ASERT Threat Intelligence Report 2015-05 PlugX Threat Activity in Myanmar

时间 2019-12-06

标签 asert threat intelligence report plugx activity myanmar 栏目 Intel 繁體版

原文原文链接

左懒 · 2015/09/09 14:03php

0x01 概要

缅甸目前是一个从事重要政治活动的国家。2011年的民主改革更是帮助政府创造了一个有利于吸引投资者的氛围。该国资源丰富，拥有多种天然资源和稳定劳动力供给【1】。尽管近来有所发展，该国还须要长期进行种族斗争和内战。分析人士认为，中国和美国对缅甸的内部斗争有很大的影响，尤为是中国有海上通道，港口贸易和重要的燃料管道等优点。地理政治学家认为，美国可能会由于本身的利益而在这里阻挠中国的野心【2】，【3】，【4】。html

APT组织成员来自多个国家，其中包括中国。该组织的战略利益是以恶意软件做为基础进行间谍活动。使用的是恶意软件家族中的著名的PlugX（也称为Korplug），该恶意软件容许彻底访问受害者的机器和网络。最近观察到在缅甸政府主站上托管了多个PlugX相关的恶意软件。在2015年八月初的时候，Arbor ASERT已经提供信息帮助缅甸CERT处理这种状况。初步局势现已获得处理。咱们能够更普遍地对外发布此信息。这篇报告并不打算全面揭露持续整个活动的威胁，可是这些威胁源TPP's（Tactics, Techniques, Procedures）信息能够帮助其余组织机构提升防范意识，加强对这种攻击活动的防范和检测。html5

对恶意软件的初步调查发现缅甸选举的相关网站是PlugX恶意软件的宿主。缅甸针对此次攻击讨论结果是相似于Palo Alto Networks在2015年六月份发布的受到Evilgrab恶意软件影响的策略性网络感染攻击（也称“watering hole”）。他们的研究还代表9002 RAT事例也是使用相同的基础设备。因为威胁环境的性质所限，归因的查找至关困难，尤为是当多个威胁源组织可能分布在一个集中地方使用相同的恶意软件。但不管是谁发起的攻击，了解对方的目标和TPP's可以在突变状况下成为重要资料帮助工做人员抵御敌人。这是一场持久的智力战争。python

0x02 缅甸政府站点分布的PlugX和加载器

截至2015-07-30，缅甸政府的Web服务器上保存了几个PlugX相关的恶意软件。确切来讲，Ministry of Information(MOI)网站托管了Myanma Motion Picture Development Department(MMPDD)相关网站URLwww.moi.gov[.]mm/mmpdd/sites…git

Figure 1: Screenshot of website containing malware as of July 30, 2015github

PlugX的二进制文件包括moigov.exe，fields.exe，fibmapp.exe三个文件。field目录最后的修改时间是2015-07-15 23:33，能够推测该网站在这个日期或以前就遭受黑手。网站是运行在Drupal，但相关的危害分析技术超出文本的范围。web

Figure 2: Parent directory reveals last modification of the directory used to store PlugX artifactssql

Table 1: A variety of PlugX malware-related content was observed on the Myanmar sitepromise

0x03 PlugX moigov.exe样本

加载程序（MD5:a30262bf36b3023ef717b6e23e21bd30）下载一个叫moigov.exe的PlugX二进制文件（MD5: d0c5410140c15c8d148437f0f7eabcf7）。该PlugX样本具备多种配置属性。分析人员，事故救援人员和研究人员能够经过使用Volatility memory forensics framework（github.com/arbor-jjone…和github.com/arbor-jjone…）获取其内部信息。浏览器

应该注意到这种状况下PlugX是P2P的变种，它的P2P功能在配置里面是禁用的。这些配置elements对Indicators of Compromise（IOCs）很是有用，还有能够帮助链接该PlugX样本到其它攻击活动。分析人员必须谨慎使用，由于不是全部elements都是无害的。例如，谷歌开放的DNS服务器8.8.8.8和8.8.4.4是无害的，可是一般使用PlugX或其它恶意软件会阻碍DNS过滤/探测或者使之探测到有危害的DNS服务器。同往常同样，分析时须要多加谨慎考虑。

