This post is also available in: English (英語)

概要

Unit 42のリサーチャーは、COVID-19をテーマにしたマルウェアを配布していることが確認されているドメインと、パブリック クラウド インフラストラクチャが通信している様子を観測しています。Unit 42は2020年3月24日にもこちらのブログで新型コロナウイルス(COVID-19)に関連して悪意のあるアクターが使用している攻撃手法について解説していますが、その発見からさらに一歩調査を進め、パブリック クラウド インフラストラクチャ内で悪意のあるCOVID-19関連イベントが発生しているかどうかを明らかにすべく調査を行いました。そのような活動の痕跡が見られた場合、組織はどのように自身を保護すべきでしょうか。

弊社リサーチャーは、300件以上のCOVID-19をテーマにしたマルウェア サンプルを特定しました。これらのサンプルは、重複なしの実数ベースで侵害指標(IOC)の20個のIPアドレスやドメインと通信をしていました。2020年3月1日から4月7日にかけて、これら20件の疑わしいIOCに対して行われたネットワーク接続について、Prisma Cloudにクエリをかけた結果、27個の個別クラウド環境全体で、合計45万3,074件のネットワーク接続(重複なし)が行われたことが確認されました(図1参照)。

  • COVID-19をテーマにしたマルウェアIOCにより、45万件以上のクラウド ベースのネットワーク接続が行われた
  • クラウド環境全体では27個(重複なし)の潜在的に侵害されているクラウドが発見された
  • COVID-19をテーマにしたマルウェア関連コマンド&コントロール(C2)オペレーションの実行を確認済みのノードとの通信がある明確な兆候が確認された

図 2 ワークフロー図
図 2 AutoFocus援用による調査のワークフロー。まず COVID-19 に関連するマルウェアサンプルを300件以上特定し、そこから20個のIPアドレス(重複なし)を識別、それらIPアドレスをベースにクラウド環境にクエリを実行することによりCOVID-19をテーマにしたマルウェアをホスティングしている可能性の高い45万件以上のネットワーク接続を確認

弊社リサーチャーは個々のネットワーク トラフィックについては確認できなかったため、ここで観測されたネットワーク接続を開始したマルウェア サンプルについては入手できていません。このためこれら27の特定組織それぞれが実際にCOVID-19をテーマにしたマルウェアに感染したのかどうかは明らかではありません。ですが、これらのネットワーク接続で宛先となったエンドポイントにマルウェアの活動履歴が確認されていることから、状況は非常に疑わしいと見なすべきでしょう。

調査内容

Unit 42のリサーチャーは、弊社独自のマルウェアベース脅威インテリジェンスリサーチツールであるAutoFocus™をもちいて「Corona」、「COVID」、「Pandemic」、「Virus」というキーワードの少なくとも1つを含むドメインへネットワーク接続を確立するマルウェア サンプルについて、クエリを実行しました。そののち、2020年3月1日から4月7日にかけてのタイムスタンプをもとに、得られた結果をフィルタリングしました。次に、これらネットワーク接続のメタデータを分析し、パロアルトネットワークスPrisma Cloudの管理するネットワークトラフィックと比較しました。

注意: ネットワーク トラフィックはその性質上、コンテンツ部分を分析に利用できていません。唯一残された手がかりはネットワーク接続のメタデータなので、私たちはこれをマルウェアによるネットワーク トラフィックの識別手段として利用しています。

さて、AutoFocusからは、COVID-19をテーマにしたドメインへのネットワーク接続という条件に合致した446件以上のマルウェア サンプルが返ってきました。これらのサンプルからは、マルウェア用インフラをホスティング・維持していると推測される20個のドメインとハードコードされたIPアドレス(いずれも重複なしの実数)が判明しました。その後、これらのドメインを、知られている限りで最新のホストIPアドレスに解決し、そうして得られたIPアドレスを、2020年3月1日から4月7日にかけてのクラウド ネットワーク トラフィック接続のクエリに利用しました。その結果、クラウド環境から45万3,074件のネットワーク接続(重複なし、実数)が返されました(上記画像1参照)。これらのネットワーク接続は、既知のCOVID-19をテーマにしたマルウェアによるDNSアクティビティと直接的な関与が確認されているシステムとの通信を行っていました。

表1は、Prisma Cloud内で識別された18個のIPアドレスと、それらのIPアドレスがコンテンツ配信ネットワーク(CDN)プロバイダによってホスティングされているかどうかと、している場合はそのプロバイダ名を示しています。

IPアドレス コンテンツ配信ネットワーク(CDN)プロバイダ 件数
8.251.31[.]254 Level3 91026
95.101.78[.]106 Akamai International 83624
95.101.78[.]82 Akamai International 81979
8.250.169[.]254 Level3 51091
8.250.183[.]254 Level3 49611
8.251.5[.]254 Level3 46864
8.251.15[.]254 Level3 40262
74.208.236[.]42 6742
120.138.17[.]203 Telstra Corp 765
104.28.9[.]246 Cloudflare Inc 458
104.31.74[.]50 Cloudflare Inc 420
5.79.72[.]163 72件
31.170.167[.]123 66
103.140.250[.]215 32
51.77.161[.]45 27
45.81.226[.]17 19
91.234.99[.]234 12
45.128.134[.]14 4
合計 453074

