자바스크립트에 해당하는글 5

Retefe 트로이목마는 금융고객의 계정 등 개인정보를 탈취하는 악성코드며 주로 악성 자바스크립트가 문서파일을 첨부물로 하는 피싱 이메일을 통해 배포된다. Retefe는 스웨덴, 스위스, 일본 등지에서 발견된 바 있으며 최근에는 영국의 Smile 은행을 목표로 공격을 실행했다.


이번 사례를 보면 감염경로, 악성인증서 설치과정 등 기본적인 부분은 크게 바뀌지 않았다. 악성 자바스크립트가 실행되면 우선 웹브라우저 프로세스 종료를 시도한다. 그리고 허위 인증서를 설치한 다음 프록시 자동설정 URL을 변경한다. 스크립트는 Dean Edwards 패커를 통해 난독화돼 있다.


다만 Smile 사례에서 새로운 점이 있다면 악성 구성요소가 하나 추가됐다는 사실이다. 원래 자바스크립트에 포함됐던 파웨쉘 스크립트는 2종으로 허위인증서 설치과정에서 나타나는 확인창에서 "OK"를 클릭하는 ConfirmCert 그리고 허위인증서를 파이어폭스 브라우저에 추가하는 AddCertFF가 있다. 이번에 새로 추가된 InstallTP 스크립트는 Task Scheduler Wrapper, 토르(Tor) 클라이언트, Proxifier를 다운받아 설치한다.


우선 Task Scheduler Managed Wrapper는 Codeplex를 통해 다운로드되며 "New-Object Microsoft.Win32.TaskScheduler.TaskService"라는 오브젝트를 사용할 수 있도록 하는데 이는 맬웨어의 작동을 지속시키는 역할을 한다. 작업관리자에  "AdobeFlashPlayerUpdate" 및  "GoogleUpdate Task" 작업이 추가되어 30분마다 실행되며 토르와 Proxifier도 실행한다. 사용자가 이를 중지시킨다 해도 30분 내에 다시 시작된다.


토르 클라이언트는 악성코드가 .onion 도메인에 직접 연결할 수 있도록 하며 이를 통해 AutoConfigURL에 포함된 .onion 도메인에 직접 연결이 가능하다. 토르 클라이언트는 콘솔 어플리케이션으로 본래 정상적으로 실행되면 사용자가 창을 볼 수 있다. 하지만 Retefe에 감염된 기기에서는 창이 숨겨지는데 이는 nCmdShow 값이 SW_HIDE로 설정된 상태에서 ShowWindow가 요청되기 때문이다.



Proxifier는 프록시서버 경유를 지원하지 않는 네트워크 어플리케이션이 SOCKS 또는 HTTPS 프록시 및 체인을 통해 작동할 수 있도록 한다. Proxifier는 9050번 포트를 통해 로컬호스트에서 구동하는 토르 프록시로 모든 트래픽을 경유시킨다. Proxifer는 프록시를 경유하여 접속될 대상과 직접 접속될 대상을 지정할 수 있다.아래 그림을 보면 api.ipify.org를 방문할 경우 직접접속에 해당되어 IP주소가 변경되지 않음을 볼 수 있는데 설정파일을 보면 공격자 측에서 Proxifier를 해킹하여 변조한 버전을 쓰고 있음을 알 수 있다.






프록시 설정의 경우 영국 IP주소를 가진 시스템에 대해서만 적용되며 이는 이전 Retefe 버전과 비슷하다. 만약 감염된 기기에서 예전에 접속했던 은행이나 새로 추가된 은행에 접속할 경우 해당 트래픽은 악성 프록시로 이전된다. 아래 그림에서 볼 수 있듯 해당 프록시는 토르 네트워크에 숨겨져 있다.



사용자가 표적 웹사이트를 방문하면 해당 사이트에 대한 인증서는 허위 인증서로 교체되며 공격자는 이를 통해 감염을 숨기고 사용자의 로그인 정보를 훔칠 수 있다. 아래 그림을 보면 본 사례에서 Retefe가 추가한 가짜 Smile 은행 웹사이트를 볼 수 있다. 이렇게 허위의 HTTPS 인증서를 통해 사용자를 안심시킨다는 점이 Retefe 트로이목마의 가장 큰 위험이라고 할 수 있다.