PlugX configuration for moigov.exe, MD5 d0c5410140c15c8d148437f0f7eabcf7

md5:  d0c5410140c15c8d148437f0f7eabcf7
cnc:  usacia.websecexp.com:53
cnc:  appeur.gnway.cc:90
cnc:  webhttps.websecexp.com:443
cnc:  usafbi.websecexp.com:25
cnc1:  webhttps.websecexp.com:443  (TCP  /  HTTP)
cnc2:  usafbi.websecexp.com:25  (UDP)
cnc3:  usacia.websecexp.com:53  (HTTP  /  UDP)
cnc4:  appeur.gnway.cc:90  (TCP  /  HTTP)
cnc5:  usafbi.websecexp.com:25  (TCP  /  HTTP)
cnc6:  webhttps.websecexp.com:443  (HTTP  /  UDP)
dns:  180.76.76.76
dns:  168.126.63.1
dns:  203.81.64.18
dns:  8.8.8.8
enable_icmp_p2p:  0
enable_ipproto_p2p:  0
enable_p2p_scan:  0
enable_tcp_p2p:  0
enable_udp_p2p:  0
flags1:  4294967295
flags2:  0
hide_dll:  -1
http:  http://epn.gov.co/plugins/search/search.html
icmp_p2p_port:  1357
injection:  1
inject_process:  %ProgramFiles%\Internet  Explorer\iexplore.exe
inject_process:  %windir%\system32\svchost.exe
inject_process:  %windir%\explorer.exe
inject_process:  %ProgramFiles(x86)%\Windows  Media  Player\wmplayer.exe
install_folder:  %AUTO%\McAfeeemOS
ipproto_p2p_port:  1357
keylogger:  -1
mac_disable:  00:00:00:00:00:00
mutex:  Global\VdeBueElStlKd
persistence:  Service  +  Run  Key
plugx_auth_str:  open
reg_hive:  2147483649
reg_key:  Software\Microsoft\Windows\CurrentVersion\Run
reg_value:  OmePlus
screenshot_folder:  %AUTO%\McAfeeemOS\NtBXvdMGwtDwrfHs
screenshots:  0
screenshots_bits:  16
screenshots_keep:  3
screenshots_qual:  50
screenshots_sec:  10
screenshots_zoom:  50
service_desc:  McAfee  OmePlus  Module
service_display_name:  McAfee  OmePlus  Module
service_name:  McAfee  OmePlus  Module
sleep1:  83886080
sleep2:  0
tcp_p2p_port:  1357
uac_bypass_inject:  %windir%\system32\rundll32.exe
uac_bypass_inject:  %windir%\system32\dllhost.exe
uac_bypass_inject:  %windir%\explorer.exe
uac_bypass_inject:  %windir%\system32\msiexec.exe
uac_bypass_injection:  1
udp_p2p_port:  1357
复制代码

0x04 PlugX fields.exe样本

有几个缘由使得fields.exe样本比较出名。它一样存在缅甸的moi.gov网站，和上述的moigov.exe样本有差很少同样的结构。可是有些elements是不一样的，好比C2认证字符串，注入的进程表，安装文件夹等方面。