表1 COVID-19をテーマにしたマルウェア サンプルによるDNSアクティビティ サンプルの合計。Prisma Cloudへのクエリにより確認

強調表示した部分は、Cloudflare、Level 3、Akamai HostingなどのCDNホスティング プラットフォームに解決されたIPアドレスを示しています。CDNネットワークの場合、セッション メタデータ以外に利用できるネットワーク情報が限られてしまうので、今回の分析からは、悪意のあるコンテンツの潜在的提供のいかんをとわず CDNのIPアドレスを除外しました。なお、新型コロナウイルス(COVID-19)関連クラウド脅威の概況というブログでも、クラウド プラットフォーム上にホスティングされたCDNによるWebサイトの脅威状況を解説していますのであわせてこちらもご確認ください。

さて、弊社リサーチャーは、先にのべた27個のPrisma Cloud環境(重複なし)からのネットワーク接続先として、7つのIPアドレスを明確にすることができました。これらのIPアドレスはいずれも個別にホストされている非CDNのWebサーバーに解決されており、Unit 42以外のRiskIQのPassiveTotalHyas Insightなど他の信頼できるサードパーティ脅威ソースにおいても、悪意のあるアクティビティの既知の履歴をもつものでした。これら既知の7つのIPアドレスの来歴にくわえ、名前解決前のドメイン名から察するに、これらがCOVID-19をテーマにしたマルウェアに直接関連付けられる悪意のあるコンテンツのホスティングや維持に利用されており、クラウド環境とアクティブに通信している可能性は極めて高いといえます(表2参照)。

IPアドレス 件数
74.208.236.42 6742
5.79.72.163 72件
31.170.167.123 66
103.140.250.215 32
51.77.161.45 27
45.81.226.17 19
91.234.99.234 12
合計 6970

表2 CDN以外のホスト先ドメインとそれに関連するPrisma Cloudのネットワーク接続

図2は、これら7つのIPアドレスで確認されたネットワークトラフィックの割合を示しています。

図 2 疑わしいネットワークトラフィックの内訳(%)
図 2 接続先別の不審なネットワークトラフィックの内訳 (%)

マルウェアの活動履歴

ここで弊社リサーチャーはAutoFocusに戻り、これらIPアドレスから得られたマルウェアサンプル結果についてさらに調査を進めました。とくに表2にまとめたIPアドレスからのDNSアクティビティを含むマルウェア サンプルを対象に調査を行いました。この結果、LokiBot、 NanoCoreRATCVE-2017-11882CVE-2017-0199CVE-2012-0158の各脆弱性のエクスプロイトなど、既知のマルウェアファミリやエクスプロイトと関連性のあるサンプルにくわえ、Windows Wordによるフィッシング文書RTF_ASLRバイパスなどのマルウェア オペレーションにネットワーク接続を行っていたサンプルなど、合計185個のユニークなマルウェアサンプルがAutoFocusから返されました。

一見するとこれらマルウェア ファミリやエクスプロイトには上記7個のIPアドレスと関連するDNSアクティビティがあるように見えるのですが、だからといってこれがすなわち「COVID-19をテーマにしたマルウェアとこれらマルウェアファミリやエクスプロイトとの間にはIPインフラやDNSアクティビティ以外にもなんらかのつながりがある」とみなすのは早計です。たとえば、これら特定システムは、複数種類のマルウェアをホスティングしている可能性もありますし、悪意ある攻撃グループが複数、表2のIPアドレスをもつシステム上で独自にC2オペレーションをホスティングしている可能性もあるからです。

さらにこれら7つのIPアドレスはそれぞれ、フィッシング、スパム、C2インフラ、マルウェア配布という根拠に基づいてPassiveTotalのRiskIQで「Blacklisted by Third Parties (サードパーティによるブラックリスト登録)」のフラグが立てられています。AutoFocusからの証拠、RiskIQのPassiveTotal、Hyas Insightから収集した証拠から総合的にみて、弊社リサーチャーはこれらのIPアドレスを悪意のあるものと考えています。よって、クラウド環境であれ従来型環境であれ、これらIPアドレスとのネットワーク通信は一切行わないことを推奨します。

ポート分析

弊社リサーチャーはネットワーク セッションの分析により、表2にまとめたIPアドレスが最もよく使用されているプロトコルも特定しました。表3に示したネットワーク トラフィック メタデータからわかるとおり、80/tcpと443/tcpがこれらの悪意のあるIPアドレスとの間のネットワークトラフィックの97%を占めていました。ただし、25/tcp、110/tcp、445/tcp にも疑わしい接続は存在していました。

宛先ポート 接続先IP 件数
25 5.79.72.163 8
53 51.77.161.45 2
80 103.140.250.215 20
31.170.167.123 39
45.128.134.14 4
5.79.72.163 4
51.77.161.45 14
74.208.236.42 4086
110 51.77.161.45 3
443 103.140.250.215 12
31.170.167.123 27
5.79.72.163 56
51.77.161.45 8
74.208.236.42 2655
445 45.81.226.17 11
74.208.236.42 1
3389 45.81.226.17 8
5.79.72.163 4
合計 6962

