本文完成于2020年春節前后，為維護廣大最終消費者的利益，一直處于保密期無法發表。近日 CNCERT 公開披露了相關事件，令本文有了公開契機。在保密期的這段時間里，Pink 也出現一些新的小變動，筆者篩選了其中一部分放到“新動向”章節，供其他同仁共同追蹤研究。

概述

2019年11月21日，安全社區的信任伙伴給我們提供了一個全新的僵尸網絡樣本，相關樣本中包含大量以 pink 為首的函數名，所以我們稱之為 PinkBot。

Pinkbot 是我們六年以來觀測到最大的僵尸網絡，其攻擊目標主要是 mips 光貓設備，在36.NETlab的獨立測量中，總感染量超過160萬，其中 96% 位于中國。

PinkBot 具有很強的技術能力：

1. PinkBot 架構設計具備很好的健壯性，它能夠通過多種方式（通過第三方服務分發配置信息/通過 P2P 方式分發配置信息/通過 CNC 分發配置信息）自發尋址控制端，并對控制端通信有完備的校驗，確保僵尸節點不會因某一個環節的阻殺而丟失或被接管；甚至對光貓固件做了多處改動后，還能確保光貓能夠正常使用；
2. PinkBot對部分域名的解析查詢采取了 DNS-Over-HTTPS 的方式，這個也是在傳統BotNet中不太常見的一種手段；
3. 在與相關廠商的屢次攻防博弈中，PinkBot 的運營者都占據了明顯的對抗優勢。

可以說，PinkBot 在整個過程中表現出了極強的針對性和專業性，各方面能力都很均衡，甚至有些可怕。

規模及影響范圍

我們通過對多個數據源的交叉對比，推測 PinkBot 的感染量在百萬量級。三個評估的數據源如下：

1. 2019-11-30我們從可信任的安全伙伴手里拿到一個統計數字，日活去重 1,962,308 個IP;
2. 2020-01-02從CNCERT拿到的統計結果：
   “該僵尸網絡的規模目前無法準確測算。根據NetFlow數據、主動探測數據、實時監測數據等多個維度的數據測算，該僵尸網絡關聯的Bot節點IP地址數量超過500萬。因家庭寬帶IP是動態分配的，背后的真實感染設備規模無法精確估計，推測實際感染設備數量在百萬級，測算的一個主要依據為曾監測到1分鐘內連接C2的IP數量超過百萬。”
3. 根據我們 (360NetLab) 在全網范圍內持續探測的數據評估，2020-01-08 當天活躍的受感染 IP 數量為 165 萬。

在我們全網探測的測量數據中，受感染的 IP 主要集中在中國 (96%)，遍及全國 33 個省。

PinkBot 技術架構

PinkBot是一個同時融合了“P2P”和“CNC”的混合結構僵尸網絡。一般情況下，它將時效性要求不高的指令（如管理配置信息）通過P2P的方式傳遞，將時效性要求較高的指令通過CNC模式集中分發（例如：發起DDoS攻擊，向用戶訪問的HTTP網站中插廣告）。

配置信息

對于每一個Bot來說，最重要的一步是找到自己的管理員。而管理員的信息就包含在“配置”之中，下面是最新截獲的配置信息：

{
  "verify": "1585065675",
  "cncip1": "144.202.109.110",
  "cncport1": "32876",
  "dlc": "5b62596bc1453d51cc7241086464f294",
  "dl": "http【:】//155.138.140.245/dlist.txt",
  "dlc1": "484417e6f65c8e18e684d60c03c4680a",
  "dl1": "https【:】//*****.com/johncase/zip/raw/master/dlist.txt",
  "sd0": "1.1.1.1",
  "sdp0": "443",
  "srvk": "FJAz37XiKgnTLtVpmhjxZcavTJUU5r4XN3Wl5nhTpg0=",
  "pxy": "1"
}

