Wilayah yang ditargetkan, dan tumpang tindih dalam perilaku dan kode, menunjukkan bahwa alat tersebut digunakan oleh kelompok APT yang bersekutu dengan Korea Utara.
Peneliti ESET telah menemukan salah satu muatan dari Pengunduh Wslink yang kami temukan kembali pada tahun 2021. Kami menamai payload ini WinorDLL64 berdasarkan nama filenya WinorDLL64.dll. Wslink, yang memiliki nama file WinorLoaderDLL64.dll, adalah pemuat untuk binari Windows yang, tidak seperti pemuat lainnya, berjalan sebagai server dan mengeksekusi modul yang diterima di memori. Seperti yang disarankan oleh kata-katanya, loader berfungsi sebagai alat untuk memuat muatan, atau malware yang sebenarnya, ke sistem yang sudah disusupi. Vektor kompromi Wslink awal belum teridentifikasi.
Muatan Wslink yang awalnya tidak diketahui diunggah ke VirusTotal dari Korea Selatan tidak lama setelah publikasi postingan blog kami, dan mencapai salah satu aturan YARA kami berdasarkan nama unik Wslink WinorDLL64. Mengenai Wslink, telemetri ESET hanya melihat beberapa deteksi โ di Eropa Tengah, Amerika Utara, dan Timur Tengah.
Grafik WinorDLL64 payload berfungsi sebagai pintu belakang yang terutama memperoleh informasi sistem yang luas, menyediakan sarana untuk manipulasi file, seperti exfiltrating, menimpa, dan menghapus file, dan menjalankan perintah tambahan. Menariknya, ini berkomunikasi melalui koneksi yang sudah dibuat oleh pemuat Wslink.
Pada tahun 2021, kami tidak menemukan data apa pun yang menunjukkan bahwa Wslink adalah alat dari pelaku ancaman yang dikenal. Namun, setelah analisis muatan yang ekstensif, kami telah mengaitkannya WinorDLL64 ke grup Lazarus APT dengan kepercayaan rendah berdasarkan wilayah yang ditargetkan dan tumpang tindih dalam perilaku dan kode dengan sampel Lazarus yang diketahui.
Aktif setidaknya sejak 2009, kelompok sekutu Korea Utara yang terkenal ini bertanggung jawab atas insiden penting seperti Peretasan Sony Pictures Entertainment dan puluhan juta dolar cyberheists pada tahun 2016, yang WannaCryptor (alias WannaCry) wabah pada tahun 2017, dan sejarah panjang serangan mengganggu terhadap Infrastruktur publik dan kritis Korea Selatan setidaknya sejak 2011. US-CERT dan FBI memanggil grup ini TERSEMBUNYI COBRA.
Berdasarkan pengetahuan yang luas Dari kegiatan dan operasi grup ini, kami percaya bahwa Lazarus terdiri dari tim besar yang terorganisir secara sistematis, dipersiapkan dengan baik, dan terdiri dari beberapa subkelompok yang menggunakan perangkat besar. Tahun lalu, kami menemukan alat Lazarus yang mengambil keuntungan dari CVEโ2021โ21551 kerentanan untuk menargetkan karyawan perusahaan kedirgantaraan di Belanda, dan jurnalis politik di Belgia. Itu adalah penyalahgunaan kerentanan yang tercatat pertama kali; dalam kombinasi, alat dan kerentanan menyebabkan pemantauan semua solusi keamanan pada mesin yang dikompromikan menjadi buta. Kami juga menyediakan deskripsi ekstensif tentang struktur mesin virtual digunakan dalam sampel Wslink.
Posting blog ini menjelaskan atribusi WinorDLL64 ke Lazarus dan memberikan analisis muatan.
Tautan ke Lazarus
Kami telah menemukan tumpang tindih dalam perilaku dan kode dengan sampel Lazarus dari Operasi GhostSecret dan Implan Bankshot dijelaskan oleh McAfee. Deskripsi implan di artikel GhostSecret dan Bankshot berisi fungsi yang tumpang tindih dengan WinorDLL64 dan kami menemukan beberapa kode yang tumpang tindih dalam sampel. Dalam posting blog ini kita hanya akan menggunakan FE887FCAB66D7D7F79F05E0266C0649F0114BA7C sampel dari GhostSecret untuk perbandingan dengan WinorDLL64 (1BA443FDE984CEE85EBD4D4FA7EB1263A6F1257F), kecuali ditentukan lain.
Detail berikut meringkas fakta pendukung untuk rendahnya kepercayaan kita terhadap Lazarus:
1. Viktimologi
- Rekan peneliti dari AhnLab mengonfirmasi korban Wslink Korea Selatan dalam telemetri mereka, yang merupakan indikator yang relevan mengingat target tradisional Lazarus dan bahwa kami hanya mengamati beberapa serangan.