表3 COVID-19をテーマにした疑わしいネットワーク通信の宛先ポート分析

各IPアドレスについての詳細

本稿ではこれ以降、4つのIPアドレス(74.208.236[.]42、31.170.167[.]123、5.79.72[.]163、51.77.161[.]45)について個別に論じたいと思います。というのも、これらはCOVID-19をテーマにした悪意のあるコンテンツをクラウドインフラにホスティング・維持している可能性が最も高いアドレスと考えられるためです。

74.208.236[.]42

IPアドレス 74.208.236[.]42は今回のネットワーク接続の大部分を占めており、非CDNのトラフィックの97%がクラウド環境から発信されていました。このIPアドレスはドメイン unlimitedimportandexport[.]com からの唯一の解決先で、COVID-19をテーマとした攻撃を使用するC2インフラ、マルウェア配布、フィッシング オペレーションに関連した悪意のあるコンテンツのフラグが立てられています。

AutoFocusには15件のマルウェア サンプルが含まれていました。これらのサンプルはドメイン unlimitedimportandexport[.]com(名前解決先IPアドレスは74.208.236[.]42)にネットワーク接続を行っており、その初認日は2020年3月1日から4月7日の間でした。AutoFocusはこれらマルウェア サンプルのそれぞれにExcelLaunchPowerShell (12)またはWinwordLaunchPowershell(7)のいずれかのタグを付与しています。これ以外のAutoFocusサンプルからはこのIPアドレスに解決されるドメインは特定されませんでした。74.208.236[.]42のシステムには当該ドメイン以外にもホスティングされているサイトがありますが、このIPアドレスは非常に疑わしく、クラウド環境に悪意のあるコンテンツを配布している可能性が高いと考えられます。

31.170.167[.]123

2020年4月12日、Unit 42は新型コロナウイルス感染症関連組織を狙うフィッシング攻撃 日本も標的にというタイトルのブログを公開しました。このブログではドメイン www.tempinfo[.]96[.]it の解決先である IP アドレス 31.170.167[.]123 が、被害組織からユーザー名とホスト名を持ち出す C2 ノードであった様子を確認しています。同じ IP アドレスは(ランサムウェア用の)AES 暗号化キーを生成する用途にも使用されていました。暗号化キーは、www.tempinfo[.]96[.]lt/wras/savekey.php という URL からHTTP POST リクエスト経由で被害組織に送信され、そこから暗号化プロセスが開始されます。

このIPアドレスは、Prisma Cloudネットワーク メタデータ内の3つの組織とネットワーク通信している様子も判明しました。ただし上記Unit 42ブログでも詳しく解説したとおり、本件に関連していた組織は政府機関や医療機関ではなく、いずれも米国に拠点を置くビジネスデータ分析企業、マーケットリサーチ企業、ネットワーク分析関連企業でした。このIPのIOCは非常に疑わしいとみなされるべきもので、同IPとのネットワーク通信があるようなら、必ずインシデント調査を行うべきでしょう。

5.79.72[.]163

IPアドレス5.79.72[.]163は、27個の個別クラウド環境のうち6つとやりとりがあった様子が観測されています。このIPアドレスはドメインteknik[.]ioの解決先で、当該ドメインにはマルウェア配布オペレーションを含む悪質行為を行ってきた明確な履歴があります。この IP アドレスに解決しているドメインは他に見当たらず、この IP アドレスへの接続は疑わしいものと考えるべきです。

AutoFocusからは当該ドメインと解決先IPアドレスに関連付けられた143個のマルウェアサンプルが見つかりました。これらの初認日は2020年3月1日から4月7日の間です。その大半のマルウェアはCVE-2017-11882 (130)ないしCVE-2017-0199 (21)をエクスプロイトするタグが付与されており、ほかにはLokiBot (10) やNanoCoreRAT (4) のタグが付与されているものもありました。このマルウェアは主に Windows オペレーティングシステムを狙っている様子があり、システムへの感染には主にRTF文書を使います。当該ドメインやその解決先IPアドレスとの間にネットワーク トラフィックがあれば、それらはすべて極めて不審であるとみなすべきです。また今後当該アドレスへのネットワーク接続があった場合は終了させるべきでしょう。

51.77.161[.]45

IPアドレス51.77.161[.]45は、ドメインkplico[.]comを介し、COVID-19をテーマにした悪意のあるコンテンツに紐付けられています。このドメインはマルウェア配布やフィッシング試行がみられたことからサードパーティのブラックリストにも登録されていますし、同システムは特定の期間だけ特定のドメインをホスティングする用途に使われているようで、主にイランを拠点とする16個のドメインに循環的に利用されているようすがありました。

