2021年上半年忙了大半年在工作的方向上,面对业务去努力,有时候顾不上自己的提升与学习。那一段时间以来,思路枯竭,确实是到了需要多读读相关安全论文以及相关优秀文章针对性学习来开阔思路的时刻了,认真细致不求快,但求每篇都希望吸收到新养分,加油。以下属于自己的一些翻译整理过程,由于原文是法语,实在是不懂法语,只能自己理解加翻译辅助了,有错误请及时指正,总体来说该报告提及的相关方法也是目前业界安全分析人员采用的主流hunting方法。
这次的调查报告起源于一起对一家菲律宾在线菠菜公司真实的应急响应事件,当然这个具体响应过程并不是这份报告的主题,所以并没有过多描述细节。主要是这个事件后分析人员拿到了恶意文件,使用逆向工程相关的工具对这些恶意文件进行了分析,分析的目的除了确定恶意软件的功能之外,主要是提取控制服务器(C&C)的地址,然后确定拿到的这些恶意文件是否是已知的恶意软件家族。在理想情况下,会遇到一个仅由一组攻击者使用的恶意软件家族,这可以帮助分析人员简化对攻击者来源进行归因,并允许在先前调查的基础上进行补充,然而现实的情况里并不是这么幸运。
分析结果是确定了拿到的恶意文件属于四个家族:
第一种:11个恶意文件
第二种:3个恶意文件
第三种:5个恶意文件
HyperBro:1个恶意文件,2019年10月份出现。
其中的一种家族的恶意文件,采用的是用 C++ 编写的,并以模块化方式构建,存在RTTI信息,因此我们可以提取类的名称,有一个用于给插件添加功能的虚拟“CHPPlugin”类,以及一个由所有与网络通信相关的类(例如“CHPHttp”、“CHPTcp”或“CHPUdp”)实现的“CHPNet”虚拟类。除了提取的类名称外,还能发现内嵌的版本号信息与编译时间信息,这些信息对于了解攻击者的开发迭代提供了参考。
还有一种替代算法,使用256字节的固定表对发送到C&C的数据进行混淆。
以上是分析的第一步,找到了存在的恶意文件,提取了恶意文件的恶意域名(IP),且发现了类名称、版本信息、编译时间以及替代算法等信息。接下来将使用几种方法,这些方法使我们能够找到与攻击者相关的新恶意文件。
通常情况下针对恶意文件最简单和最快的搜索是识别不常见的字符串,然后搜索恶意软件数据库以查找它们的存在。这种搜索可以从一个简单的搜索引擎查询开始,因为许多在线沙箱系统在运行提交给其服务的文件时会存储静态与动态发现的所有字符串。另外我们可以使用VirusTotal服务的“content”修饰符(这个属于企业版才拥有的功能),它将返回与搜索到的模式对应的所有文件。
在这种情况下,我们可以使用语法更丰富的Yara工具,一些在线服务以及我们的内部数据库与此工具兼容。这意味着一旦我们编写了规则,就可以将其添加到我们的狩猎规则中。只要文件提交到文件源之一(内部数据库、VirusTotal...)命中编写的规则后,就会向我们发送一封电子邮件进行通知。
但是,这些通知仅与将来要扫描或当前发送的文件有关。如果想搜索过去的文件,那么可以使用 VirusTotal 的 RetroHunt 功能,这将允许通过Yara搜索过去三个月发送或扫描的所有文件。
在这种情况下,搜索不常见的字符串,例如类名“CHPKeylog”,没有返回任何内容。这并不奇怪,因为之前介绍的各种文件会将恶意软件加载到内存中执行,所以这些字符串不会出现在落地文件中。
之前确定了使用 256 字节替代算法来混淆发送到 C&C 的数据,因此我们编写了一个包含这 256 个字节的 Yara 规则,并将其添加到我们的搜索规则中,之后还进行了 RetroHunt。几个小时后,我们得到了包含相同替换表的文件列表。分析表明,这是第一种恶意软件家族,版本为4.0。
我们能够将以下两个 C&C 资产添加到我们的列表中
test66.shopingchina.net
update.google.com.updatesrvers.org
