DNSChanger Malware đã trở lại! Hijacking Route đang nhắm đến các thiết bị kết nối

DNSChanger Malware đã trở lại! Hijacking Route đang nhắm đến các thiết bị kết nối

Tổng Quan

Nhà nghiên cứu Proofpoint đã thông báo thường xuyên trong năm nay về sự suy giảm hoạt động trong bộ khai thác(EKs – Exploit Kit). Tuy nhiên, EKs vẫn có những thành phần quan trọng của hoạt động quảng cáo độc hại thông qua người sử dụng chúng. Từ cuối tháng 10, chúng ta đã thấy một phiên bản cải tiến của “DNSChanger EK” [1] được sử dụng trong các chiến dịch quảng cáo độc hại đang diễn ra. DNSChanger tấn công router internet thông qua trình duyệt web nạn nhân tiềm năng ‘; các EK không dựa trên lỗ hổng trình duyệt hoặc thiết bị mà là lỗ hổng trong router của nhà hoặc văn phòng làm việc nạn nhân (SOHO – Home or Small Office). Thông thường, DNSChanger hoạt động thông qua các trình duyệt Chrome trên Windows máy tính để bàn và các thiết bị Android. Tuy nhiên, một khi router đang bị tổn hại, tất cả người dùng kết nối đến router, bất kể hệ điều hành của họ hoặc trình duyệt, rất dễ bị tấn công và hơn nửa là quảng cáo độc hại.

Các cuộc tấn công bộ định tuyến xuất hiện để xảy ra trong làng sóng mà rất có thể liên quan với các chiến dịch quảng cáo độc hại liên tục kéo dài vài ngày. Dựa theo mẫu tấn công mẫu và chuỗi bị lây nhiểm tương tự, chúng tôi đến kết luận rằng phía sau chiến dịch có liên quan đến đến “CSRF (Cross-Site Request Forgery) Soho Pharming” hoạt động trong nửa đầu của năm 2015 [1].

Tuy nhiên, chúng tôi phát hiện một số cải tiến trong việc thực hiện các cuộc tấn công, bao gồm:

  • Quá trình phân giải DNS bên ngoài cho các địa chỉ nội bộ
  • Steganography để che giấu
    • Một khoá AES để giải mã danh sách các Fingerprints /thông tin mặc định và quá trình phân giải của địa phương
    • Việc bố trí cho các lệnh gửi để tấn công các router mục tiêu router
  • Việc thêm hàng chục khai thác bộ định tuyến gần đây: Hiện nay có 166 fingerprints, một số làm việc cho một số model router, so với 55 fingerprints trong năm 2015. Ví dụ, một số như khai thác nhắm mục tiêu “Comtrend ADSL Router CT-5367/5624” là một vài tuần tuổi (ngày 13/9/2016) khi cuộc tấn công bắt đầu vào khoảng ngày 28/10.
  • Khi có thể (trong 36 trường hợp) bộ khai thác sửa đổi các quy tắc mạng để làm cho các cổng chính khả dụng từ các địa chỉ bên ngoài, để lộ các bộ định tuyến các cuộc tấn công khác như botnet Mirai [2]
  • Dây chuyền quảng cáo độc hại hiện nay cũng được tiếp nhận bởi các thiết bị Android.

Sơ lượt vụ tấn công

Các chuỗi tấn công vào mạng nạn nhân mặc dù các trang web hợp pháp lưu trữ quảng cáo độc hại vô tình phát tán thông qua các cơ quan quảng cáo hợp pháp được thể hiện trong hình 1.

Hình 1: Minh họa của chuỗi tấn công hoàn chỉnh
Hình 1: Minh họa của chuỗi tấn công hoàn chỉnh

Hình 2 cho thấy một ví dụ về lưu lượng bị bắt liên quan đến vụ tấn công này:

Hình 2: Lưu lượng liên kết với các cuộc tấn công DNSChanger EK trên SOHO (Small Office / Home Office) router
Hình 2: Lưu lượng liên kết với các cuộc tấn công DNSChanger EK trên SOHO (Small Office / Home Office) router

Phân tích cuộc tấn công:

Quảng cáo độc hại gặp phải trên cả hai máy tính để bàn và các thiết bị di động gửi traffic đến DNSChanger EK. Chúng tôi có thể khẳng định rằng các cuộc tấn công được thực hiện đúng trên Google Chrome cho Windows cũng như cho Android.