AutoFocusから収集したマルウェア サンプル分析には、本調査に使用した2020年3月1日から4月7日に初認日をもつ3つのマルウェア確定サンプルのみが含まれています。それらのサンプルにはCVE-2017-11882CVE-2017-0199WinwordLaunchPowershellのタグが付与されています。ただし2020年1月27日以降は、合計で11個の確定マルウェア サンプルが存在し、既知のマルウェアサンプルはすべてドメイン kplico[.]com に DNS リクエストを行っていました。Autofocus は古いサンプルの大半を NanoCoreRAT (6) にタグ付けしています。

結論

COVID-19関連マルウェアとの通信が確認された既知の300件以上のマルウェア サンプルのうち20件(重複なし実数)について関連IPアドレスとドメインが特定されました。本稿で確認したPrisma Cloud環境からの既知のネットワーク トラフィックはすべて、これら20件の疑わしいIPアドレス・ドメインをベースにクエリを実行したものですが、この結果、2020年3月1日から4月7日にかけ、合計で45万3,074件のネットワーク接続が確認されています(上記図1参照)。

これらのネットワーク接続から7つのIPアドレスが確認されましたが、これらのIPアドレスはクラウド インフラとマルウェア通信を行っている可能性がきわめて高いことがわかりました。またこれらの通信は、COVID-19関連オペレーションのホスティングが確認されたインフラとの悪意のある通信が含まれている可能性が非常に高いと考えられます。

弊社リサーチャーは個々のネットワーク トラフィックは確認していないため、ここで観測されたネットワーク接続を開始したマルウェア サンプルを入手はできておりません。このため、これら27の特定組織それぞれが、実際にCOVID-19をテーマにしたマルウェアに感染したのかどうかは明らかではありません。すべての組織は、クラウドインフラのネットワーク通信を監視し、こううした悪意のある通信を確実に特定してブロックすることが重要です。組織は、クラウド ネイティブ セキュリティ プラットフォーム(CNSP)の方法論を自社クラウドインフラ、開発環境、本番環境に組み込んで、COVID-19 をテーマにした攻撃がクラウド インフラ内でホスティングされないように対策していく必要があります。

回避・緩和策

パロアルトネットワークス次世代ファイアウォール

以下の IOC セクションに記載した侵害指標は PAN-DB に追加済みです。これにより、ハードウェア版・VM-Series版の次世代ファイアウォールはともに、特定済み IP アドレス・ドメインへのネットワーク トラフィックをブロックすることができるようになりました。また本稿に記載したマルウェア サンプルについても両次世代ファイアウォールでのブロックが可能です。

Prisma Cloud

Prisma Cloud は、自社クラウド インフラが既知の悪意のあるマルウェアと通信した場合にクラウド組織で迅速に識別できるよう、AutoFocus の IOC をオペレーション基盤に統合する第一歩を踏み出しました。AutoFocusのもつクラウド エンドポイント監視機能、悪意のあるアクションの検出機能、重要な脆弱性の警告機能を組み込んだことにより、Prisma Cloudは実証済み脅威インテリジェンスを活用してシングル・ハイブリッド・マルチの各クラウド環境を監視・保護できるようになりました。

クラウド ネイティブ セキュリティ プラットフォーム(CNSP)

クラウド ネイティブ セキュリティ プラットフォーム(CNSP)を CI/CD パイプラインに統合し、クラウド インフラでセキュリティ リスクが適切に検証されていることを確認します。CNSPは、インフラ、PaaS、ユーザー、開発プラットフォーム、データ、アプリケーション ワークロードに関するコンテキストをプラットフォーム コンポーネント間で共有することにより、セキュリティを強化します。CNSPは、クラウドの特徴である、セキュリティの自動化、セキュアなスケーラビリティ、管理性、セキュアなオンデマンド リソースを利用しつつ、組織がセキュアなクラウド インフラを提供できるよう支援します。

IaCのスキャン

開発環境と本番環境の両方で使用されるすべての Infrastructure-as-Code (IaC) テンプレートは、使用前に設定ミスや脆弱性のスキャンを行う必要があります。Unit 42クラウド脅威レポート2020春版によれば、GitHub からプルされる IaC テンプレートの 42% 以上に、少なくとも 1 つ、誤った設定や脆弱性が含まれています。

侵害の痕跡(IOC)