几周后,我们再次收到了警报。通过分析代码,我们识别出与我们最初的恶意软件中看到的相同的C++类,这证实了两个恶意文件之间的联系。但是,此恶意文件的目的是将 HTTP 或 UDP 流量从侦听端口重定向到 IP 地址与远程端口。,因此我们可以将此工具添加到攻击者的武器库中。需要注意的重要一点:在分析这个算法的过程中,我们认为虽然它不是很复杂(简单的替换),但我们不太可能偶然发现相同顺序的256个字节的相同序列。命中数量少(6 个月中有 9 次)以及对与我们的调查相关的文件进行分析后的系统通信证实了这一猜测,我们以为分析提取出一个强大的特征。之后发现了一个文件也有相同的256个字节序列数据,但是文件与这次攻击文件无关,最终发现原来是误报。
在CodeProject站点2015年2月中找到的代码片段,如下:
我们推断我们的攻击者使用 Google 搜到的源码来直接使用而更快地实现其网络加密算法,鉴于这条规则给我们的警报数量很少,误报的数量甚至更少(9 个中有 1 个),综合比较这个特征也不错。但这是一个很好的提醒,攻击者经常复制网上公开的代码片段,一串字节或算法不一定能正确归因。
找到与给定攻击者相关的代码的另一种可能性是使用文件或文档的元数据,我们将在下面看到两个例子。对于 PE 格式的可执行文件,可以直接从文件中检索此元数据,例如在 VERSIONINFO 资源中定义的信息,例如文件名、描述或版本。有时这种元数据会被间接使用,例如著名的“imphash”,它根据可执行文件的导入表计算哈希。作为这项调查的一部分,我们对唯一可用的第一种恶意软件家族感兴趣,即 1.0 版。该文件的“内部名称”字段是“HaoZipUpdate”,它被证明是亚洲流行的压缩管理器。对代码的分析表明它是一个合法的二进制文件,其中的几个字节被手动修补以将执行流重定向到添加在文件中间的恶意代码,如图。
如果在 VirusTotal 中搜索 2 个名为“HaoZipUpdate”的所有未签名文件,并使用overlay搜索,我们得到的文件数量少于 10 个。我们可以手动分析这 10 个文件,但是对这些文件中的字节“68 08 5D 01 00”进行简单的二分搜索只会返回一个结果。对该文件的分析表明,它是一个甚至早于1.0的版本,类名类似于第一种恶意软件家族。这个版本插件很少,甚至没有版本号,它还可以被追溯到 2019 年 5 月,搜索语法:name :"HaoZipUpdate" tag :"overlay" NOT tag :”signed”。一旦找到这个新的二进制文件,我们就继续通过 VirusTotal 的“content”修饰符搜索它的整个代码,并最终找到一个恶意的 Word 文档,该文档将文件按原样嵌入 OLE 对象中。该文档的元数据尚未删除,文档作者姓名为“Dell_20170514745”。查找具有相同作者的其他文档,我们发现另外 3 个也是恶意的,我们将使用它们通过在遥测中查找痕迹来查找目标。
查找其他IOC并了解更多信息的另一种方法是攻击者的基础设施,这里存在几种调查方法,一般先获取其他域名和链接的IP地址,之后反过来查询可能会发现其他恶意软件变种,我们可以不断重复前面的步骤。因此这部分建议尽量多列出一些IOC,无论成功与否,我们使用这种方法来检索与攻击者相关的尽可能多的 C&C。
使用的第一种常用方法是被动 DNS,一些服务如 PassiveTotal 或 DNSDB 存储所有他们观察到的“域名 - IP 地址”关联记录信息。通常这些服务的数据来源是与运营商 DNS 服务器签订协议或者管理他们自己的 DNS 基础设施,我们获得了与一个域名(有或没有其子域)相关联的 IP 地址的历史记录,并且对于每个 IP 地址,我们可以获得被动 DNS 服务看到的指向这个 IP 的所有域名。此类数据库的优势在于某些攻击者可以将某些服务器用于不同的攻击活动,因此有时我们会设法获得新的 C&C,可以将其链接到我们追踪的攻击者,这些 C&C 本身可用于搜索其他恶意软件家族或在对事件做出响应时发现其他受感染的机器。但是,必须注意确保在相同的时间间隔内来判定攻击者正在使用这些其他域名或IP,因为没有什么可以阻止两个不同的组织在不同的时间使用相同的服务器。一些主机自身的安全性不够,导致成为了APT的受控资产变成了跳板,我们将无法进行任何有用的关联。同样这种方法在共享服务器的情况下当然有其局限性,因为几个无关的域会同时指向同一个IP。