DNSChanger sẽ sử dụng WebRTC để yêu cầu một máy chủ STUN qua stun.services.mozilla [.] Com và xác định địa chỉ IP cục bộ của nạn nhân. Nếu chỉ IP công cộng của nạn nhân đã được biết hoặc IP địa phương của họ không nằm trong phạm vi mục tiêu, họ sẽ được dẫn đến một con đường mồi nhử nơi một quảng cáo hợp pháp từ một công ty quảng cáo của bên thứ ba được hiển thị.

Nếu client qua mặt việc kiểm tra này sau đó một quảng cáo giả sẽ được hiển thị cho các nạn nhân. JavaScript chiết xuất mã HTML từ lĩnh vực bình luận về các tập tin PNG, chuyển nạn nhân đến đích của DNSChanger EK.

Lưu ý rằng: Hình ảnh được liệt kê trong (1) trong hình 3 là giả mạo, không phải thực sự là một .jpg; đúng hơn nó là một tập tin PNG.

Hình 3:Quảng cáo giả mạo chứa mã mà chiết xuất cho phép chuyển hướng đến các DNSChanger EK (Tháng 11/2016)
Hình 3:Quảng cáo giả mạo chứa mã mà chiết xuất cho phép chuyển hướng đến các DNSChanger EK (Tháng 11/2016)

DNSChanger EK sẽ một lần nữa kiểm tra địa chỉ IP cục bộ của nạn nhân thông qua STUN request. Sau đó nó tải nhiều chức năng với một khoá AES được ẩu giấu bằng steganography trong một hình ảnh nhỏ.

Hình 4: Chức năng trích xuất các khoá AES và sử dụng nó để giải mã các fingerprints và các lệnh liên quan
Hình 4: Chức năng trích xuất các khoá AES và sử dụng nó để giải mã các fingerprints và các lệnh liên quan

Khóa này sẽ được sử dụng để giải mã các danh sách các fingerprints có thể được loại bỏ trùng lặp đến 129 item (xem phụ lục danh sách đầy đủ).

Hình 5: Các chức năng sử dụng để xác định các router có sẵn trong home/office của nạn nhân
Hình 5: Các chức năng sử dụng để xác định các router có sẵn trong home/office của nạn nhân

Trình duyệt của nạn nhân sau đó sẽ cố gắng xác định vị trí và xác định các bộ định tuyến được sử dụng trong mạng lưới (Hình. 5).

Một khi nó thực hiện các chức năng do thám, trình duyệt sẽ báo cáo lại cho DNSChanger EK mà trả về các hướng dẫn thích hợp để thực hiện một cuộc tấn công trên router.

Hình 6: bố trí tấn công một lần chiết xuất từ hình ảnh và AES-decoded
Hình 6: bố trí tấn công một lần chiết xuất từ hình ảnh và AES-decoded
Hình 7: Ví dụ lệnh tấn công
Hình 7: Ví dụ lệnh tấn công

Cuộc tấn công này được xác định bởi mô hình router cụ thể được phát hiện trong giai đoạn trinh sát. Nếu không có biết khai thác, các cuộc tấn công sẽ cố gắng sử dụng các thông tin mặc định; nếu không, nó sẽ sử dụng khai thác được biết để sửa đổi các mục DNS trong router và khi có thể (quan sát cho 36 fingerprints ra khỏi 129 khả dụng), nó sẽ cố gắng để làm cho các cảng chính khả dụng từ các địa chỉ bên ngoài. Bằng cách này, nó sẽ lộ ra các bộ định tuyến các cuộc tấn công khác như những người thực hiện bởi các [2] botnet Mirai.