1. 其中 verify 字段為指令發布的時間戳，Bot會根據這個時間戳篩選出最新的有效指令。
2. 隨后的 cncip 和 cncport 字段指明了僵尸網絡的最新CNC地址，攻擊者會根據自身需求隨時切換這個控制地址。
3. 再隨后的“dlc/dl”和 “dlc1/dl1” 字段組為最新的Bot更新地址，其中dlc和dlc1為對應內容的Hash校驗字段，算法偽代碼為：MD5(MD5(dlist_content)+SHA256(dlist_content))。
4. “sd0/sdp0”字段為安全DNS地址，對于每一個Bot來說，當需要查詢DNS解析記錄時，將通過這里指定的DNS服務來查詢。且方式為DNS-Over-HTTPS。
5. srvk字段為服務端的公鑰內容（base64編碼）。對于每一個bot來說，它和CNC的通訊都是加密的。所以實際通訊前要先經過ECDH的密鑰協商得到一個唯一的私鑰。在這里指定了CNC端的公鑰后，還可以順帶完成了Bot對CNC身份的驗簽。這是對原有 ECDH 的擴展使用。
6. pxy字段，推測是一個代理上線的選項。目前沒有看到使用跡象，不清楚具體的工作邏輯。

配置信息的保護

通過上一節的介紹，不難發現“配置信息”其實就是這個僵尸網絡的核心，它保證了攻擊者對僵尸網絡的絕對控制能力。
為了防止其他人發現配置信息，傳遞的配置信息都是異或加密過的密文。異或加解密算法是對稱的，其解密代碼邏輯如下：

def easydecrpyt(message):
    res = ""
    for cursor in range(0, len(message)):
        mbt = ord(message[cursor])
        res += (chr((mbt ^ (cursor%0xff) ^ 0xae ^ 0xac ^ 0xbe ^ 0xef) & 0xff))
    return res

信息加密后，為了防止他人偽造。攻擊者還使用了ecdsa對配置信息進行了簽名，簽名細節如下：

1. 簽名校驗使用的密碼庫為 mbedtls；
2. 簽名算法為 ECDSA；
3. 簽名時使用的曲線為：MBEDTLS_ECP_DP_SECP192R1；
4. 驗簽所用公鑰為： 04 8D 54 71 71 44 A0 61 DA 5A B4 EA 40 55 2F 21 B1 9B 6C A5 17 92 0F 10 B5 11 56 ED 14 DB 54 47 1A 94 48 06 06 3C 7A B4 3B 25 D1 AC 9F 85 AF 33 9E

配置信息的分發

除了保證配置信息的機密性和完整性外，攻擊者還使用了多種手段來分發配置信息，以確保其可用性。

a) 通過第三方服務分發配置信息

1. 通過 BTC+GITHUB 分發配置信息

該分發渠道的核心是一個隱藏在GITHUB上的項目，比如最近一次看到的項目就是（mypolo111/vfg），可以看到這個項目的README中，有兩行內容。

其中，模式為P!!<base64>I!!行是配置簽名，模式為N!!<base64>K!!行是配置信息的密文。

但對于每一個Bot來說，想要找到這個隱藏項目卻很復雜。最初，先從一個固定的BTC錢包[
1GQNam6xhzYVLWWXvRfu3EjsFon6n6GxMF] 的轉賬記錄生成一個 topic 標簽，在逆向樣本相關代碼之后，我還原了這個過程，如下圖所示（BTC錢包的查詢用到了四個web服務，具體的地址也如圖中所示）：

對于每一個可能的topic標簽，都有很多相關的github項目。遍歷這些項目的ISSUES，尋找一個格式為 ...!<base64>...? 的字串，比如我們最近找到的一個就是 ...!L215cG9sbzExMS92Zmc=...? 將這個base64 還原，就是隱藏項目的地址了 mypolo111/vfg

再通過搜索 GITHUB 的 Topics 和 ISSUES，找到那個隱藏的GIT項目。

另：mypolo111 這個賬號在多個項目中提交過ISSUES，相關截圖如下所示：

PS：在這一套尋址邏輯下，攻擊者可以通過為 “特定BTC錢包” 增加交易記錄的方式，來切換最終找到的 GITHUB 項目。在這樣的前提下須封掉指定BTC錢包才能破壞這個僵尸網絡以 GITHUB 為主的分發邏輯。