Retefe 트로이목마 SHA 해시값은 다음과 같다.

03E6A87CC90BD5A8B2EB2E4B6C3D8201B8DC7E7A89FF8A6AA05E9539146FD1AF

347701FAF633D1EDAAA630BA1D3652F13D6097C3855B91C14551390F4C56096F

3944686BEDEA78C498BFCF0431DE509EE118C0CC95DA07402B12E4C954F1A125

6308623E0CF994FC14F8F483A840E0E28428D510CDFC4F07992E40B3F2C77FF4

6B1869D8C1BB898BAC91220823AE80D770D9591DA60EE919FCA0A588D994DFA6

821EBC34F86BFF680E4AACEA40FDACECB3B45B3BE9D231EF9AC261FA2FDC7549

C6E0FC6B084443A0B5D18778F93EE9EBFB7758435BAEEF284F2835552DD641EB

CE549E89D46BD5657809A129C9C02BAEE934F91888A18928F387942F156429EC

CE55C12B504DFF52867F59FAD40C3EED4A4D0CA10A33B3FF3E3BE1039F86B67E

D1C0661E19AB3EDEA209EEFEAC38904FC0D5264F065EB9E769598A55DB938908




Jaromír Hořejší, The evolution of the Retefe banking Trojan, 7. 18. 2016.

https://blog.avast.com/the-evolution-of-the-retefe-banking-trojan


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.25 14:11



최근 발견된 랜섬웨어는 Troj/Ransom-DJC 일반적인 여타 랜섬웨어와는 확연히 다른 차이점이 있다. 위 그림과 같이 랜섬웨어에 의해 금전지불 웹페이지가 열렸을 때 돈을 내지 않고 제출(submit)을 클릭하면  웹페이지 왼쪽 하단의 메시지가 다음과 같이 변한다.




이 때 랜섬웨어가 작동한 이후 시스템에 보관된 중요 문서파일이 실제로 사라졌음을 볼 수 있다. 이는 파일을 암호화시키는 데서 그치지 않고 하나씩 삭제하기까지 하여 피해자에게서 기어이 돈을 받아내려는 수법이라고 볼 수 있다. 이 랜섬웨어가 요구하는 금액이 약 달러에 0.2BTC, 130 달러에 불과하여 랜섬웨어 금전요구의 일반적인 시세인 300~500달러에 훨씬 못 미친다는 점도 흥미롭다.




이제 이 신종 랜섬웨어를 극도로 태만하다는 의미를 가진 "boneidleware"이라고 부른다 .이 랜섬웨어는 파일을 암호화하지 않고 삭제시켜 버린다. 그렇기 때문에 돈을 지급하는 건 아무런 의미가 없다. 2012년 하반기 CryptoLocker 랜섬웨어가 등장한 이래 랜섬웨어는 적어도 돈을 지불하면 파일을 복구해준다는 일종의 불문율이 있었지만 boneidleware 이러한 틀마저 무시해 버린다. 이하에는 boneidleware에 국한되지 않는 랜섬웨어 전번에 대한 방지요령을 요약 소개한다.


• 자바스크립트 첨부물(확장자: .js)은 메모장(Notepad)으로 연다.

• 파일확장자 기만을 피하기 위해 파일확장자가 보이도록 설정한다.

• VBA 맬웨어를 방지하기 위해 인터넷에서 받은 문서파일에 대한 오피스 매크로 기능을 해제한다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>




Paul Ducklin, Ransomware that demands money and gives you back nothing!, 7. 13. 2016.

https://nakedsecurity.sophos.com/2016/07/13/ransomware-that-demands-money-and-gives-you-back-nothing/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.18 15:16

Zepto는 최신 랜섬웨어 변종으로 유명한 로키(Locky) 랜섬웨어와 상당히 유사하며 특히 Zepto 랜섬웨어에 대한 합의금 지불 페이지로 들어가면 아래와 같은 메시지를 볼 수 있다. Zepto와 로키의 차이는 암호화시킨 파일의 확장자가 .locky가 아닌 .zepto가 된다는 데 있다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>


 


Zepto 감염과정

 

Zepto는 이메일에 zip 압축파일 또는 docm 문서파일로 첨부돼 피해자 컴퓨터에 도달한다.