让我们举一个例子来说明这个思路,在上一步中我们已经确定 update.mircosoftdefender.com 域被我们的攻击者用作 C&C。图片显示了 PassiveTotal 中此域指向的 IP 地址的历史记录,我们看到 IP 43.228.126.172 自 2019 年 7 月被发现第一次攻击以来一直在使用。
下面显示了所有指向此 IP 的域,如下。
我们对与我们发现的 C&C 同时使用的域名感兴趣,即 2019 年 7 月至 2020 年 3 月之间的所有域,我们将 update.microsoftdnsdown.com 和 support.microsoftdnsdown.com 作为潜在攻击者域名。
有几件事使我们认为这些域属于我们的攻击者:
1、他们都在域名中使用了词汇“Microsoft”;
2、他们都使用“update”作为其子域;
3、恶意软件家族之一具有 C&C 域“safe.mircosofdevice.com”,我们在这里找到相同的子域也有“safe”;
4、他们都有相同的注册商 GoDaddy 和 NameServer(DomainControl.com),这种组合在很多不同攻击者的攻击活动中极为常见;
最相关的是找到属于先前分析的将这些域作为 C&C 的恶意软件家族之一,但不幸的是,这次搜索没有成功。顺便说一下,我们注意到攻击者只为他的子域update.mircosoftdefender.com分配了一个 IP 地址指向相关的 IP 地址,而 mircosoftdefender.com 总是指向 GoDaddy 的默认 IP。这绕过了被动 DNS 服务,后者只是解析域名的 IP 地址,这些域名的列表是从 AFNIC 等官方机构检索的。
某些服务,例如 Censys、Shodan或Onyphe (cocorico) 通过每天运行探测到大量 IP 地址的“已知”端口,并在其数据库中存储大量元数据,例如 Web 服务器的版本、看到的证书、Web 服务器返回的 HTTP 标头等,有时可以使用此信息来调整和查找与攻击者相关的新 C&C。例如如果我们识别出链接到我们的攻击者组的 TLS 证书,我们可以请求这些服务获取看到该证书的 IP 地址列表,从而丰富我们的IOC列表。在本次调查的情况下,这种方法无法获得新 IP,但我们认为引用它很重要,因为它在许多情况下都有效。
我们发现,在 2019 年底,攻击者将他们的基础设施转移到托管在 Google Cloud 上的 IP。通过过滤该主机的 IP 范围以及 HTTP 标头中存在的一些简单特征,可以找到新的 C&C。例如,这些特征是使用的 Web 服务器、其版本或返回数据的大小。因此,我们能够添加 3 个具有相似特征的 C&C IP 地址。此外,这一步至关重要,因为它允许我们链接来自不同家族的两个恶意软件 C&C。提醒一下,在 2019 年 10 月,我们收到了一个新的 HyperBro 变种,以及 9.0 版的类型1家族变种。这两个恶意软件是在同一台机器上发现的,但是,取证分析无法找到这两个恶意软件之间的直接联系。具体来说,我们不确定恶意软件是否相关,因为它很可能是来自不同群体的两次攻击的结果,没有任何相关性。但最终基础设施分析使我们能够确认两个基础设施背后是同一个攻击者。除了这一确认之外,它还为我们提供了与“已知”团体的第一个联系。事实上据我们所知,HyperBro 恶意软件被一个名为 Iron Tiger、LuckyMouse的组织所使用。
一些服务(如 DomainTools)存储几乎所有注册域名上看到的所有 Whois 记录的历史记录,除了少数鲜为人知或不愿提供此信息的 TLD协议内容。这些注册信息包含可用于执行关联的信息。如果攻击者使用相同的电子邮件地址注册不同的域名,则可以使用该数据库恢复所有使用该地址注册的域名。然而这越来越不真实,因为除了在域名注册过程中使用匿名化服务的攻击者之外,2018 年 5 月生效的 GDPR 法律导致在 Whois 记录中掩盖了这些信息。然而,仍有一些事情可以做。例如,可以使用 SOA DNS 记录中的电子邮件地址将其与其他域名相关联。