Hình 8: Ví dụ về hướng dẫn lập bản đồ cổng lúc giải mã
Hình 8: Ví dụ về hướng dẫn lập bản đồ cổng lúc giải mã
Hình 9: DNSChanger EK cố gắng ánh xạ cổng 8780 telnet chính bên ngoài
Hình 9: DNSChanger EK cố gắng ánh xạ cổng 8780 telnet chính bên ngoài

Quá trình lây nhiểm

Trong khi mục tiêu của một cuộc tấn công như vậy – thay đổi bản ghi DNS trên router – không phải luôn luôn rõ ràng, trong trường hợp này chúng ta có thể xác định ít nhất một nhân tố liên quan. Chúng tôi nghiên cứu sự khác biệt trong kết quả phân giải DNS giữa công cộng, máy chủ đáng tin cậy DNS và một số máy chủ giả mạo được xác định trong các chiến dịch và phát hiện ra rằng những kẻ tấn công là chủ yếu quan tâm đến việc ăn cắp lưu lượng từ một số công ty quảng cáo web lớn bao gồm:

Agency Via Alexa Rank
Propellerads onclickads.net 32
Popcash popcash.net 170
Taboola cdn.taboola.com 278
OutBrain widgets.outbrain.com 146
AdSuppy cdn.engine.4dsply.com

cdn.engine.phn.doublepimp.com

362

245

Những kẻ tấn công buộc phân giải của miền tương ứng với 193.238.153 [.] 10 hoặc 46.166.160 [.] 187. Tùy thuộc vào các lĩnh vực, họ có thể sử dụng nó để thay đổi hành vi quảng cáo và trang web mục tiêu (ví dụ, bất kỳ nhấp chuột trên trang này có thể kích hoạt một cửa sổ bật lên) hoặc thực hiện Substitution quảng cáo.

Hình 10: các hàm gọi Quảng cáo sửa đổi bởi những kẻ tấn công
Hình 10: các hàm gọi Quảng cáo sửa đổi bởi những kẻ tấn công

Tại thời điểm kiểm tra của chúng tôi, họ đã chuyển hướng lưu lượng đến Fogzy (a.rfgsi [.] Com) và TrafficBroker. Chúng tôi đã liên lạc với cả hai cơ quan để có thêm thông tin và cho họ biết về lưu lượng bị đánh cắp trên mạng của họ.

Routers bị ảnh hưởng và biện pháp giảm thiểu

Nó không phải là có thể cung cấp một danh sách cùng của tuyến bị ảnh hưởng cũng như không còn là một mối quan hệ nạn nhân phụ, rõ ràng giữa các dữ liệu fingerprint và các thiết bị định tuyến, liên kết này đã bị xóa khỏi DNSChanger EK vào giữa năm 2015 và một cuộc điều tra sâu hơn là nằm ngoài phạm vi của phân tích này. Tuy nhiên, cách tiếp cận an toàn nhất cho người sử dụng cuối cùng là phải xem xét tất cả các khai thác được biết được tích hợp trong này loại khai thác kit, và do đó tất cả các router nên được cập nhật firmware mới nhất được biết đến.

Chúng tôi đã có thể xác định một số router dễ bị tổn thương mới được thêm vào:

  • D-Link DSL-2740R
  • COMTREND ADSL Router  CT-5367 C01_R12
  • NetGear WNDR3400v3 (and likely other models in this series)
  • Pirelli ADSL2/2+ Wireless Router P.DGA4001N
  • Netgear R6200

Một zero-day khai thác cho Netgear R7000, R6400 [4] và nhữngthứ khác [6] gần đây đã được ghi nhận bởi các nhà nghiên cứu khác. Chúng tôi đã kiểm tra fingerprint kết hợp với các model này trong DNSChanger nhưng không tìm thấy bất kỳ cũng như của 12/12/2016. Tuy nhiên chúng tôi khuyên người dùng theo dõi các hướng dẫn từ US-CERT [5] để vô hiệu hóa các máy chủ web trên các router Netgear bị ảnh hưởng [7] cũng như chúng ta có thể mong đợi điều này khai thác được thêm vào khá sớm trong EK này. Netgear cũng đã có phiên bản beta của phần mềm khả dụng để người dùng có thể giải quyết những lỗ hổng [9].

Trong nhiều trường hợp, chỉ cần vô hiệu hóa quản trị từ xa trên router SOHO có thể cải thiện an ninh của họ. Trong trường hợp này, kẻ tấn công sử dụng một kết nối có dây hoặc không dây từ một thiết bị trên mạng. Kết quả là, kẻ tấn công không cần quản trị từ xa sẽ được bật để thay đổi thành công các thiết lập router.