PlugX configuration for fields.exe, MD5 809976f3aa0ffd6860056be3b66d5092

md5:  809976f3aa0ffd6860056be3b66d5092
cnc: appeur.gnway.cc:90
cnc: webhttps.websecexp.com:443
cnc: usacia.websecexp.com:53
cnc: usafbi.websecexp.com:25
cnc1: webhttps.websecexp.com:443 (TCP / HTTP)
cnc2: usafbi.websecexp.com:25 (UDP)
cnc3: usacia.websecexp.com:53 (HTTP / UDP)
cnc4: appeur.gnway.cc:90 (TCP / HTTP)
cnc5: usafbi.websecexp.com:25 (TCP / HTTP)
cnc6: webhttps.websecexp.com:443 (HTTP / UDP)
cnc_auth_str: Kpsez-htday
dns: 168.126.63.1
dns: 180.76.76.76
dns: 8.8.8.8
dns: 203.81.64.18
enable_icmp_p2p: 0
enable_ipproto_p2p: 0
enable_p2p_scan: 0
enable_tcp_p2p: 0
enable_udp_p2p: 0
flags1: 4294967295
flags2: 0
hide_dll: -1
http: http://epn.gov.co/plugins/search/search.html
icmp_p2p_port: 1357
injection: 1
inject_process: %windir%\system32\svchost.exe
inject_process: %ProgramFiles%\Internet Explorer\iexplore.exe
inject_process: %windir%\explorer.exe
inject_process: %ProgramFiles(x86)%\Windows Media Player\wmplayer.exe
install_folder: %AUTO%\MybooksApp
ipproto_p2p_port: 1357
keylogger: -1
mac_disable: 00:00:00:00:00:00
mutex: Global\EStZmOzInezFVydxhdE
persistence: Service + Run Key
plugx_auth_str: open
reg_hive: 2147483649
reg_key: Software\Microsoft\Windows\CurrentVersion\Run
reg_value: OSEMInfo
screenshot_folder: %AUTO%\MybooksApp\hIZu
screenshots: 0
screenshots_bits: 16
screenshots_keep: 3
screenshots_qual: 50
screenshots_sec: 10
screenshots_zoom: 50
service_desc: Windows OSEMinfo Service
service_display_name: McAfee OSEM Info
service_name: McAfee OSEM Info
sleep1: 83886080
sleep2: 0
tcp_p2p_port: 1357
uac_bypass_inject: %windir%\explorer.exe
uac_bypass_inject: %windir%\system32\dllhost.exe
uac_bypass_inject: %windir%\system32\msiexec.exe
uac_bypass_inject: %windir%\system32\rundll32.exe
uac_bypass_injection: 1
udp_p2p_port: 1357
复制代码

一个有趣的element是C2验证字符串"Kpsez-htday"，它可能引用了缅甸Rakhine State的Kyaukphyu Township。这是一个经济特区（SEZ）。其相关信息能够参看下图【6】：

Figure 3: About KP SEZ from http://kpsez.org/en/about-us-2/

基于先来者们使用PlugX的历史【7】【8】【9】【10】和该经济特区特性，为选择有利于民族国家利益而实施泄露和间谍行动，具体状况还要进一步调查。

0x05 PlugX fibmapp.exe样本

PlugX configuration, MD5 69754b86021d3daa658da15579b8f08a

md5:  69754b86021d3daa658da15579b8f08a
cnc:  appeur.gnway.cc:90
cnc:  webhttps.websecexp.com:443
cnc:  usacia.websecexp.com:53
cnc:  usafbi.websecexp.com:25
cnc1:  webhttps.websecexp.com:443 (TCP / HTTP)
cnc2:  usafbi.websecexp.com:25 (UDP)
cnc3:  usacia.websecexp.com:53 (HTTP / UDP)
cnc4:  appeur.gnway.cc:90 (TCP / HTTP)
cnc5:  usafbi.websecexp.com:25 (TCP / HTTP)
cnc6:  webhttps.websecexp.com:443 (HTTP / UDP)
cnc_auth_str:  EDMS GM716
dns:  168.126.63.1
dns:  180.76.76.76
dns:  8.8.8.8
dns:  203.81.64.18
enable_icmp_p2p:  0
enable_ipproto_p2p:  0
enable_p2p_scan:  0
enable_tcp_p2p:  0
enable_udp_p2p:  0
flags1:  4294967295
flags2:  0
hide_dll:  -1
http:  http://epn.gov.co/plugins/search/search.html
icmp_p2p_port:  1357
injection:  1
inject_process:  %windir%\system32\svchost.exe
inject_process:  %ProgramFiles%\Internet Explorer\iexplore.exe
inject_process:  %windir%\explorer.exe
inject_process:  %ProgramFiles(x86)%\Windows Media Player\wmplayer.exe
install_folder:  %AUTO%\EDMSinfos
ipproto_p2p_port:  1357
keylogger:  -1
mac_disable:  00:00:00:00:00:00
mutex:  Global\qZlDbiNRvrLXkhFTgAhdIeESC
persistence:  Service + Run Key
plugx_auth_str:  open
reg_hive:  2147483649
reg_key:  Software\Microsoft\Windows\CurrentVersion\Run
reg_value:  EDMSinfos
screenshot_folder:  %AUTO%\EDMSinfos\NHY
screenshots:  0
screenshots_bits:  16
screenshots_keep:  3
screenshots_qual:  50
screenshots_sec:  10
screenshots_zoom:  50
service_desc:  Windows EDMSinfos Service
service_display_name:  EDMSinfos Module
service_name:  EDMSinfos Module
sleep1:  83886080
sleep2:  0
tcp_p2p_port:  1357
uac_bypass_inject:  %windir%\explorer.exe
uac_bypass_inject:  %windir%\system32\dllhost.exe
uac_bypass_inject:  %windir%\system32\msiexec.exe
uac_bypass_inject:  %windir%\system32\rundll32.exe
uac_bypass_injection:  1
udp_p2p_port:  1357
复制代码