 


zip 압축파일을 열면 .js(자바스크립트) 확장자를 가진 파일을 열게 된다. 문서처럼 보이는 파일의 형식이 자바스크립트라는 점이 다소 이상할 수 있지만 윈도 운영체제는 기본적으로 .js 확장자를 숨기고 해당 파일을 텍스트파일처럼 보이게 한다. 이 파일을 열먼 스크립트 프로그램이 실행되어 .exe 형식 랜섬웨어가 다운되고 실행된다. 한편 docm 파일을 열면 마이크로소프트 워드가 기본 실행된다.


 

한편 docm은 매크로문서(document with macros)의 약자를 딴 파일형식으로 VBA(Visual Basic for Applications, 어플리케이션 비주얼베이직)로 작성된 내부 스크립트를 포함하고 있다. VBA는 자바스크립트와 많은 부분에서 유사한 프로그래밍 언어며 맬웨어 배호 등 다양한 목적으로 활용될 수 있다. 오늘날 마이크로소프트 워드에서는 매크로가 기본적으로 실행되지 않지만 Zepto 랜섬웨어의 경우 옵션을 통한 보안설정 변경을 유도하기 위해 아래와 같이 매크로를 허용하여 보안을 향상해야 한다는 식의 메시지를 띄운다. 이 때 매크로를 허용하게 되면 자바스크립트 파일을 여는 경우와 마찬가지로 VBA 스크립트 실행을 통해 .exe 랜섬웨어가 다운로드된다최근 사례에서는 아래와 같이 빈 문서에 VBA 매크로가 숨겨진 경우도 발견됐다.


 

Zepto는 로키와 비슷하게 우선 공격자가 운영하는 웹서버와 통신하여 암호화키를 다운받는다. 암호화된 데이터파일은 조작되고 이름 또한 변경돼 다음과 같이 보이게 된다.

 

FA3D5195-3FE9-1DBC-E35E-89380D21F515.zepto

FA3D5195-3FE9-1DBC-7E8D-D6F39B86044A.zepto

FA3D5195-3FE9-1DBC-1683-7BF4FD77911D.zepto

FA3D5195-3FE9-1DBC-30B9-E2FF891CDB11.zepto

 

각 파일 이름의 전단 부분은 모든 파일에 대해 동일하며 피해자가 돈을 지불할 때 공격자 측에서 그 피해자를 식별하는 역할을 판다.

 

파일 암호화가 완료되면 Zepto는 지불방법(how to pay) 메시지를 띄워 돈을 지불하면 파일을 복구할 수 있음을 알린다. 이 메시지는 데스크탑 배경화면, 윈도 포토뷰어(Photo Viewer)로 열리는 이미지, 파일이 암호화된 디렉토리에 생성되는 HTML 페이지의 형태로 나타난다. 지불방법 메시지에 나오는 개인식별 ID는 암호화된 파일 이름 전단과 동일하다.


 


감염 대처요령

자바스크립트 첨부물을 파일탐색기(Explorer).js 파일을 메모장으로 열도록 한다.

조작된 파일확장자를 식별하려면 파일탐색기를 통해 파일확장자가 보이도록 한다.

VBA 랜섬웨어 방지하려면 오피스가 인터넷에서 다운받은 문서에서 매크로를 실행하지 않도록 설정

랜섬웨어 방지 참고자료(PDF 문서):

https://www.sophos.com/en-us/medialibrary/Gated%20Assets/white%20papers/sophosransomwareprotectionwpna.pdf?la=en

랜섬웨어 방지 참고자료(팟캐스트):

https://nakedsecurity.sophos.com/2014/11/25/sophos-techknow-dealing-with-ransomware/


 

 

Paul Ducklin, Is Zepto ransomware the new Locky?, 7. 5. 2016.

https://nakedsecurity.sophos.com/2016/07/05/is-zepto-ransomware-the-new-locky/

 

번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.08 13:20




이메일은 바이러스 등 악성코드가 퍼질 수 있는 주요 통로지만 오늘날 이메일은 연다고 해서 컴퓨터가 곧바로 감염되는 일은 없다. 이메일 첨부물의 위험성은 논외로 하고 이메일 본문을 보기만 하는 건 문제가 없다. 이메일 열람 자체가 위험하다는 오해는 과거 마이크로소프트 아웃룩(Outlook)이 가지고 있던 보안문제에서 비롯된 것이다.