有时,一些攻击者使用相同的匿名化服务在同一个注册商上同时注册多个域名,结果是所有这些域的创建日期非常接近(相隔几秒钟)。一旦我们找到这样的一个攻击者的域名,我们就可以检索到同一日期在同一注册商处注册的所有域名的列表,并利用创建时间过滤后,可以找到相关的域名,但是必须小心,因为误报的可能性很高!然后我们可以基于通用命名法、受害者或攻击者感兴趣的主题,甚至解析链接到域的 IP 地址并在基础设施中寻找相关性来降低误报。这种方法在我们的案例中有效。例如在恶意软件分析步骤中,我们将域 mircosoftdefender.com 识别为属于我们正在追踪的攻击者。该域名是在 2018-08-09 08:40:27 在 GoDaddy 注册的,关联的 NameServer 是 Domaincontrol.com,攻击者使用了匿名化服务 domainbyproxy.com。这些都是 GoDaddy 的默认服务。鉴于该注册商的巨大市场份额,大家会认为过滤结果会太多,因为 DomainTools 报告仅在 2018-08-09 当天就注册了 7661 个域。但是如果我们过滤在 08:40 到 08:41 之间创建的域,则只剩下 4 个,分别是在 08:40:10 创建的 dinohonevice.com 和 luxespiremag.com,在 08:40:27创建的 mircosoftdefender.com 和 08:40:28创建的googleusermessage.com。
后者在我们看来是一个很好的候选域名,原因如下:
1、它是在我们发现的攻击者的 C&C 之后创建的;
2、域名中存在 IT 公司标志;
3、似乎只有一个默认的 GoDaddy IP 地址与此域相关联。这对应于之前看到的情况,其中 攻击者的 IP 资产仅分配给子域。
不幸的是,我们无法找到更多信息,因为没有找到子域。但是我们仍然注意到这个标记,因为如果攻击者在未来重复使用这个域,或者如果研究人员遇到以这个域作为 C&C 的恶意软件,它可能会很有用,目前仍然属于高可疑资产。
一些在线解决方案允许你分析沙箱中的可执行文件或文档,并提供执行的输出跟踪,包括建立的网络连接。然后,我们可以使用这些服务来查找与给定 C&C 相关联的恶意软件家族。作为防病毒厂商,我们内部拥有相同类型的数据库。通过使用前面步骤中收集的所有 C&C 查询这些数据库,我们发现了与攻击者相关的其他恶意软件。例如,关联C&C资产 test66.shopingchina.net 的类型 1 恶意软件。如果我们在 VirusTotal 中搜索这个域,我们会看到该服务已知的另外两个子域。访问每个子域都会给出与这些子域相关联的可执行文件列表。我们还没有发现 shopingchina.net 域名的合法用途,因此可以合理地假设它没有受到损害,或许攻击者正在管理它。因此我们认为这些关联到的恶意软件是与攻击者相关的,已将它们添加到攻击者的武器库中。
通过这种方法,我们发现了四个额外的恶意软件家族:
1、PlugX,至少自 2008 年以来就已存在并用于大量针对性攻击的恶意软件;
2、Trochilus,公开的 RAT木马,其修改版本也出现在之前的针对性攻击中;
3、用 MFC 类编码的恶意软件,我们尚未确定其家族;
4、CobaltStrike,红队众所周知的攻击框架;
与 HyperBro 不同的是,这些恶意软件家族被许多不同的群体使用,因此不会将我们的攻击者群体与已知群体相匹配。
在这个阶段,我们有以下元素:
1、已知和未知的不同恶意软件家族的多个版本;
2、链接到这些未知恶意软件之一的恶意文件;
3、许多域名和 IP 地址与我们的攻击有关;
我们缺少访问向量,不幸的是,执行事件响应的公司并未识别该向量。我们也不确定受害者的情况,因为到目前为止我们只知道在线菠菜业务被攻击了。通过搜索之前在我们的遥测中发现的恶意文件,我们能够找到发送给位于东南亚的另一家公司的邮件,该公司也属于在线菠菜领域。由于这一发现,我们因此知道攻击的载体之一是鱼叉式网络钓鱼,目标行业似乎是东南亚的在线菠菜。但是,我们对已识别的各种恶意软件的可能检测结果进行了搜索,但我们未能识别出任何新的受害者。这显示了这次攻击的针对性特别强。