Thật không may, không có cách nào đơn giản để bảo vệ chống lại các cuộc tấn công. Áp dụng các bản cập nhật mới nhất của router vẫn là cách tốt nhất để tránh khai thác. Thay đổi dãy IP cục bộ mặc định, trong trường hợp cụ thể này cũng có thể cung cấp một số bảo vệ. Không ai trong số các giải pháp này, mặc dù là một hành động điển hình được thực hiện bởi người sử dụng trung bình của router SOHO. Kết quả là nó cũng là phận sự của các nhà sản xuất router để xây dựng cơ chế cập nhật sử dụng đơn giản đến phần cứng của họ.

Hơn nữa, trong khi chúng tôi hiểu rằng quảng cáo là một thành phần quan trọng cho các trang web phục vụ cho mục đích kiếm tiền, trong một số trường hợp, trình duyệt quảng cáo chặn add-ons có thể ngăn chặn những cuộc tấn công khi họ có nguồn gốc thông qua quảng cáo độc hại.

Phần kết luận:

Khi kẻ tấn công kiểm soát các máy chủ DNS trên mạng từ đó dẫn đến khả năng thực hiện một loạt các hành động độc hại trên các thiết bị kết nối vào mạng. Đây có thể bao gồm các kiểu tấn công gian lận ngân hàng, man-in-the-middle, lừa đảo [8], gian lận quảng cáo và nhiều hơn nữa. Trong trường hợp này, bộ dụng cụ khai thác DNSChanger cho phép kẻ tấn công để tận dụng, thường là máy chủ DNS chủ yếu là mạng SOHO – router Internet của chính nó. Nói chung, tránh các cuộc tấn công đòi hỏi nhà sản xuất router thường xuyên vá firmware và người sử dụng phải thường xuyên áp dụng các bản vá lỗi. Lỗ hổng Router ảnh hưởng đến không chỉ người dùng trên mạng nhưng có khả năng những người khác bên ngoài mạng nếu các router được xâm nhập và sử dụng trong một botnet. Trong khi người sử dụng phải chịu trách nhiệm về bản cập nhật firmware, các nhà sản xuất thiết bị cũng phải đảm bảo đơn giản và nướng trong ngay từ đầu, đặc biệt là trên các thiết bị được thiết kế cho thị trường SOHO.

Tham khảo

[1] http://malware.dontneedcoffee.com/2015/05/an-exploit-kit-dedicated-to-csrf.html

[2] https://www.malwaretech.com/2016/10/mapping-mirai-a-botnet-case-study.html

[3] https://www.kb.cert.org/vuls/id/582384

[4] http://thehackernews.com/2016/12/netgear-router-hacking.html

[5] https://www.kb.cert.org/vuls/id/582384

[6] https://kalypto.org/research/netgear-vulnerability-expanded/

[7] http://www.sj-vs.net/a-temporary-fix-for-cert-vu582384-cwe-77-on-netgear-r7000-and-r6400-routers/

[8] https://www.proofpoint.com/us/threat-insight/post/Phish-Pharm

[9] http://kb.netgear.com/000036386/CVE-2016-582384

Các chỉ số của sự thỏa hiệp

Domain | IP Comment
modificationserver.com | 93.115.28.248 Malvertising Step 2 in front of the EK – 2016-12
expensiveserver.com | 46.28.67.21 Malvertising Step 1 in front of the EK – 2016-12
immediatelyserver.com Malvertising in front of the EK – 2016-11
respectsserver.com | 217.12.220.127 Malvertising Step1  in front of the EK – 2016-10
ad.reverencegserver.com Malvertising Step2  in front of the EK – 2016-10
parametersserver.com|93.115.28.249 DNSChanger EK/ RouterEK – 2016-12
phosphateserver.com DNSChanger EK/ RouterEK – 2016-11
cigaretteinserver.com DNSChanger EK/ RouterEK – 2016-10
From 46.17.102.10 up to 24 Rogue DNS Servers
From 5.39.220.117 up to 126 Rogue DNS Servers
From 217.12.218.114 up to 121 Rogue DNS Servers
From 93.115.31.194 up to 244 Rogue DNS Servers
193.238.153.10 and 46.166.160.187 Substituted IP for targeted traffic (impersonating server)