 

이메일 열람의 위험성과 안전성

이메일 본문은 기본적으로 단순 텍스트 또는 웹페이지에 사용되는 HTML 문서로 구성된다. 브라우저를 통한 텍스트나 웹페이지 열람이 안전하듯 이메일 열람 역시 그 자체로는 위험하지 않으며 이는 Gmail, 아웃룩 등 각종 웹기반 또는 데스크탑 이메일 클라이언트의 종류에 관계없이 동일하다.

 

물론 악성이메일은 본문 자체가 아닌 링크나 첨부물을 통해 공격을 시도하며 따라서 첨부물을 열 때는 주의를 기울여야 한다. 특히 발신자를 신뢰할 수 있다 해도 해당 발신자의 계정이 침탈됐거나 조작됐을 가능성도 배제할 수 있기 때문에 .exe 실행파일과 같은 첨부물은 언제나 위험성이 따른다. 링크를 클릭하는 즉시 자동으로 다운로드되는 프로그램 또한 위험하다.


 

마이크로소프트 아웃룩은 마이크로소프트 이메일 클라이언트로서 한때 심각한 보안문제를 안고 있었다. 이메일은 단순 텍스트에서 발전하여 웹페이지를 표시하는 HTML 코드를 포함할 수 있게 됐는데 아룻룩 취약점으로 인해 이메일이 자바스크립트 코드를 실행하고 사용자 컴퓨터를 감염시킬 수 있는 여지가 발생했다. 이메일 열람 자체가 위험해진 건 바로 이 때문이었다. 하지만 이 취약점은 현재 고쳐졌으며 이제 이메일은 자바스크립트를 실행할 수 없고 이미지도 표시하지 못한다. 그러므로 이메일클라이언트, 브라우저 및 플러그인, 운영체제 등을 업데이트만 잘 챙긴다면 이메일 본문만 열람해도 위험할 일은 이제 없다.


이메일 안전사용요령

메일클라이언트, 웹브라우저, 운영체제 업데이트 최신으로 유지 사이버공격자는 소프트웨어 보안허점을 발견하여 악용하려 하기 때문에 이러한 허점을 고치는 소프트웨어 업데이트는 아주 중요하다. 구형 브라우저나 이메일클라이언트 사용은 해킹으로 이어질 수 있으며 자바 또한 삭제하거나 적어도 브라우저 플러그인을 작동 중지시켜야 한다.

안티바이러스 소프트웨어 사용 윈도우 운영체제에서 안티바이러스는 보안의 중요 축으로 보안상 실수와 소프트웨어 버그로 인한 맬웨어 감염을 방지한다.

위험성 있는 첨부물 주의 예를 들어 첨부물이 PDF 파일이라면 대체로 안전하겠으나 .exe 등 위험성 있는 유형의 파일을 받은 경우라면 해당 첨부물을 다운받으면 안 되며 발신자를 신뢰할 수 있다 해도 주의를 기울여야 한다.

링크 주의 링크 클릭 자체는 브라우저를 통해 웹페이지를 단순히 여는 데 그치기 때문에 곧바로 어떤 위험을 발생시키진 않는다. 하지만 링크가 악성웹사이트로 이어진다는 의심이 든다면 클릭을 피하고 설령 클릭했다 해도 파일을 다운받아서는 안 된다. 피싱도 주의해야 하는데 예를 들어 은행에서 발신한 듯 보이는 이메일에 포함된 링크를 클릭할 때 은행 웹사이트와 비슷하게 보이는 사이트로 이동시키는 등의 수법에 속아서는 안 되겠다.