正如我们已经指出的,每次找到一个新指标时,都必须重新开始这些步骤:
1、新域名可能会添加新 IP 地址和相关恶意软件;
2、新 IP 地址可能会添加新域名和相关恶意软件;
3、新的恶意软件系列可能会添加新的 C&C(IP或者域名);
这些指标中的每一个都有可能通过遥测检测新的受害者,并且还可以允许与已知群体联系,从而为攻击提供更多的上下文信息,下面是第一次执行前面的步骤后获得的相关示例文件。
“Trochilus”恶意软件家族的可执行文件之一文件名为“diskshawin.exe”,由一个由自解压 RAR 文件启动的可执行文件加载到内存中。这个可执行文件使用了几个具有明显随机名称的互斥量,“cc5d64b344700e403e2sse”、“cc5d6b4700e403e2sse”以及“cc5d6b4700032eSS”。在 Google 上搜索这些互斥量时,我们发现了一个沙箱分析报告,该报告对应于属于 BbsRat 家族的一个变种,文件名为“diskwinshadow.exe”,并关联到域名“bot.googlerenewals.net”。通过对该域名的研究,我们发现了 ClearSky 公司于 2017 年发布的与 Winnti 黑客团伙相关的报告。这个名字实际上汇集了其中的几个群体,文件名和互斥量的相似命名法,以及所谓的小团体起源与我们这边看到的针对目标之间的一致性,强化了我们的信心,即这两个黑客组织很可能是相关的。
我们对这群攻击者的了解越来越多,但还有更多工作要做。在对类型1的恶意软件的分析过程中,我们确定了与域 api.dropbox.com 的连接。
新的有效载荷
进一步分析可以看出,Dropbox 是作为额外的控制通道使用的。事实上在第一次感染期间,机器会生成一个唯一的 ID,并使用它在 Dropbox 存储库中创建一个目录。然后恶意软件会定期检查此目录中是否存在“asc”后缀的文件,如果存在则对其进行解密,将执行流程重定向到解密后的代码。因此恢复此文件对我们来说似乎很重要,以便能够检测和阻断它。为了能够在没有用户交互的情况下访问这个 Dropbox 存储库,恶意软件嵌入了一个 Dropbox API 密钥。我们提取了这个密钥,并通过 Dropbox API 的官方 Python 实现,我们能够访问攻击者的存储库以观察其内容。
我们进行了以下观察:
1、根目录中存在 142 个不同的目录;
2、其中有 129 个包含“asc”后缀的文件;
3、有 26 种不同的“asc”后缀的文件版本,针对 x86 和 x64 架构。
正如我们怀疑的那样,这些“asc”后缀扩展文件包含恶意代码。这实际上是一个新的恶意软件家族,因此值得进行新的分析。此分析超出了本文的范围,但可以在我们博客发表的文章中找到功能摘要。我们发现这个后门使用 Dropbox 作为 C&C, 因此如果攻击者想要执行来自受害者的命令,他必须将此命令写入名为“yasHPHFJ”的文件中。恶意软件会定期检查存储库中是否存在具有该名称的文件,如果存在,它会执行命令,并将结果写入存储库中名为“Csaujdnc”的文件。因此通过访问存储库,可以查看执行的各种命令。
后阶段开发工具
同样,存储库中还有大约五十个额外的可执行文件。分析表明这些主要是恶意文件,对应于后阶段常用的工具。这些工具包括诸如 Mimikatz 或 QuarksPwdDump 之类的密码恢复软件、绕过 UAC 的工具、诸如 nbtscan 之类的网络共享枚举工具,甚至是通过利用漏洞的提权工具和暴力破解工具。
命令分析
对攻击者在 67 个不同 ID 上放置的命令的分析表明,其中大多数包括列出目录内容,然后通过各种方式启动上述工具。此命令分析的结果也已发布在我们的博客上。其中一些命令特别有趣:在计算机上,攻击者下载了直接存储在远程IP地址上的恶意负载。通过查看这个IP地址的被动DNS,我们找到了一个与Winnti相关的域名。因此这加强了我们的信念,即我们追踪的攻击者与该组织有联系。类似地,攻击者向受害者发送文件的命令包含文件的绝对路径。因此,我们在攻击者的路径中看到了一个名为“DRBControl”的目录名,这激发了我们为这项调查命名。我们还确认了受害者,因为我们发现一些受害者的公司使用 Dropbox 感染了此恶意软件,并且它们也与在线投注有关。最后我们发现在攻击者下载的文件中,有很多数据库,包含键盘输入记录的文件、PDF和Office文档、cookies,甚至还有一个Keypass数据库。