Traffic to that host is most probably a symptom of DNS entries modified on the router.

pix1.payswithservers.com External domain for 192.168.1.1
pix2.payswithservers.com External domain for 192.168.8.1
pix3.payswithservers.com External domain for 192.168.178.1
pix4.payswithservers.com External domain for 192.168.0.1
pix5.payswithservers.com External domain for 192.168.10.1
pix6.payswithservers.com External domain for 192.168.137.1
pix7.payswithservers.com External domain for 10.10.10.1
pix8.payswithservers.com External domain for 192.168.100.1
pix9.payswithservers.com External domain for 10.1.1.1
pix10.payswithservers.com External domain for 10.0.0.1
pix11.payswithservers.com External domain for 192.168.2.1
pix12.payswithservers.com External domain for 192.168.254.1
pix13.payswithservers.com External domain for 192.168.11.1
pix14.payswithservers.com External domain for 192.168.3.1
sub[i].domain254.com for   0 < i < 18 Not resolving
sub16.domain.com Resolving to 66.96.162.92
sub17.domain.com Resolving to 66.96.162.92

Lựa chọn chữ ký ET

2023473 || ET CURRENT_EVENTS DNSChanger EK Secondary Landing Oct 31 2016

2021090 || ET CURRENT_EVENTS DNSChanger EK Landing May 12 2015

2023466 || ET EXPLOIT D-Link DSL-2740R Remote DNS Change Attempt

2020487 || ET EXPLOIT Generic ADSL Router DNS Change GET Request

2020488 || ET EXPLOIT Generic ADSL Router DNS Change POST Request

2020854 || ET CURRENT_EVENTS DRIVEBY Router DNS Changer Apr 07 2015

2020856 || ET EXPLOIT TP-LINK TL-WR340G Router DNS Change GET Request

2020857 || ET EXPLOIT Belkin Wireless G Router DNS Change POST Request

2020858 || ET EXPLOIT Linksys WRT54GL Router DNS Change POST Request

2020859 || ET EXPLOIT Netgear WNDR Router DNS Change POST Request

2020861 || ET EXPLOIT Motorola SBG900 Router DNS Change GET Request

2020862 || ET EXPLOIT ASUS RT N56U Router DNS Change GET Request 1

2020863 || ET EXPLOIT ASUS RT N56U Router DNS Change GET Request 2

2020871 || ET EXPLOIT ASUS RT N56U Router DNS Change GET Request 3

2020873 || ET EXPLOIT D-link DI604 Known Malicious Router DNS Change GET Request

2020874 || ET EXPLOIT Netgear DGN1000B Router DNS Change GET Request

2020875 || ET EXPLOIT Belkin G F5D7230-4 Router DNS Change GET Request

2020876 || ET EXPLOIT Tenda ADSL2/2+ Router DNS Change GET Request

2020877 || ET EXPLOIT Known Malicious Router DNS Change GET Request

2020878 || ET EXPLOIT TP-LINK TL-WR841N Router DNS Change GET Request

2020896 || ET CURRENT_EVENTS DRIVEBY Router DNS Changer Apr 07 2015 M2

2023467 || ET EXPLOIT COMTREND ADSL Router CT-5367 Remote DNS Change Attempt

2023468 || ET EXPLOIT Unknown Router Remote DNS Change Attempt

2023628 || ET EXPLOIT Netgear R7000 Command Injection Exploit

2823788 || ETPRO TROJAN DNSChanger Rogue DNS Server (A Lookup)

2823811 || ETPRO CURRENT_EVENTS DNSChanger EK DNS Reply Adfraud Server 1 Dec 12 2016

2823812 || ETPRO CURRENT_EVENTS DNSChanger EK DNS Reply Adfraud Server 2 Dec 12 2016

Danh sách Fingerprint

[-37,”/img/Netgeargenie.png”,290,41,”0″,0]

[-36,”/UILinksys.gif”,165,57,”0″,0]

[-32,”/redbull.gif”,7,7,”1″,0]

[-31,”/settings.gif”,654,111,”0″,0]

[-30,”/images/img_masthead.jpg”,836,92,”0″,0]

[-29,”/images/logo.png”,183,46,”0″,0]

[-28,”/images/top1_1.jpg”,280,87,”1″,0]