2. 通過 某中文社區 分發配置信息

攻擊者在少部分樣本中還嘗試利用“某中文社區”分發配置信息，這一部分的邏輯和利用GITHUB分發的邏輯相似。

b) 通過 P2P 方式分發配置信息

1. P2P-Over-UDP123 分發配置信息

Bot節點運行后，會在本地監聽 UDP-123 端口，該端口原本是NTP服務默認端口，所用的協議也具有一定的迷惑性。一段時間后，會向公網的四個B段地址（"114.25.0.0/16"，"36.227.0.0/16"，"59.115.0.0/16"，"1.224.0.0/16"）發起 Peer 探測請求，內容為 1C 00 00 00 當目標為正常的 NTP 服務器時會得到 NTP 時間，而如果目標為一個Bot節點時，則有兩種回復：

• 當目標Bot未取得主控信息時回復 1D 00 00 00；
• 當目標Bot拿到主控信息時，會將主控信息的簽名和相應密文回復，發送前，會在信息頭補充 0xE3 字節。

下圖是最近捕獲到的UDP-123 傳遞的配置信息。

2. 通過 P2P-Over-TCP 分發配置信息

Bot 節點運行后，還會在本地監聽一個 TCP 端口，且端口號是通過其公網 IP 計算后得到的，代碼如下圖所示：

交互協議的格式同UDP123上的相同。

c) 通過 CNC 分發配置信息

攻擊者在部分樣本中內置了一個域名 cnc.pinklander.com ，當該域名啟用后，會展示一個web頁面，頁面內容和GITHUB項目的內容相同。也是base64 編碼后的配置信息。

PinkBot 指令

指令格式

每條指令至少包含7字節，含義依此如下：

1. Token字段，長度4字節，該字段值由服務器端指定，指定后將一直使用這個值。設置方式為：Bot啟動后首先會向CC發送新生成的ECDH的公鑰，此刻Token為0，當服務端接受后，會分配一個Token值給Bot，這就算指定成功了。
2. 指令字段，長度1字節。CC發出指令后，Bot也要用相同的指令碼把執行結果返回。
3. 內容長度字段，長度2字節。當指令不包含具體內容時，設置為零，否則這里填充內容的字節長度數，并追加密文內容。
4. 指令內容。當指令包含內容時，此處填寫密文的指令內容。解密方法請繼續向下閱讀。

這里附上一張截圖供參閱，其中紅框標記的就是指令字段：

指令傳輸方式

a) 通訊加密

上述配置信息中的 cncip1 和 cncport1 便是攻擊者實際使用的主控節點。PinkBot 連接到 cnc 后將通過密鑰交換方式來做加密通信，細節如下：

1. 使用的密碼學庫為：mbedtls;
2. 密鑰交換階段使用的交換算法 ecdh，加載曲線為 MBEDTLS_ECP_DP_CURVE25519;
3. 服務端ECDH公鑰前期為硬編碼在樣本中，跟蹤后期，則改為在配置信息中指定。但內容沒有變化過：14 90 33 DF B5 E2 2A 09 D3 2E D5 69 9A 18 F1 65 C6 AF 4C 95 14 E6 BE 17 37 75 A5 E6 78 53 A6 0D
4. 報文加密/解密階段使用的算法為 aes, key 為密鑰交換后的secret，加載參數為 MBEDTLS_AES_ENCRYPT 和MBEDTLS_AES_DECRYPT;
5. 在ECDH的標準中，一般雙方的公私鑰是每次都要重新生成。但在 PinkBot 中，卻只要求了 Bot 側每次不同，而服務端則指定一對固定的公私鑰。這種內置服務端公鑰的方式，就等于讓 Bot 有能力對 CNC 進行身份驗證，從而杜絕了通訊過程被中間人攻擊的可能性。

b) 指令內容編碼

為了能夠同時適配 mipsb/mipsl 機型中字節序列的分布不同，傳輸的內容其實是經過開源庫nanopb 轉化后的內容，這個庫可以通過約定模版的方式來抽象序列化和反序列化的過程，從而忽略掉大/小端內存的干擾。