IPアドレス
  • 5.79.72[.]163
  • 31.170.167[.]123
  • 45.81.226[.]17
  • 51.77.161[.]45
  • 74.208.236[.]42
  • 91.234.99[.]234
  • 103.140.250[.]215
ドメイン
  • kplico[.]com
  • teknik[.]io
  • tempinfo[.]96[.]it
  • unlimitedimportandexport[.]com
ハッシュ値
  • 015d9c9a42e23532cbff50f9f65d90b7e5e53b0b8df676ee6a13f4177e3eae35
  • 025c3d602e548ddb3bd9b640c26665d836a45dd583a4942ae9730c02f1f1a12c
  • 0411028730acd0a55c6077ad8f58b72fa4362da33d88445ae5cb4e33a909ae92
  • 0537f15b4051942430191340336a785f8c690a8aa29571d7a0dde843c5d9b0ed
  • 0578e68d8770cfd9c073f44a4262666ca8114a905f95eb68dc2ce3258c7d0c1d
  • 082ef0b013bab1fb3c9f99aa50a1c039b1c9bb25e84ee37d88b90a513c28ee05
  • 0b56480f83dede82b7e331f82144421bf69b2009d4aead0d1c577fd6329029b3
  • 0e3bb07880b9e2cd3da9aed3ae2e0596ceb63654766ea5b79282282a2159bf48
  • 0fc6ceef04ce6de9ba41ea9d2651d9962bd2b7c5e092df4b71f42cad64c90a92
  • 11bf5382ba0dc36ecaad3ce47cdc6890fbaa22d401716cd149d29741ea487120
  • 1431e293da7a89a08a80ba63f13090050b15f4dc1d28cc752949858aa7690707
  • 1441d6db9a2dccc8a57982f7ac4feab62f0621c8f36bebfb5971a7d7233cb309
  • 164f917cb665c788adb9908444d90e1f9fed0ea2942e5744f5f3a72be92747c8
  • 16a74b44f1d4ca3b850910182d2e87b2317f7aa9becb15d330416eee1fb55e07
  • 1714b62d8d44cc289726b966be8598b5a7e416cd0c85050be9d395d36610a66d
  • 1766f9752af45a8655f716562d0dd93714e2009fc04474c6734d5daebb95162c
  • 19c169929dc46269b669c9c92fc0445a5057666a1e443208a57dcbf8686d9a1e
  • 19ec071e413a88d0de44d0837486ecb6adfdbfeb85edd64db560af556effe7ee
  • 1aaf862d0f14d85e2870503db000bec25c0952413b12f039ecc32f61cf565131
  • 1ac34ed069159715ada83bc926d6b7d70447d6d45e382d2b8fba04ca1f7ee86b
  • 1c935aa3a65ad9d045838f5297c1386a5a152beb12b40331459461d088c4538c
  • 2185a33735010dcb8e22ff8301111e714596edce67fe82ec349bf8aaeab29033
  • 21c267e76b886f9289947481999034fae58ae2575f063b78bf584ba6dd96ef0d
  • 23f04285f6494f8670e984d559ef9d265f0e28fcb1f3636a2751bf97e89f5306
  • 242c590d3582149d465f90063f1a64fcc29875834e667b3b2e934ab58c1a7a19
  • 2466a4b6df523b21a2a97f5f6cfa15a14aca084e3f9e5e24aac0394d60616800
  • 247832fc2d01c4b163372c005185cbd7d0352ceccec2a277bc968ea4da630639
  • 253f00d16f2d35d43baeb88afba5d01c4151877c8c42e168e691e50eda87b2fb
  • 271cdfbeace863d7fc6ad9ccb19ca74855088acbf0be761634e5f9276d5321c0
  • 271dee34bdf71e407ea2424560be0f12f736b1a2f6c9af91aec5d1f4b9216d00
  • 2779863a173ff975148cb3156ee593cb5719a0ab238ea7c9e0b0ca3b5a4a9326
  • 277ca0574a1ff8cbebe3f30e59736775962135aaa5ff0f7decd2b6c247a4ae8a
  • 28aeda6b35141c7e54b3bac3f6d5255e01db9cd4567dcfed8168da734d7c0669
  • 2ab43f60b558d7448afe4855c8bb6d0cf8fab6e16e7848154ed0b98c72eb77e8
  • 35184145261c318d0e348638b995b5d0d165217f0ae53067ed4c40bcc653db29
  • 354dc02a498c1a963689f314a0bc72f36771e41b8f8798e78d0da2cb860fbec5
  • 3599c1bcdd715ce17c8bbe2535edb4dcb4b5ab94b8a9807b2378cbabd1a13e02
  • 3b54e98cb52fb06929e70dfedea7f6265dc522225e2eb1db149da231a5b87b2f
  • 3c37b32cc0cf0da87c3d47545ec79cf41b8662b0354551e3217276f891f12a22
  • 3dfb211685c0945841184e5215c37889ea180a7f454a55a80a4de7fb5cb4314e
  • 3e168b8fb92ab777b647491dea631b06effd8b32b75d41143f266f30e146e030
  • 3e4bbe926935e71625578822e326a501d7e268bf0a4903b279855cff9015ea0c
  • 3ecd8af401ac56c61538c3e1bf396c3a7acba0cb89d624a29044833bd815b160
  • 41a69c13aec8be3e1f725a73d98727447f73ab1f4c7fa2baa9bbce8618df8ca1