[-27,”/headlogoa.gif”,370,78,”0″,0]

[-26,”/image/logo_gn.gif”,101,51,”0″,0]

[-25,”/bg_logo.jpg”,858,82,”0″,0]

[-24,”/image/tops.gif”,450,92,”0″,0]

[-23,”/graphics/banner.png”,1024,70,”1″,0]

[-22,”/img/loading.gif”,32,32,”0″,0]

[-21,”/logo_corp.gif”,95,50,”1″,0]

[-20,”/img/banner.gif”,778,60,”0″,0]

[-19,”/down_02.jpg”,133,75,”0″,0]

[-18,”/redbull.gif”,7,7,”0″,0]

[-17,”/pic/head_01.gif”,162,92,”0″,0]

[-16,”/image/linksys_logo.png”,230,30,”0″,0]

[-15,”/file/Comtrend_banner.jpg”,897,70,”1″,0]

[-13,”/logo.gif”,371,38,”1″,0]

[-12,”/image/top/NETGEAR_Genie.png”,512,60,”1″,0]

[-11,”/img/Netgeargenie.png”,290,41,””,0]

[-10,”/tmp.gif”,700,54,”1″,0]

[-9,”/wlan_masthead.gif”,836,92,”0″,0]

[-8,”/images/logo.png”,146,38,”0″,0]

[-6,”/image/top/logo.gif”,300,38,”0″,0]

[-4,”/button_log_in.gif”,70,21,”0″,0]

[-3,”/image/UI_Linksys.gif”,166,58,”1″,0]

[-2,”/smclg.gif”,133,59,”0″,0]

[-1,”/themes/TM04/Drift-logo.png”,300,89,”0″,0]

[0,”/graphics/topbar.jpg”,900,69,”1″,1]

[1,”/graphics/young.png”,128,96,”1″,0]

[2,”/images/bg_stripes.png”,50,50,”1″,0]

[3,”/image/logo.png”,271,43,”0″,0]

[5,”/images/logo.gif”,133,59,”0″,0]

[8,”/img/tenda-logo-big.png”,199,45,”0″,0]

[9,”/images/main_welcome.gif”,850,179,”1″,1]

[11,”/image/UI_Linksys.gif”,288,58,”0″,0]

[12,”/Images/img_masthead_red.gif”,856,92,”0″,0]

[13,”/settings.gif”,750,85,”0″,0]

[14,”/images/top-02.gif”,359,78,”1″,0]

[15,”/UI_Linksys.gif”,165,57,”1″,0]

[16,”/set_bt.gif”,93,52,”0″,1]

[18,”/images/top1_1.jpg”,208,85,”1″,0]

[19,”/graphics/head_logo.gif”,121,64,”0″,0]

[20,”/images/top1_1.jpg”,280,87,”0″,0]

[21,”/router_logo.jpg”,79,50,”1″,0]

[22,”/graphics/gui_admin_login.jpg”,283,120,”0″,0]

[23,”/ag_logo.jpg”,164,91,”1″,0]

[24,”/images/head_logo.gif”,312,68,”0″,0]

[25,”/menu-images/logo.gif”,169,50,”1″,0]

[28,”/image/UI_Linksys.gif”,288,58,”1″,0]

[29,”/Images/Logo.gif”,143,33,”0″,0]

[30,”/images/logo.gif”,169,50,”0″,0]

[31,”/pic/logo.png”,287,69,”0″,0]

[32,”/spin.gif”,16,16,”1″,0]

[33,”/icons/top_left.png”,300,96,”1″,0]

[34,”/headlogo.gif”,121,64,”0″,0]

[35,”/pictures/home.jpg”,255,41,”1″,0]

[37,”/images/new_qanner.gif”,840,92,”0″,0]

[38,”/zyxellg.gif”,169,50,”0″,0]

[39,”/imagesV/vlogo_blk.jpg”,185,40,”0″,0]

[40,”/images/New_ui/asustitle.png”,218,54,”0″,0]

[41,”/images/New_ui/asustitle_changed.png”,218,54,”0″,0]

[45,”/images/date_bg.png”,71,70,”0″,0]

[47,”/graphic/head_04.gif”,836,92,”0″,0]

[49,”/image/logo.gif”,390,69,”0″,0]