时间线
在结束之前,让我们对与这次攻击相关的事件做一个时间线:
- 2019 年 7 月 10 日:调查开始;
- 2019 年 7 月结束:完成对不同恶意软件系列和攻击者基础设施的第一轮分析;
- 2019 年 8 月:对代码加载器进行更深入的分析,发现恶意软件以及 2019 年 5 月发送的鱼叉式网络钓鱼文件;
- 2019 年 8 月结束:开始分析攻击者命令并识别新目标 - 截至 2019 年 9 月:发现与 Winnti 的首次关联,所有 Dropbox API 密钥都失效;
- 2019 年 10 月 2 日:获取两个新版本恶意文件,包括新版 HyperBro 恶意文件;
- 2019 年 10 月期间:调查全面中断;
- 2019 年 12 月期间:调查恢复,进一步调查攻击者的基础设施,确认与Emissarypanda的联系;
- 2019 年 12 月结束:输出该报告的第一版;
- 2020 年 1 月期间:根据技术营销部门的评论对报告进行了轻微修改;
- 2020 年 2 月 2 日:晚上 11:44:提交给 SSTIC;
- 2020 年 2 月 18 日:出版趋势科技博客上的博文和调查论文;
- 2020 年 3 月 10 日:接受 SSTIC 的通知;
- 2020 年 4 月 25 日:发送 SSTIC 论文草稿;
值得注意的是,99%的调查是由三个具有不同技能,不同时区和不同可用水平的人进行的,也就是说,一名研究人员不一定专门从事一项调查。
结论
我们从属于 4 个不同恶意软件家族的大约 15 个变种文件开始,提取来 5 个域名和 3 个不同的 C&C IP 地址。当这项调查完成时,我们有:
- 4 个额外的恶意软件家族
- 14 个额外域名
- 6 个额外的 IP 地址
- 数十种不同的恶意软件家族(我们的论文中提供了完整的列表)
- 攻击的载体(用于鱼叉式网络钓鱼的 4 个恶意文档)
- 攻击者使用的许多后阶段利用工具的列表
- 精确的受害者
- 与两组已知和记录在案的攻击者的联系
对于受害者来说,这些方法可以丰富他们的情报列表并获得更多背景信息的价值是不可否认的。但是可以肯定的是,这样的调查需要时间并需要大量资源。同样,有时可能需要几周时间才能获得更多上下文信息,例如在发现新的恶意软件系列之后。更具体地说,关于这次演讲,应该指出的是,这里提到的大多数概念都被许多“威胁情报”公司所采用。然而虽然在某些情况下这些概念适用于所有人,但在其他情况下,它们需要访问付费平台。对于 VirusTotal 尤其如此,其他平台如 Passive Total 虽然提供免费访问,但有一定的限制,尤其是每日请求的数量。提到的其他概念需要遥测则需要企业环境支持。由于不同的位置、客户或用途,我们必须接受本次调查的这种观点必然是片面的。这也有利于在来自不同公司的研究人员之间建立信任纽带,以便能够完成你对攻击的设想。让我们结束一个重要的点:虽然我们已经展示了一些跟踪攻击者的方法,我们在标题中称之为疏忽,但他们远非愚蠢。他会毫不犹豫地使用开源中可用的信息,无论是安全出版商关于他的出版物,还是 Twitter 上提到的研究人员,以提高自己。本次调查没有违反这一规定, 在 2020 年 2 月发布我们的调查后,我们在 2020 年 3 月发现了与该组相关的新攻击,发现了相同的类型1的恶意软件,指向完全不同的基础架构,但仍使用 Dropbox 作为 C&C。提取API key后,我们发现它的权限被调整了,不能再列出仓库的内容了。因此,在撰写调查报告时,你必须具有创造力,但也要有洞察力!
原文始发于微信公众号(OnionSec):趋势科技的一篇会议报告学习【如何监控粗心的攻击者】
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论