 



Chris Hoffman, HTG Explains: Why You Can’t Get Infected Just By Opening an Email (and When You Can), 1. 30. 2013.

http://www.howtogeek.com/135546/htg-explains-why-you-cant-get-infected-just-by-opening-an-email-and-when-you-can/


번역요약: madfox

 



참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.06.30 13:06



최근 랜섬웨어가 연일 화제로 피해자도 계속 생겨나고 있다. 랜섬웨어는 맬웨어 중에서도 가장 악독한 유형으로 개인 금융정보, 대체 불가능한 사진, 중요 업무문서 등 모든 중요 데이터를 순식간에 접근 불능을 만들어 버린다. 랜섬웨어에 감염된 데이터는 아예 사라지지도 않고 그냥 암호화된 채로 남아 있으며 사용자는 이를 복호화할 수 있는 키가 없기 때문에 손을 쓸 도리가 없다. 최근에는 자바스크립트를 통해 실행되는 랜섬웨어까지 등장했다.

 

사실 랜섬웨어는 1980년대 후반 AIDS 트로이목마를 시작으로 20년 넘게 존재해 왔지만 최근 몇 년에 걸쳐 큰 위협으로 급격히 부상하는 한편 훨씬 정교해졌다. 랜섬웨어에는 두 가지 기본유형이 있는데 컴퓨터잠금 랜섬웨어는 시스템 전체를 접근 불능으로 만들어 사용자의 로그온을 막으며 현재 대세인 암호화 랜섬웨어는 시스템을 건드리지는 않지만 데이터파일을 암호화해 버린다.

 

상당수 바이러스 등 맬웨어가 단순한 흥미 목적으로 배포되는 데 비해 랜섬웨어 공격은 금전적 수익을 목적으로 한다. 랜섬웨어는 피해자의 파일을 인질삼아 주로 비트코인의 형태로 금전지급을 요구한다. 이에 응해 돈을 지불할 경우 데이터가 복구되기도 하지만 돈을 받은 자들이 약속을 어기고 잠적해 버리기도 한다. 랜섬웨어는 개인과 회사 모두를 대상으로 하며 병원의 경우 환자진료에 중요한 개인정보를 담은 파일이 많으며 따라서 랜섬웨어 감염시 막대한 액수의 소송에 휘말리기보다는 비용이 덜 드는 금원지급을 선택할 가능성이 높다는 점 때문에 최근 공격자들이 즐겨 찾는 표적이 되고 있다.

 

 

랜섬웨어 공격경로

 

랜섬웨어가 컴퓨터에 침투할 수 있는 방식은 여러 가지다. 이메일 첨부물이 가장 흔한 방식이며 최근까지는 MS워드 문서의 매크로가 감염에 많이 쓰이는 방법이었으나 이로 인해 수많은 컴퓨터 사용자들이 매크로를 해제하고 이제 워드에서도 매크로 기능이 기본적으로 해제된 만큼 랜섬웨어 제작자들은 새로운 공격수법을 찾아야 하는 상황이 됐다. 그 결과 최신이자 최악의 악성소프트웨어라 할 수 있는 자바스크립트 랜섬웨어가 등장하게 된다.

 

앞서 언급한 이메일은 여전히 랜섬웨어의 주된 배포수단이며 이 때 자바스크립트 첨부물이 무해한 텍스트파일로 위장된다. 윈도 운영체제에서는 기본적으로 파일확장자가 생략돼 있기 때문에 예를 들어 myfile.txt라는 이름의 파일은 사용자에게 그냥 myfile.txt로 보이게 된다. 사용자가 메모장으로 열리는 단순한 문서를 예상하고 해당 파일을 클릭하면 스크립트가 실행되어 맬웨어 감염과정이 개시된다. 경우에 따라서는 맬웨어가 텍스트편집기에서 미끼 파일을 열어 사용자가 초기에 문제를 알아채지 못하도록 할 수도 있다.

 

자바스크립트 랜섬웨어의 최신버전은 RAA 또는 JS/Ransom-DLL이라고 하며 이전 버전보다 훨씬 지능화됐다. 로키(Locky) 랜섬웨어처럼 스크립트 실행을 통해 서버에 접속하여 랜섬웨어 실행프로그램을 다운받는 방식이 아니라 자바스크립트 자체가 랜섬웨어로써 웹브라우저 외부의 윈도 스크립팅호스트(Windows Scripting Host, WSH)에서 실행되며 따라서 브라우저에서 실행되는 스크립트처럼 샌드박스 방식의 차폐가 불가능하다.

