004C61BF47A3986DAD5F849F46C5EF80D88B
F76C3965A659D56E1DAA5E459A41566F75B19814
6C8580FFE068FBE7F2D770151D061EF58B8F2264
35870453F773C81EC08B8D96B1365C238CA81502
A4E58D55B619D467D3AA73A714AE72591204BDB6
899CFEC36BF3168FD19F6D476C6BF6494967B53D
5B230EFF33DA4965717AB27895390EC0DB67A65B
E9C6E2F1A963A14943AB330534EC2393E8474284
AF5CCC1139860CEA9FCDD5935DDAC26688D529A3
6FE66ADC814C646ADBE60CAAA8CC9CB043AE2DB7
861CE18011DA0B5EA25174A6F53A424DC3BC2435
51A99ADBD24D516541F78D73275573AF861578DF
53F40083477836F7DDAE3A7C04D95E12F9BFF5EA
6640059E8D0E444F857B52935886E9139BECC673
018A54120A96B0350CCB157698FE87A5849374EC
F022C2620BA4C6BBF1C33C0820756E0372961AB1
C3F6F7879A4DAE7954EF52E086FF5ABCB89D4A60
87076879C74BBFC635D7D5D86D00B694DA2BA65E
BF2034CBE7E6F6A0D1365912DC8486D2F07D242A
F0C4A576A721EC3B0BBA97D46FF3C082BC32BABC
87076879C74BBFC635D7D5D86D00B694DA2BA65E
EEEBD1B7262C718D429E9A460D4D8DF2917B071A
2AE7385E5E783CD0C9BB99AE7B3D213388B81A35
E6763D651C9B6FFFF9B88A1AE9A6E6C21F42B121
0F75C296C68077F90F6BC4B7DDFD056F075C7546
1110D1D26366C952BBCE99EF2824E432078AC364
63BE4BCA20E2592C8254ECAFE3D6BF82A69B11B4
FB7CD98EF272E3A9B70CEACC4225C6B3601BF586
8E25BE3BE7A15B2DAAE9EE096DB404B562618B10
A22A6B89BA4BC0FBF86ABB8248EE4576E1AB0EBF
3F9E9BD8330660B0DA23EE8D54787A44E53DDF65
87DBACFE8727B9DA1EACE101BEE84D06388FA7B6
B47F58266C2485EAFC2C7ED6FF674A3494C0E0E5
8744F0FB86C2B1712200A42030D54C4E793BDD99
B73457CB139D9E721FDBB2F4C19359A4C03DA5CD
FECBB2E7443DEC83531F715DA5C3F256FA845131
4378C517B373F1BCF712938C6076A5EF660C8A50
AC60733518E7FE6E03E567B6A79CA15139BFEDCA
5595E36B048248092E65433A2781ECA87A6E6FC3
471ED26615AC8D6AC59AA8724FA3306B8BF9EE36
84502808DA59E62B661B731198DACD64EBEA5ED1
A1438D683D4C905072C834DD8857970B97EC3AAF
C80AD41891EFE21798CC8F04B73CC64F4D883EA1
174FF790DBFB5053755D5164B26CA90F1A4D7CB8
D89AEFC78440710DDF0CFC91FF3BB590FF7D1C4F
9BDB62C5871E45AF57F4D9A1D94C446627FC2ECF
0C2CD86F1838A48E2B71430D3314182CC2318914
A97B6D83589DA0ACD60E87EA9B29B84516DF7E52
892895391FF68725464107C537CAAB7E668B3F79
C9E7B7C2490DF4CD75F0E7BC6A32D09AD000033A
984DAE40F09C25C8BFE6BD07729D924C81FB5EAE
07CAFE5D2303A3B2F5F0DDFE052F42117A70F7AA
56B235985199D0DBAF8EA75B6704AF2841CB50D7
844342CC4B0A5FFF222A146DCE05A3E30A068F49
A5DFB83E73E1FEF0286DD515267B58A3FB4F1F55
5B8DF646C2AE5EE9CD11B598FA0631AF41578C97
43FFAA59F3B82E0BC181F6FACFEAB01485494915
3A089B4AE0BC22E6939D3F2A70BFF8C2FBAB1C9A
3C2069113E58B6403EE7CDDC1ECB33D72F6D9EA6
BAAD23A6A7644FDCC1B24D43294D04E001BA328B
ABA1D7D72DD5F9F56EE8AFF820A24BB5FADBE249
84861586C2769E10F7EA86588F0037A1F553809A
87358CC245FDF172EC532C2B1C729E1A6F9CB18E
92CAF0270E1F02BB84DB85F6B4CA30DD76F16D1C
B3E420AA5D6B3EC9564C46B51A2743AD50B1985A
ABC5BFDFE65003AA6ABDEA85B56ED56E9376C7D4
7E65C8A8EFC670E5AD5C5322A2B2D89DB2F2B05C
BBBCD44E5670753DBD0C75D75F184493514EC4A3
784AA92E0761261BB8129E0FAB239C794DBC3301
0FFABC647BBCD54191057D38C114B54406B61CF8
48091DA3A8EC8FC9CC870FC34E4A4D604A0510AB
5B3567E1CF7D85375F020CCC3E302F3949CF5732
A64E3D5613532F91010754332A6E1CA1BC2E2408
BDDAB73F58BD58ABEA4F9D7D5EA9F776E4D1B613
6508774AA547C0D8FA34E74BE8FD958A6752393E
BE234061AE9808FEF74BBC97CA500EC940F3EF05
C523C65C7BD9EE09360C24BC706985BA5361D724
1A86E3D82AF58DA6A3CC5B3849B7D81565945433
4C10EB17482865A1E0546B07997C7A76C137FE04
AAF27E727B9F661BC4C0D35C309937F4C28E3BFF
762BF93E6265B4E74BD0BFCAA447F1A619DB2F58
F19E9D8317161EDC7D3E963CC0FC46BD5E4A55A1
EFD1E306C1092C17F6944CC6BF9A1BFAD4D14613
312F4DC26FD0C277F9727CE3B943123CBEB127C1
9A944B0933F004DB012DB202BF5C2BE1E231FBB5
86C7312D9E786D89FC12973B7584F6CAF39805C3
E2F7257C50DBAC0ADC8DF48E514AF2AB9917EF9A
3723E2A328AAFB359116DFC987222C5001BF59D7
D5E3969BB36A675CF9CE60A88ABB5C8DE7C3BD80
3344EF3B32DF03057721ED6E76F276B9073A0932
52E2268A7FDBB324B3B8A78DDBDC91D05A83FE69
036B68413E64BE54A919916A7360B2B4142E59D0
D3AE2843261528D8B4A5D6070661FE302E7A1FA9
B92AE70321CDB6644196DFB9827C89166AD07A3A
B953DCF386FD2BC3E586BE2724557D5E72903B33
0657FAA51EB8417A2D63388A9BA37997A2B5F323
15166EF05CB3278E388C46359835A64CFB4D29EC
0657FAA51EB8417A2D63388A9BA37997A2B5F323
B92AE70321CDB6644196DFB9827C89166AD07A3A
16FAEF11D46CFBCAFE8B58064C2C38B96950BE9C
E138609B66FC6B9C6C688DE6B5DC094A782C6474
250ABE43477D34023E71469BB97B8BA9B434A562
1FECA0C9E12B110F16CFB6A4CC7556B90FFAE5F6
分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多