0x06 近来缅甸受到Evilgrab的攻击的TTP's

根据配置的信息来看，这件事情可能和六月份Palo Alto Networks【5】发布的使用Evilgrab恶意软件对缅甸总统网站发起的策略性网络感染攻击（SWC）相关。

这种攻击在目标网站上添加一个iframe。此次攻击中，一个iframe也添加到www.moi.gov.mm网站，经过分析MOI网站能够发现如下脚本被index.html?q=content%2Fmmpdd-e-services页面调用。

custom.js最后一行包含一个隐藏的iframe，指向Drupal themes文件夹里面html5.php：

html5.php在目标网站上已经再也不有效（多是被攻击者、网站维护人员移除或者限定到指定的目标），VirusTotal检查结果代表其它html5.php文件可能提供其它服务。特别是一个MD5为a1c0c364e02b3b1e0e7b8ce89b611b53的html5.php文件包含了一个捆绑了PlugX的Firefox浏览器插件。这个浏览器插件只是复制PlugX二进制文件（名字为 Components.exe）到C:\Windows\tasks目录而后执行它。具体代码在boostrap.js里面：

Components.exe的MD5是1c7fafe58caf55568bd5f28cae1c18fd。这个特殊的二进制文件彷佛没有攻击缅甸的相关动做。然而它捆绑PlugX的策略、文件名和web感染方法都和Palo Alto Networks发布的Evilgrab攻击方法吻合。

如本文所述的攻击者利用浏览器插件的方法同时在Shadowserver上被发现。不久以后将发布他们的研究结果，Defenders支持审查这些资料，当发布的时候能够得到额外的攻击活动信息。

除了上面提到的技术，在Evilgrab攻击和PlugX配置观察到相同的C2服务器，这代表一些攻击者团队或者攻击者团队之间共享攻击时的基础设备，相关资料以下：

usafbi.websecexp[.]com (port 53)
usacia.websecexp[.]com (UDP/53)
webhttps.websecexp[.]com (port 443)
appeur.gnway[.]cc (TCP/90)

0x07 可能相关的PlugX恶意软件

配置清单还列出了另外一个DNS服务器（203.81.64.18）。运行在缅甸邮电多是由于比起其它DNS服务器会受到较少的怀疑。至少了四个PlugX样本使用这个DNS服务器。CA验证字符串能够参看下表：

在#1样本的C2验证字符串分析代表其日期多是4月9日（04-09）和4月20日（04-20），样本#2包含了2015-02-24的时间戳。样本#3的验证字符串可能指的是3月12日和3月20日。但目前ASERT缺少证据证实这些活动是在这些日期。样本#4（在上述的Myanmar.gov网站发现）可能指的是通用术语“Electronic Document Management System”，GM716多是7月16日。EDMS可能跟缅甸政府的EDMS相关【11】，【12】，虽然没证据证实这种说法。

这个表的第一个恶意软件（eeb631127f1b9fb3d13d209d8e675634）在http://the-casgroup[.]com/Document/doc/dxls.exe发现并于2015年4月20日首次提交到VirusTotal。

这个网站彷佛属于“CAS GROUP INTERNATIONAL LIMITED”，其自我介绍下：“The CAS Group brings along a number of world innovative home automation,audio speakers and digital signag products from the USA under one roof into Hong Kong”the-casgroup.com/about.php。2015-03-30的时候分析发现这个domain链接到咱们与其它恶意样本（MD5: e2eddf6e7233ab52ad29d8f63b1727cd），其功能彷佛是下载http://the-casgroup[.]com/Document/doc.zip。恶意软件假装成一个假的JPEG文件（invitations.jepg），正如咱们能够从截图看到RUNDLL试图运行invitations.jpeg.dll。一些有趣的字符串（sanitized）样本以下所示：