指令功能

PinkBot 指令具有豐富的控制能力：

文件下載系統命令執行DDoS攻擊（HTTP攻擊和 UDP 攻擊）掃描功能（掃描的具體內容可以通過指令設置）匯報設備信息（CPU/系統類型/內存信息/系統版本/硬件信息）自身更新（將新版本保存到 /tmp/client 后運行）P2P節點列表同步（直接推送一組P2P節點到Bot）http報文注入廣告（在受害設備上，嗅探交互報文，遇到http網頁時，插入廣告js腳本）啟動sock5代理服務（在Bot端架設 Socks5 代理服務，賬號密碼通過指令設置）下載文件并執行停止攻擊重置watchdog

PinkBot 持久化方式

與我們常見到的 botnet 不同，PinkBot 為了保持對感染設備的絕對控制權，會在感染光貓后，重新刷寫原有的光貓固件。在刷寫后的固件中，包含了 PinkBot 的下載器母體和配套的啟動程序。

下圖是被感染后新增/修改的文件列表：

其中tmp目錄的內容可以暫時忽略，這是樣本運行中生成的臨時文件。

關鍵文件說明：

• /bin/protect：md5:9ec5bd857b998e60663e88a70480b828

protect 文件是被刷寫固件中的Bot母本。文件中未發現收益類功能，換句話說它更像是一個下載器，在這個樣本中可以看到以上5種獲取配置信息的代碼。它最主要的功能，就是啟動后會從配置信息中拿到最新的樣本并把它們運行起來。

• /bin/tr69c: md5:451a3cf94191c64b5cd1be1a80be7799

tc69c 文件是光貓原始固件中 tr69c 的一個patch版本。通過對比分析，發現該patch主要移除了光貓的更新功能。也就是說，被刷寫的光貓，將無法通過 tr69c 進行固件升級。這應該是攻防對抗中引入的持久化操作。

跟蹤及處置

規模評估

前面提到，Pink 具有通過 p2p 方式來分發非實時性指令信息的特性。利用這個特性，我們得以在全網范圍內對 PinkBot 的感染量進行評估，最終得出的全球受感染IP超過160w的 這個結論。

指令跟蹤

我們通過模擬 PinkBot 來實時接收CNC主控分發的指令。
除了日常的維護類指令（心跳指令/peerlist同步指令）外，我們還收到了多條向WEB網頁插入廣告的指令，例如：

<script async src="http【:】//45.32.21.251/j/?$$"></script>
<script async src="http【:】//167.179.80.159/j/?$$"></script>
<script async src=“http【:】//114.55.124.13/j/?$$“></script>

匯報及處置

360公司為維護廣大最終消費者的利益，做了以下處置工作：

1. 通報各級監管機構；
2. 依法配合執法機構行動；
3. 聯合設備供應商進行安全防御；
4. 在360系列安全瀏覽器、安全DNS上阻斷PinkBot相關控制域名、插播廣告域名；
5. 聯合若干互聯網基礎設施供應商共同監控PinkBot行動。

新動向

本文其他部分，均完成于2020年春節前后，到現在已經度過了一年半的時光。在這段時間中，我們沒有發現 Pink 出現太大的變動，本節附上了一些最新的線索，供同仁們共同研究和追蹤。

最新傳播的配置信息

隨著對 pink 的持續追蹤，我們發現，pink 的配置信息會間歇性發生變化，變動內容主要體現在 CNC 字段和 DL* 字段，并于最近幾個月趨于穩定。下面是我們在 2021/10/5(北京時間) 捕獲的最新配置信息。

{
 "verify":"1611936001",
 "cncip1":"140.82.40.29",
 "cncport1":"26007",
 "dlc":"450aa79da035a8a55ca4c0e6b1025b50",
 "dl":"http://209.250.247.60/dlist.txt",
 "dlc1":"47ed94977b45099f1ef5c7701b2d25dc",
 "dl1":"https://****.com/****/dlist.txt",
 "sd0":"1.1.1.1",
 "sdp0":"443",
 "srvk":"FJAz37XiKgnTLtVpmhjxZcavTJUU5r4XN3Wl5nhTpg0=",
 "pxy":"1"
}