[50,”/images/data_1_voda.gif”,149,28,”0″,0]

[51,”/images/logo_wind.gif”,156,28,”0″,0]

[53,”/pic/ag_logo.jpg”,164,91,”0″,0]

[54,”/banner_s.gif”,126,65,”1″,0]

[55,”/logo.gif”,270,69,”0″,0]

[56,”/logo_320x23.png”,320,23,”0″,0]

[58,”/image/UI_Linksys.gif”,165,57,”1″,0]

[59,”/file/int_logo_4_firmware.gif”,366,66,”1″,0]

[61,”/images/header.jpg”,800,70,”0″,0]

[62,”/images/btn_apply.png”,61,20,”0″,0]

[63,”/tendalogo.gif”,387,90,”0″,0]

[64,”/file/Logo.gif”,216,83,”1″,0]

[65,”/body/logo.jpg”,154,118,”0″,0]

[68,”/head_logo_p1_encore.jpg”,92,72,”0″,0]

[69,”/images/UI_Linksys.gif”,288,57,”0″,0]

[70,”/images/title_2.gif”,321,28,”1″,0]

[71,”/home_01.gif”,765,95,”0″,0]

[74,”/wlan_masthead.gif”,836,85,”0″,0]

[75,”/settingsDGND3300.jpg”,799,97,”0″,0]

[76,”/main/banner_files/bannertxt.gif”,672,40,”0″,0]

[77,”/html/images/dsl604.jpg”,765,95,”1″,0]

[79,”/head_logo.gif”,140,64,”0″,0]

[80,”/images/logo.jpg”,270,69,”0″,0]

[81,”/images/logo_netis.png”,121,31,”0″,0]

[82,”/images/icon-Change_pencil.png”,18,18,”0″,0]

[83,”/logo1.gif”,207,105,”0″,0]

[85,”/images/icon_now.gif”,14,14,”0″,0]

[87,”/down_02.jpg”,135,75,”0″,0]

[88,”/Images/logo.gif”,270,69,”1″,0]

[89,”/UILinksys.gif”,166,58,”1″,0]

[91,”/image/UI_Linksys.gif”,134,58,”1″,0]

[92,”/logo.gif”,390,69,”0″,0]

[93,”/images/icon_now.gif”,14,14,”1″,0]

[95,”/Images/img_masthead_red.gif”,836,92,”0″,0]

[97,”/images/topbg.gif”,960,66,”0″,0]

[99,”/down_02.jpg”,133,75,”1″,0]

[102,”/images2/main_title.n704bcm.gif”,758,74,”0″,0]

[104,”/common/images/logo.gif”,108,32,”0″,0]

[105,”/Images/logo.gif”,780,62,”0″,0]

[106,”/images2/login_title.n704bcm.gif”,299,62,”0″,0]

[107,”/images2/login_title.n704a3.gif”,299,62,”0″,0]

[108,”/file/logo.gif”,165,47,”1″,0]

[110,”/images/login_title_n104t.gif”,299,62,”0″,0]

[111,”/img/redbull.gif “,7,7,”1″,0]

[112,”/images/head_logo.gif”,140,78,”0″,0]

[114,”/img/title_RP614v4.gif”,750,85,”0″,0]

[115,”/UI_Linksys.gif “,273,44,”1″,0]

[116,”/logo.gif”,318,69,”0″,1]

[117,”/pic/img_masthead.gif”,836,92,”0″,0]

[118,”/images/logo.gif”,76,69,”0″,0]

[119,”/images/logo_transparent.gif”,156,129,”0″,0]

[121,”/Images/bg_a1.gif”,280,70,”0″,0]

[122,”/images/index_wrapper_bg_3347.png”,801,325,”0″,0]

[123,”/images/vz_logo.gif”,185,40,”0″,0]

[124,”/file/Manhattan_Banner.png “,452,90,”1″,0]

[125,”/Images/Logo.gif”,150,47,”0″,0]

[126,”/Images/Logo.gif”,200,50,”0″,0]

[127,”/images/corp_logo.gif”,153,42,”0″,0]

[128,”/images/logo.png”,171,75,”0″,0]

[129,”/cornerartD241.jpg”,140,90,”0″,0]

proofpoint