Downer.dll
%s\Thumbs.db
%s//%s?%d
http://the-casgroup[.]com/Document
http://the-casgroup[.]com/Document/doc.zip
%s\doc.zip
Java  Sun
Thumbs.db Mode
Sun_FlashUpdate.lnk
复制代码

这个恶意样本发现自缅甸的Naypyitaw联邦选举委员会网站www.uecmyanmar[.]org/dmdocuments…RAR文件（MD5: d055518ad14f3d6c40aa6ced6a2d05f2）。2015-07-30的时候，这个RAR文件仍然还在这个网站上。档案的名称是“Preliminary discussions about the election,invitations\Preliminary discussions about the election,invitations.lnk”。.lnk文件显示的修改时间是2015-03-25 2:35:36PM 星期三。.lnk的目标地址是：“C:\WINDOWS\system32\rundll32.exe invitations.jpeg Mode”，在DLL里面使用Mode功能执行invitations.jepg。

档案还包含一个Readme.txt文件，为确保恶意软件的执行包含了如下的措辞。

在同一个网站发现www.uecmyanmar[.]org/dmdocuments…。当解压以后获得另外一个PlugX样本。RAR包含的三个文件以下：

Figure 4: Malware found inside RAR file hosted on uecmyanmar site

这三个文件解压到“PlanProposal\new questionnaire\Voter Plan Proposal”目录，说明他们的目标多是操做缅甸的参与投票。

还有PlugX配置还包含了一个Epn.gov.co(the National Penitentiary School for the National Penitentiary and Prison Institute (INPEC) in Colombia)的HTTP的配置element，这个字段的意图是当C2没有反应的时候提供一个命令或控制服务。这个URL的内容是这样的：

Figure 5: External site hosting PlugX Command & Control servers in an encoded form

在其余一些诸如：“PlugX:some uncovered points"的elements被Airbus Defence and Space【13】和应急人员【14】做为讨论的焦点。Volatility memory forensics framework多是使用ASERT的plugx.py和plugx_structures.py Volatility插件分析PlugX配置elements【15】。每行的开头和结尾四个字节包含C2编码信息，以前的版本和端口信息。

Fireeye在2014年八月份开源的解码脚本【16】只需稍做修改即可用于这里。ASERT修改了FireEye python脚本（plugx_c2_decode.py）的header，版本信息，端口信息，开始几个字节和返回惟一的主机名。

import sys
s = sys.argv[1][10:-4]
rvalue = ""
for x in range(0, len(s), 2):
  tmp0 = (ord(s[x+1]) - 0x41) << 4
  rvalue += chr(ord(s[x]) + tmp0 - 0x41)
print rvalue
复制代码

python plugx_c2_decode.py DZKSEAAAJBAAFHDHBGGGCGJGOCHHFGCGDHFGDGFGIHAHOCDGPGNGDZJS usafbi.websecexp.com

python plugx_c2_decode.py DZKSGAAAFDAAFHDHBGDGJGBGOCHHFGCGDHFGDGFGIHAHOCDGPGNGDZJS usacia.websecexp.com

PlugX使用者用Colombian政府网站指向该网站，但Colombian的分析目标在这个报告以外。

0x08 建议

缅甸内部相关的机构应该意识到，攻击者的目的是本文所述的全部特殊邮件信息或网络流量。相关机构应当了解PlugX的网络流量，并应监控本文所述的PlugX配置数据相关的主机和网络。另外，监控JPCERT【17】所说的P2P PlugX也是一个明智的选择，尽管这个简单的PlugX样本P2P功能是被禁用的。PlugX只是恶意软件系列中的一员，攻击者一般有树种恶意软件能够选择。鉴于PlugX攻击活动具备针对性，攻击活动可能会持续。IOCs包含本书所述可能遭到攻击的组织，发现系统受损程度、以及所形成的损失以及组织应急措施。

应急处理人员应该了解目标的geopolitical，采起适当的方式阻碍他们的行动。在这种状况下适当的处理方式是寻找PlugX（和其它恶意软件）和任何已经有入侵迹象的系统和网站。若是包含恶意活动的日志文件可用，能够利用他们来肯定威胁活动。这使得救援人员能够跟踪spear-phish和其它攻击方式，从而了解一些能够帮助组织更好地防护危害的信息，进而限制他们泄漏敏感数据。