 

RAA는 서버에 접속하여 피해자 파일을 암호화할 키를 받아야 한다. 이 암호화키는 피해자별로 고유한 값을 가지는 임의의 AES 키며 따라서 몇몇 초창기 랜섬웨어와 달리 피해자 하나가 돈을 지불하고 복호화키를 얻는다 해도 이를 다른 피해자의 파일을 복구하는 데 사용할 수 없다. 맬웨어는 파일이 모두 암호화되고 나서야 정체를 드러내며 README 파일을 통해 피해자에게 감염 경과를 설명하고 복호화를 위해 돈을 보낼 방법을 알린다. 현재 파일 복구비용은 파일 건당 250달러 정도라고 한다.

 

이 때 금전을 지급할지 여부는 피해 파일의 기밀취급정도, 백업 유무, 금액의 규모, 지급가능성, 업무마비나 소송과 같이 지급을 거절했을 경우의 후속문제 등을 토대로 개인 또는 업무에 따라 달라질 수 있다. 하지만 돈을 지불하고 파일을 복호화한다 해도 추가 맬웨어가 남아있지 않은지 확실히 해야 한다. RAA의 경우 피해자 암호를 탈취하도록 설계된 또 다른 트로이목마를 설치한다는 보고가 있다. 이런 식으로 공격이 끊이지 않을 염려가 있기 때문에 랜섬웨어 감염이 있고 나면 시스템을 완전히 포맷한 다음 운영체제를 재설치하는 방법을 권장한다.

 

 

자바스크립트 랜섬웨어 방지방법

 

<참고: 랜섬웨어 차단 AVG 안티바이러스 비즈니스에디션>


다행히도 랜섬웨어 감염이 발생하기 전이라면 이를 예방할 수 있는 방법이 있다. 우선 윈도 운영체제에서 파일확장자가 보이도록 설정해야 한다. 윈도 파일탐색기(File Explorer) 상단의 보기(View) 항목에서 파일확장자(File name extensions) 체크박스를 선택하면 된다. 또한 대부분의 이메일 클라이언트가 메시지 내부에서의 자바스크립트 실행을 차단하기 때문에 자바스크립트 첨부물을 열지 않는 이상 안전을 유지할 수 있다. 사용자들은 첨부물에 대해 확실히 알지 않는 이상 이를 열지 않도록 교육을 받고 습관이 돼야 한다.

 

또한 실시간 백업을 생성하고 주기적으로 백업을 오프라인 위치에 보관하도록 해야 한다. 맬웨어는 자기가 도달하지 못하는 곳에는 영향을 끼칠 수 없기 때문이다. 이렇게 백업대책이 있다면 랜섬웨어 감염이 발생할 경우 돈을 지불하고 나서도 맬웨어를 염려하여 시스템을 포맷해야 할 필요 없이 단순히 시스템을 포맷하고 나서 백업을 통해 데이터를 복구하면 된다.

 

그리고 스크립트를 차단하는 방법도 있다. 윈도의 파일실행(file association) 기능을 통해 자바스크립트 파일을 WSH에서 실행시키지 않고 메모장을 통해 안전한 텍스트파일로 실행하도록 설정할 수 있다. 이 설정은 운영체제 버전에 따라 달라지는데 웹에서 자신이 사용하는 윈도 버전에 따라 파일실행 방식을 변경하는 방법을 검색하면 된다. 아울러 매크로 자동실행도 차단해야 하며 워드 최신버전의 경우 매크로 자동실행이 기본적으로 차단됐기 때문에 이를 그대로 두면 된다.

 

또한 운영체제와 어플리케이션의 보안패치 등 업데이트를 항상 최신으로 유지하며 맬웨어방지 소프트웨어를 사용하고 그 솔루션의 지표(definition) 정보도 최신으로 유지해야 한다.

 

 


Debra Littlejohn Shinder, Ransomware takes it to the next level: Javascript, 6. 23. 2016.

http://www.gfi.com/blog/ransomware-takes-it-to-the-next-level-javascript/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.06.24 14:21

위로가기