當前規模

我們一直階段性的對公網上的 Pink 節點進行持續監測，通過對 2021/10/20日的日志分析，我們仍然可以看到 103024 個 IP 處于日活狀態。這表明，當前的 pink 的感染規模仍然在 10w 量級左右，涉及多家設備廠商，按照每個IP對應一個三口之家來計算，受影響人群大概 30w 人左右。按照每個光貓 100 元的更換成本計算，當前仍有上千萬損失等待彌補。

曾發起 DDoS 攻擊

文章編寫完成時，我們并沒有抓到 Pink 發起 ddos 攻擊的指令，但在隨后的一段時間中，我們監測到了大概100多條試圖發起 DDos 攻擊的指令，下面篩選其中的兩條，供參考：

2020/3/24 通過UDP協議，攻擊 203.56.252.137:26999
2020/4/8  通過HTTP協議，攻擊 180.101.192.199:27020

番外：Pink 對抗的能力

在對 Pink 僵尸網絡分析跟蹤的過程中。我們注意到，攻擊者和不同廠商進行過多次的攻防對抗。
這一章節將簡單介紹下在對抗中， Pink 展現出來的一些能力。

設備廠商的博弈

根據相關廠商之一提供的信息，對抗最早發生在 2019 年 11 月中旬。受攻擊的漏洞源于一個 TCP-17998 的管控服務，該服務是對運營商提供的一個管理家用光貓的接口。由于服務配置和實現的失誤，向公網開放了訪問權限，攻擊者通過它獲取了相關光貓的控制權。

第一次對抗: 廠商在發現這個問題后，開始試圖在公網上通過相同的漏洞，修復自家設備。但很快就被攻擊者發現并馬上采取行動，通過 iptables 關閉了 TCP-17998 的外網訪問能力，從設備內部阻止了廠商的進一步修復。

第二次對抗：此次攻防的焦點在 tr069 升級通道。廠商從運營商側可以在設備啟動瞬間利用 tr096 進去修復設備。然而此次攻擊者仍然在第一時間察覺到問題，并迅速更新固件關掉了tr096 的更新通道。

第三次對抗：廠商又嘗試利用設備上 LAN 側的 TCP-80 HTTP 服務來進行設備修復，然而，同樣的結局，攻擊者很快又更新固件把設備上的 HTTP 服務文件干掉了。至此，所有的光貓都成了網絡孤島，它們只能提供終端用戶的正常網上沖浪的能力，卻再沒有網絡端口可以供外側管理訪問。

最后的方案：廠商已經完全沒有還擊的籌碼了。如果要修復這些孤島，只能派人入戶接觸光貓，拆解出調試接口或者干脆為用戶更換光貓。

復盤總結：設備廠商與攻擊者多輪的攻防對抗中，雙方的信息和能力是不對等的。廠商在無法獲知全網受害情況的前提下，從互聯網上一個IP一個IP的發現設備/修復設備。而攻擊者通過集中C&C的機制，統一下發關服務指令。雖然，廠商修復了一部分設備得到了局部勝利，但攻擊者仍然保住了大部分勝利果實獲取了全局勝利。
另一方面，將物聯網設備供應商與成熟的系統供應商在安全能力方面對比（例如windows、Android/ target=_blank class=infotextkey>安卓或者macOS），后者擁有成熟的多的安全人員建制和豐富的多的安全對抗經驗。再考慮到物聯網設備數量眾多，多得多的數量加上少的多的防御，更多的攻擊轉向物聯網設備是老道攻擊者的自然選擇。

GITHUB 封相關賬號

我們在實際跟蹤中通過殘留的早期指令發現，PinkBot 至少已經存在一年以上了，最早可以追溯到 2018年10月16日，當時使用的 github 帳號為 pink78day（這個賬號早就已經看不到了，我們通過搜索google的網頁快照服務追溯）。

目前 PinkBot 使用的帳號是 2019年11月下旬注冊的 mypolo111，而 pink78day 這個賬號已經無法在 Github 上搜索到，所以我們推測，Github 在發現這個項目后對帳號采取了屏蔽措施，而最近一次攻防也就發生在 2019年11下旬 PinkBot 換帳號這個時間點。