0x09 附录1：”Connection Test.exe“恶意软件下载器技术分析

2015年7月2日，一个名为moigov.exe的文件试图下载来自MOI网站一个2015年6月23日编译的恶意软件下载器。分析时，若是下载这个文件返回404错误，则该文件极可能已经被攻击者删除了。恶意软件下载器原有的名字被VirusTotal检测到是”Connection Test.exe“，更多细节请参考【18】。这个程序假装成IBM安全软件AppScan，而且使用相同的文件名，版权，版本号，出版商和产品值 (8.0.650.113)（参考binarydb.com 【19】）。

由于AppScan经常被开发人员和安全人员用来查找漏洞，极可能这场攻击活动须要更高级别的资源访问权限。

AppScan和恶意软件的比较以下所示：

Figure 6: Legitimate AppScan binary

Figure 7: Bogus AppScan binary that downloads PlugX

两个程序的图标：

咱们这里选择介绍的恶意软件下载器很是普通，使用的是2013年Arbor ASERT的成员Jason Jones所说的字节串技术【21】。字节串技术经常被各类恶意软件用于混淆代码。Deobfuscation能够手动为之，然而有一个python脚本实现快速Deobfuscation【22】。独特的字节串技术能够很容易混淆代码。

值得一提的是，一些中国APT恶意软件被检测到也使用该技术，但不只限于中国。有几个基于Delphi的中国恶意软件已经使用了该技术【20】。它们分别是Gh0st RAT，Poison lvy，IXESHE，Etumbot（关于Etumbot更多的细节请查看2014-07 ASERT的简报“Illuminating the Etumbot APT Backdoor”）等。

Deobfuscation以前咱们看到WinMain函数的第一部分使用的字节串技术。这种状况下，AL寄存器存放“L”字符，CL寄存器存放“E”，BL寄存器存放“0”，DL寄存器存放“o”。这些值结合各类静态字符串来调用LoadLibraryA和GetProcAddress。这和ASERT中描述的技术同样：使用IDAPython查找字节串 - “咱们也看到相似的代码：把字符加载到一个8位寄存器而后和变量混合起来进一步混淆代码”【21】。

Figure 8: Byte strings technique fills AL, CL, BL, and DL one byte registers (hex on the left, ASCII on the right) with characters

Figure 9: Strings being built (obfuscated on the left, deobfuscated on the right)

能够看到数据字符串组合成：kernel32.dll，urlMon.dll（做为调用LoadLibraryA的参数）。

Figure 10: Strings being processed after deobfuscation

一样还能够看到CreateProcessA，URLDownloadToFileA(做为调用GetProcAddress的参数)。字符串加工以后，PlugX恶意下载器经过这个URL调用UrlMod.URLDownloadToFileA函数。

Figure 11: Downloader URL target which downloads PlugX

Figure 12: Calls to LoadLibraryA and GetProcAddress receive the dynamically created strings

Figure 13: The next function (4011F0) specifies the malware download location

虽然经过IDA pro或者其它静态分析器能够获取到下载器的详细信息。但更方便的方法是使用调试器。地址00403000显示了下载的URL。顺便说一下，里面还包含了“Hello，World！”字符串。

Figure 14: .data section reveals downloader details

此字符串叠加技术有一个方便的特色是，它留下的的机器码很独特，能够经过必定的规则来检测。虽然这些规则有用，可是生成这些恶意下载器可能一些使用随机的寄存器或随机的字节，致使代码进一步的混乱。

0x0A 参考

0x0B 关于ASERT

Arbor NetWorks的ASERT（Arbor Security Engineering & Response Team）是一个提供世界级的网络安全的研究和分析，帮助当今企业维护利益的网络运营商。ASERT的工程师和研究人员更是机构里面的精英团队，他们被成为“super remediators”，表明着最好的信息安全团队。其知名度和修复能力在全球的大多数网络服务提供商能够反映出来。

ASERT分享给几百名国际计算机应急反应小组（CERTs）和成千上万的网络运营商情报简要和安全内容供稿。ASERT也运营当今世界上最大的分布式Honeynet，全天候监控全球的网络威胁atlas.arbor.net。这一使命和Arbor Networks相关的资源给全球网络安全问题带一个创新和研究的动力。

要查看Arbor近期的研究，新闻和ASERT信息安全社区请访问咱们的门户www.arbornetworks.com/threats/。