  • 41b2c6afecf797ab0fa9532a9327a1f19a5c58e13635ba7bd0e9deb45dfd5170
  • 42945e863a1e8054ca89d90759f299722a1d7ff9b9762cbac73214bda828fcf6
  • 42f04025460e5a6fc16d6182ee264d103d9bcd03fffd782c10f0b2e82b84f768
  • 4409d981edc3b15f5c58995200aef4609af5a32aab9da7d596f108e29e48ed61
  • 44fb4d09a80e4afc69cac7409c23e126262b606a909dd421146aa5e06aa2d390
  • 458f33a1dc34e0b587dda65f10238f590738abe8a453511fab0558144b919e37
  • 46f0d3ab6b68d84847c04820d7f2e590727ce4c87e96f29dfc3e1ecac8b404f6
  • 47123fb92a882213d89fda07f28f3d1713259d1c8842326f7bc27488d4c48155
  • 49480dfd1f5349234b92a3ee08263071a8acecab2ff5b188c242ba84bf880e90
  • 4a1f043432e9810242ba29a67b5b2e7e501754a06f3cadaffbbbf766a9116f8e
  • 4c11d68b80ac96302f79f23586cb40b6d7a5235875c14ae00a8d9203fa574a65
  • 4c73d0437cb52e082b00c5100bab779399b18548f41da43a3a127f8343bdc847
  • 4c874ab6c0b01cba06ffa454a37e878d4c7b8cb8cc0ed00a8c410a9833eed407
  • 4dc69e5b5aca4c147121bf37f0f659dd0976f8c75c00b942f5a095f68938702a
  • 4dcaaa0534d2a270a5e1c9ce5464c8ce826b7767108392a2616da9a25ff267a8
  • 4fd2d7d93ea4cb52a749c00773cae469a7054c0d99a88169e5a334e32f50f22a
  • 508075b3374b4c3c47d257b5d794779a90418cbb1d68175c2abfa4ce5f24dd67
  • 51e9ae4199f631c7df589bfe857568c609a6f57c43538dd27f9bb1f6932808e6
  • 543d8be5723b82693a6f5326f435823e0b152c2d83f874b86a82f6fcbd931bc7
  • 5529dd3374d902d4ec626f23b831cd3e4d0120d15d9a0dc16deb3d19784ab35c
  • 55988e76af684dffd45346e4622245e5978187a2784eeb064b5bf616e80b09a0
  • 55cfc6c24813143e41df3fd01d35e16602af309620ca45648eaf70cc257f4a2d
  • 58a6710c62c4a11565cb66282a78356179ebf868724a89580821953e5e7b3746
  • 58f7ca1e6626103f0274d20f590d7f693585816e00f0bd93884bc15d0a7247a2
  • 599317272a363b0a30b2860560be79d2066d9881b66925cbc9948f3cec8397bc
  • 59ad049d80b6e2cff529e4a26db3bcb25e5b5dfda49d87b4b031c13e62cb2288
  • 5a4582018c5e5e90d37604f4a4e3598150919153e8b1edf4e64da392630b968d
  • 5d9e4abeeecf4ac855880206049246abe0f49a14bfc693349a81605478dde63b
  • 5e977b5c8d3f438e684ffe134027476dd90a4eff1bf4910d1b41f0d489f9a04d
  • 5ea2d64f9c644433e995108afbbfa9bfc0077e45f5f96abbeba717fddfba8474
  • 5fc201b8c6700a59586a14a8ac53165e662fee128038f204b73a3a0e795d547a
  • 61115d27cb35e6bf9835761e1897e53182e62ecaa63c1f3533bbf24cc940e805
  • 62d38f19e67013ce7b2a84cb17362c77e2f13134ee3f8743cbadde818483e617
  • 6318684e58716680b882f26d8aecf04e0019ccaa31605629815c79f05a0a1838
  • 6391e4c4a9632bce7a7f5b01a701b8e84aaf0be9f115e5daf910c41f3b5260fc
  • 6535d0c2d59dc35f1c3951812b79e2a97b2862d4c0fe12cdc37f0ec641abf081
  • 66f886cee2e281a481d03dfda28bbe8ada348087d24544403a23d0596ccd3753
  • 67b268f1e4ec8cd13940eff3a442445dca813ca706993211ff32e9eda1db35b4
  • 67e895b7e1d01ed661cf5f310da8d1f59337dffe967002728d55fffeed2bb56b
  • 6dd31b038d84e748f8b873e31971c0fbb329f75979c5f520a8e460d0764b8370
  • 6f9cf2d532cc8eea81df1ba495a300513fb2567d4e2dd343705b2aee698afc4d
  • 7031315d4298f8030872ba6a4dc07903decc5a008fa01017c734c42b995f7d17
  • 70471f7b4fa066ced7a8415d3c0219037daf4376a5af99232a714725c160046f
  • 7172c41b8860618b6adf20a0443a7d4c2e93a6b01da97f8068d53d4194e37bbd
  • 71cb2fdf87214765aa9af37ea331245afb6441a28eadb1f7ab35cacb8043bd61
  • 74da88d674bf1d281e39aa18399d0f189e51dc87e9e3827b8c6182e2e0de0e7e
  • 7512ef3971ca4d0a902342fe3b6dc465939fc7046222e7d50524eee83076e6ea