復盤總結：對于GITHUB來說，PinkBot 數量巨大，且訪問的項目是一個明顯惡意的項目，會消耗較多的服務資源，于情于理，GITHUB 都要封殺這個僵尸網絡。問題在于，他們誤認為 pink78day 是一個集中分發指令的渠道，以為單純封殺這個賬號就沒事了。但事實上，這個賬號只是一個相對下游的控制手段。攻擊者通過增加BTC錢包的交易記錄就可以瞬間將Bot重定向到一個新的賬號上。消耗資源的問題依然存在，此次攻防無所謂成功失敗。

IOC

C&C地址

通過長期跟蹤，攻擊者使用過的CNC地址有：

cnc.pinklander[.]com
144.202.109.110:40080
144.202.109.110:32876
207.148.70.25:12368
45.32.125.150:12368
45.32.125.188:12368
45.32.174.105:12368
5.45.79.32:12368

PS: 我們的DNSMon系統，早在2019年12月28日，在我們的人工分析介入之前，就自動已經標示控制域名 cnc.pinklander.com 有重大嫌疑并在360的安全DNS服務中（https://dns.360.cn/）攔截了。

PPS: 順道說一句，我們的 DNSMon 系統，已于近日改名 DTA ，并開啟商業化之路(
https://blog.netlab.360.com/360dta-announced/)，感興趣的伙伴們可以自行移步了解相關事宜。

同步服務

PinkBot 會通過HTTP服務同步樣本，用于更新或擴大感染。所用的HTTP服務有一些是公有服務，有一些是臨時建立的HTTP服務。
在長期的跟蹤中，我們確定至少存在以下URL被用于樣本同步。這些URL均提取自 PinkBot 的配置信息中。

http[:]//1.198.50.63:1088/dlist.txt
http[:]//1.63.19.10:19010/var/sss/dlist.txt
http[:]//104.207.142.132/dlist.txt
http[:]//108.61.158.59/dlist.txt
http[:]//111.61.248.32:1088/dlist.txt
http[:]//112.26.43.199:81/dlist.txt
http[:]//113.106.175.43:19010/tmp/pinkdown/dlist.txt
http[:]//117.131.10.102:1088/d/dlist.txt
http[:]//123.13.215.89:8005/d/dlist.txt
http[:]//125.74.208.220:81/dlist.txt
http[:]//140.82.24.94/dlist.txt
http[:]//140.82.30.245/d/dlist.txt
http[:]//140.82.53.129/dlist.txt
http[:]//144.202.38.129/dlist.txt
http[:]//149.28.142.167/p/dlist.txt
http[:]//149.28.142.167/p1/dlist.txt
http[:]//155.138.140.245/dlist.txt
http[:]//167.179.110.44/dlist.txt
http[:]//173.254.204.124:81/dlist.txt
http[:]//182.139.215.4:82/dlist.txt
http[:]//207.148.4.202/dlist.txt
http[:]//218.25.236.62:1987/d/dlist.txt
http[:]//218.25.236.62:1988/d/dlist.txt
http[:]//222.216.226.29:81/dlist.txt
http[:]//45.32.26.220/dlist.txt
http[:]//45.76.104.146/dlist.txt
http[:]//45.77.165.83/p1/dlist.txt
http[:]//45.77.198.232/p1/dlist.txt
http[:]//45.88.42.38/p1/dlist.txt
http[:]//61.149.204.230:81/dlist.txt
http[:]//66.42.114.73/dlist.txt
http[:]//66.42.67.148/dlist.txt
http[:]//8.6.193.191/dlist.txt
http[:]//95.179.238.22/dlist.txt
https[:]//***.com/**/dlist.txt
https[:]//raw.githubusercontent.com/pink78day/helloworld/master/dlist.txt

MD5

通過跟蹤獲取到的相關樣本（ELF）匯總如下：

9ec5bd857b998e60663e88a70480b828 /bin/protect
451a3cf94191c64b5cd1be1a80be7799 /bin/tr69c
06d6ad872e97e47e55f5b2777f78c1ba slient_l
07cd100c7187e9f4c94b54ebc60c0965 slient_b
0f25b0d54d05e58f5900c61f219341d3 client_b
0f89e43ea433fdfd18a551f755473388 slient_l
1197994610b2ffb60edbb5ab0c125bc0 client_b
167364ad0d623d17332f09dbb23a980e client_b
175b603082599838d9760b2ab264da6f slient_l
1a6dce9916b9b6ae50c1457f5f1dfbbd slient_l
229503686c854bb39efdc84f05b071b9 slient_b
25a07e3ef483672b4160aa12d67f5201 client_l
262a4e242c9ebeba79aa018d8b38d229 client_l
29d0afd2a244c9941976ebf2f0f6597f client_l
2befedd020748ff6d9470afad41bd28c slient_b
2ca5810744173889b2440e4f25b39bd4 client_l
36e48e141943a67c6fdeaa84d7af21cc client_b
3a620ff356686b461e0e1a12535bea24 slient_l
41bbe8421c0a78067bae74832c375fe8 slient_l
45ee78d11db54acfdda27c19e44c3126 client_l
4830c3950957093dac27d4e87556721e slient_l
484761f281cb2e64d9db963a463efca5 client_l
48a7f2799bf452f10f960159f6a405d3 client_l
494412638dc8d573172c1991200e1399 client_l
4c83ad66189a7c4d2f2afdbfb94d0e65 slient_b
50270de8d5783bb0092bf1677b93c97b slient_l
54aa9e716567bd0159f4751916f7f0d1 client_l
5ae1fec20c2f720269c2dc94732187e8 slient_b
5b62a9bd3431c2fd55283380d81c00fa client_b
5c322610e1845d0be9ccfc8a8b6a4c4f client_l
5c4f8dae67dad8cac141afa00847b418 slient_b
5d0d034845bd69179bf678104c046dc1 client_b
60658ef214c960147200d432eece3e13 slient_l
60a2b1bb02a60ac49f7cc1b47abdf60c client_l
610f0aadba3be1467125607bf2ba2aaf slient_l
66a068fd860bda7950fde8673d1b5511 client_b
6c4de9bd490841f0a6c68638f7253c65 client_b
72c531a813b637af3ea56f288d65cdb7 slient_b
7608b24c8dcf3cd7253dbd5390df8b1f client_b
7645a30a92863041cf93a7d8a9bfba1a client_b
857fc3c7630859c20d35d47899b75699 slient_b
861af6b5a3fea01f2e95c90594c62e9d client_l
8e86be3be36094e0f5b1a6e954dbe7c2 client_l
8fbcd7397d451e87c60a0328efe8cd5d client_b
987a9befb715b6346e7ad0f6ac87201f slient_b
9eb147e3636a4bb35f0ee1540d639a1b slient_b
aa2fc46dd94cbf52aef5e66cdd066a40 client_l
ae8b519504afc52ee3aceef087647d36 slient_b
b0202f1e8bded9c451c734e3e7f4e5d8 slient_b
b6f91ad027ded41e2b1f5bea375c4a42 slient_b
b9935859b3682c5023d9bcb71ee2fece slient_b
b9d1c31f59c67289928e1bb7710ec0ba client_l
bec2f560b7c771d7066da0bee5f2e001 client_b
c2efa35b34f67a932a814fd4636dd7cb slient_l
c839aff2a2680fb5676f12531fecba3b slient_b
c94504531159b8614b95c62cca6c50c9 slient_l
dfe0c9d36062dd3797de403a777577a6 client_b
e19a1106030e306cc027d56f0827f5ce slient_l
f09b45daadc872f2ac3cc6c4fe9cff90 client_b
f5381892ea8bd7f5c5b4556b31fd4b26 client_b
f55ad7afbe637efdaf03d4f96e432d10 slient_b
f62d4921e3cb32e229258b4e4790b63a client_b
f81c8227b964ddc92910890effff179b slient_b
fc5b55e9c6a9ddef54a256cc6bda3804 client_b
fe8e830229bda85921877f606d75e96d slient_l
fee6f8d44275dcd2e4d7c28189c5f5be client_l