  • 758594c0ffb7b7736d9705a830341da83d220a656c9651534af2c3d0ec2ecfe3
  • 758d0addc5b5952f4367307e06b8c559376ea514286c2c56a1200cee230a790b
  • 767cb6b6859090c2ff271e2a69a37ace6f13a98faec1608ef265d146567566bc
  • 778c6ab3a1bdb991b6b37ec5d652b6c444a20fddb743962da34fb5302ed87728
  • 7a23a1e1f4e13a03de911def8a14c110f18bd512bbcf2abea0bef2e3dd09cf68
  • 7b427b656ce425376a61a0d1caea523258aa44c8e4011d66089f02658263463e
  • 7d57545c0bc2f5d52e90be220fc224ca48b3b6b697f5ae34333122df2224a4ef
  • 7ea775ce3d1bbec6a0956b651d6faa66c9c56c7c9fabb700cc8f4f2a972e6aa2
  • 7ec29d0c7759e0a04b9aa24104232df451b29dbbad9951add42cd23ef3292d07
  • 7f07f14d5ba0dcdd810db7cf047045eb306600823ca0a7dac88c0b52d3930d4d
  • 7f1c867216e3d37b54c5e07dae0dde6712a204eab13aa464df23f14ddc968606
  • 81e98135951b22364f0679cae1590b14463adf27f6d55659d0f3104bbec79780
  • 8332b625d3b6280762ef9fe393da174c65d390b3834d95865904854922eeda3f
  • 8476cc9f2ad18d2bb884e4fc70e81d2cf4cd4036085ccd9f9aaee08ef50367af
  • 849cac7f9689229de2eb83845295d5e061fe5a35388534054b9098a0eb256e1f
  • 865c3d5398639b15b66ded5441836610bc82d3c996e707ff8741c8b7fce482d5
  • 89a63aeb18c87652e6c68ca582fea6e12e88b519e21f52ee9e649ab92e720c4a
  • 8d58014569735fafade5ff971e9f19b885503f693a0f32e685b9829bd67e679f
  • 8dcf7eba4af16338b5ac343f55176ae836214e54677db9c1d9128afb96dd05b5
  • 8f6f6c9140a3d265363dbbd34d552eda964c5f9c042a93c86ac29dfd05896ff8
  • 8fbc5a54150922aef7fbc914fe72cd663bc23bf0a33eb4c8659cd79d53d6cd9b
  • 91a981113c630434212a4ed9cf0362ed514dbc2c52e235a3875cabc4cafadebc
  • 91cc37ccdece55aa4cca2532a846126fa463927c3f10343716314f04a27c3c79
  • 984eeddd872274e16a4a24d42a66dd99110793fe64e46db525d5c017cd5755b1
  • 9b023002c7cdfa05d8ce487af118673563c11d98f95d095b208627d700971c74
  • 9be3262c99cecb704a331b96d3f640f97efa094608daeddd8b9682f441faa5b1
  • 9c28354579d2ce69df3f609cd46c6c53052c3546cd4c63205a6c88e6a229ec35
  • 9e07f2ffae0b978cf6f36026d7a049691a43da206800bf3ad187c1bfee33928d
  • 9eb1bd5605d05e9926a63256e6b77c2e5ea21a4b3798f0697108c4035efb3e42
  • 9f0385a0967acc5d324628ea3f78ef86085a6ed59037bce26bcecb0d9ab5197c
  • 9f5a60090ed1b94abc12d02ae1a43ae5a0eb37b108483ef0286d2c9f917b7476
  • a01c3c97b8b91ef4c69b3392fb57091546b1fb7c344d60b33dd5d778f58f6d07
  • a0400828ef967467fae9dc8bb83c658f8a493d05268aabc4f1fdf0f235a63d3e
  • a0f1cb4197fe6f18cc664ed6eacb6d2ef8597eca7723d4130f1b0ed5d5ad1669
  • a15a623767449a87179ca7276c16bc33825aad76c475870fcefbd62110c2120e
  • a4007fb26c4ac60b661a77839739f5db56b0d016c57611af013f4bbb21d672cf
  • a465aa7ac0dc2f7d868a6e682870f164f2738647bee1d7d337c710f0eb52bbfc
  • a4e2573420f85a738fe78b192e87c2f864aeaae89aa7377f2a4a11d909a0a824
  • a76a2c64c08cb5e96238ba19f9a038573ae6f61dd1ce2f63b8c9441b8b935990
  • a843b0c799c7ad34fa76f278db59da140d77af3a38295b0d74ea273013065ed4
  • a884b0fb2e540b4bfff1df58fb6b294ce638846b8ee6a296d3661881c570ffb1
  • aafb51a2fd04fbc38a549d648b7e96d62216a9a1908b0fa5c39357f88a8bf95f
  • ab458a1da7237fe9779357a20d2d5718bd84bfc67d121f9162f059f9deafc6dc
  • abe39297ce1526ff13e022ea2c68b5141a3aaf03551d9d95b260373d0bb17af3
  • adc9c3d9534ac4be11796a95c966840c88b69589a1a4b6b0426a996838afe4e0
  • ae26d3bdeaea73a75c7c3bd6c3faf9513a3fd957bba0f446d0fd4555d5428a15
  • ae6c08d1378963a1e602167ed9d70151769344ba77cfced1865a1643277a1319
  • b1a82ca1b059bd34b5c98560d7257b65c0906e518c578952c2328f3bf416bcd1
  • b4e585a0f192ed4fdea8909dc2c119bce45ca7e1b7a74ef45ba1c14cfa16a97e
  • b557edeb7c35a0545e780cfea1b057ed73a8835cbd80fc3534bf6b1da89975b1
  • b5d9082c42b9d649fed71d07156d65c0d8162b2adb761003b8946cc6d8c63fea
  • b639c0937a7b1f194bb980c7d601813c95c01c509220a153a62e9e79a53d2cda
  • b688f8534058c14a5a111f755f49c45ea101fa684b182039ff06958115866b81
  • b9728bf311577a2d9f8258296d9b6d326d0e9d32bec678c19601465e2a033fe8
  • ba36d885a562a6aec1dadcd654b4468e47f4b5aeb7c5b2aa642560536d74e5e6
  • baa31d36a1229ab1f21da18b7ef603e46a3abbf5e6163d471f1bdea8ab3a3281
  • bb399ed423a50afb359fbe7c769706196478c117869ebb6976aed43b3a7777a2
  • bf16e722984f266ed24480bbf2c796cd9cb6104324b066d6e086628c1b4d4b77
  • bfb5edf186a206a54b0002e4b44cfba96b6340ab3fc5654b5be662f8e7ae95ed
  • c0ca8040842789fd69497927dda9a1fa2813d7652467090cc88ee47a543e6085
  • c330346d40854e4a971cd0c6011f9dcb1484e85b6e42d8d48735312518ae4a9f
  • c35d1f026bc0c6a9acfbcd7959d2c781bd14059a0276a90be75b19e86433f500
  • c501f99a404c0866d9f8b3f9b71d4169cf07296923edeef1b2054cf1d937bef0
  • c5c43b340957830f5d7484ce06f9de0ef593d88f3d48c09cd2150e670661f672
  • c74c2bb7f954d5f3f806fd399fcec81522be1c02162a6821d31050de1dee1a92
  • c9440b0b18b92db64cb53c3f43e269c5906c7d13d2c2211755ae5abf253581ef
  • ca50c4d018bcc196bf53d3f02fafffe5045f31d17561e02fa6f4c4f2b0c7c05a
  • ce66f177d83b8c45367fa50e83c2378f04c4f9df88577e43879526e5b98b3c41
  • cf3aed798cf3d1ac93baff3a7b3b6aaf8227a356538a53c914b942ca2b689772
  • d15767f8ca42218de59e998a74faad26dbfc3327431be164b6aaae7a01957297
  • d5bb3fafb5a1ccefa682282bb3f8adb015e3296688efe0d8aeb236828af9a331
  • d706fe8a74682bcd7eaf301b2cd1c0f38d54ed2b10570ea463bcaad341e010fb
  • d7696c137969dfd65a0398ddfd5065e5de1a61be93a4680ffc1c7faa731d5b69
  • d88cf127211cc77685a6f61e32a19358946e1a935930ba8c020d9807a2effe21
  • de3e93acc847979c41267c52cc4b46b35553a4a152feeab182b6c5dbfb21a14a
  • df2becbce21a204e7f92467a06e6d68069330b8c21dd7342adf079b68fb9d08f
  • e0bd1875f37bdffcea0a0e3871220a83ffdd09ffd3b7cb770520bbf00fd7e5b8
  • e1238fc834747073182c964f3da49c9c6dd963acaff053c8765a6871cb740de0
  • e17a5ba4e146550c43766f0a76004e548c1b9e4802370d5ee3f4c54a92404b64
  • e9259b9278b0e081ed8f64a2fb21f82f2c33a184db39650804d53916417fac2b
  • eb720c30a1bfd1771925c100403833a46cc0852987f57d83168a1adcf91dc371
  • ec1c7bec6d8d360f9f2be44fa948f08d3144f2b7a7c6432f13ad255f00c7c9b3
  • ec94ac63d4d436d94d73f76a3fb6200d1597d0203a17020f55a62b381071d849
  • ed83615ed3193bdcb4202b5e288199d626de7884c4eeda32968a06b3c0e43ee6
  • ef72febd8cbe7f5d73140436e2c19a76fb4546bff6265f3d259f51171b190afa
  • f1b696ca941f48be904350de5727970ba05ec7443df05b89bd416ac11866a4fe
  • f3e1fdf3ff164f8d75486e53ce23df56c7eaa0bc8261b2106c5a1ef32eead295
  • f4fe33c22dbe4182406054e7bb4a3cd764a75c277c8013d4decbf30b3c9dfad8
  • f50686ddf8d9696bce0cde277261a7e901ec4ad3af1f57c71c3f24b1bc3fdb58
  • f610bfaa9d6ed6c0bddd277590e19ff6100269392fda0812ee389f5c33df2811
  • f70f447eb7cbc612f06537775c0084c9cde94eeb7d39e3f84e1111f8eb108426
  • f8132b19cba0af3c24f873a5d81ee588b3487b8db9bb12f1b317f6b1d2affcaa
  • fe9b7fce26d17f9e46c69a6d11e69e974f54a9aca56ef945489deae8b51199d2
  • fef116e4e2eaa3ef8350dfddb1f4bfd73a19738c693e647c34cbd877d9a0dcf2

 

Enlarged Image