2. Malware
- Sampel GhostSecret terbaru dilaporkan oleh McAfee (FE887FCAB66D7D7F79F05E0266C0649F0114BA7C) dari Februari 2018; kami melihat sampel pertama Wslink pada akhir 2018 dan rekan peneliti melaporkan hit pada Agustus 2018, yang mereka ungkapkan setelah publikasi kami. Oleh karena itu, sampel-sampel ini terlihat dalam waktu yang relatif singkat.
- Grafik Tajuk kaya PE menunjukkan bahwa lingkungan pengembangan yang sama dan proyek dengan ukuran yang sama digunakan di beberapa sampel Lazarus lain yang diketahui (misalnya, 70DE783E5D48C6FBB576BC494BAF0634BC304FD6; 8EC9219303953396E1CB7105CDB18ED6C568E962). Kami menemukan tumpang tindih ini menggunakan aturan berikut yang hanya mencakup sampel Wslink dan Lazarus ini, yang merupakan indikator dengan bobot rendah. Kami mengujinya Retrohunt VirusTotal dan korpus file internal kami.
rich_signature.length == 80 dan
pe.rich_signature.toolid(175, 30319) == 7 dan
pe.rich_signature.toolid(155, 30319) == 1 dan
pe.rich_signature.toolid(158, 30319) == 10 dan
pe.rich_signature.toolid(170, 30319) >= 90 dan
pe.rich_signature.toolid(170, 30319) <= 108
Aturan ini dapat diterjemahkan ke notasi berikut yang lebih mudah dibaca dan digunakan oleh VirusTotal, di mana orang dapat melihat versi produk dan ID build (VS2010 membangun 30319), jumlah dan jenis file sumber/objek yang digunakan ([LTCG C++] di mana LTCG adalah singkatan dari Link Time Code Generation, [ASM], [ C ]), dan jumlah ekspor ([EXP]) dalam aturan:
[LTCG C++] VS2010 build 30319 hitungan=7
[EXP] VS2010 build 30319 hitungan=1
[ASM] VS2010 build 30319 hitungan=10
[ C ] VS2010 build 30319 dihitung dalam [ 90 .. 108 ]
- Artikel GhostSecret menjelaskan โkomponen penginstalan implan dan pengumpulan data unik yang mendengarkan port 443 untuk koneksi server kontrol masukโ yang juga berjalan sebagai layanan. Ini adalah deskripsi akurat tentang perilaku pengunduh Wslink, selain dari nomor port, yang dapat bervariasi berdasarkan konfigurasi. Singkatnya, meskipun implementasinya berbeda, keduanya melayani tujuan yang sama.
- Loader divirtualisasi oleh Oreans' Code Virtualizer, yang merupakan pelindung komersial yang digunakan sering oleh Lazarus.
- Loader menggunakan MemoriModul perpustakaan untuk memuat modul langsung dari memori. Pustaka ini tidak umum digunakan oleh malware, tetapi cukup populer di kalangan grup yang berpihak pada Korea Utara seperti Lazarus dan Kimsuky.
- Tumpang tindih kode antara WinorDLL64 dan GhostSecret yang kami temukan selama analisis kami. Hasil dan signifikansi dalam atribusi tercantum pada Tabel 1.
Tabel 1. Kesamaan antara WinorDLL64 dan GhostSecret dan signifikansinya dalam mengaitkan keduanya dengan aktor ancaman yang sama
Kesamaan lain antara WinorDLL64 dan GhostSecret | Dampak |
---|---|
Tumpang tindih kode dalam kode bertanggung jawab untuk mendapatkan arsitektur prosesor | Rendah |
Kode tumpang tindih dalam manipulasi direktori saat ini | Rendah |
Kode tumpang tindih dalam mendapatkan daftar proses | Rendah |
Kode tumpang tindih dalam pengiriman file | Rendah |
Perilaku tumpang tindih dalam proses daftar | Rendah |
Perilaku tumpang tindih dalam manipulasi direktori saat ini | Rendah |
Perilaku tumpang tindih dalam daftar file dan direktori | Rendah |
Perilaku tumpang tindih dalam volume daftar | Rendah |
Perilaku tumpang tindih dalam membaca/menulis file | Rendah |
Perilaku tumpang tindih dalam menciptakan proses | Rendah |
Perilaku yang cukup tumpang tindih dalam penghapusan file secara aman | Rendah |
Perilaku yang cukup tumpang tindih dalam penghentian proses | Rendah |
Perilaku yang cukup tumpang tindih dalam mengumpulkan informasi sistem | Rendah |
Tumpang tindih kode dalam fungsi pengiriman file disorot pada Gambar 2 dan Gambar 3.
Analisis teknis
WinorDLL64 berfungsi sebagai pintu belakang yang terutama memperoleh informasi sistem yang luas, menyediakan sarana untuk manipulasi file, dan menjalankan perintah tambahan. Menariknya, ini berkomunikasi melalui koneksi TCP yang telah dibuat oleh pemuatnya dan menggunakan beberapa fungsi pemuat.
Pintu belakang adalah DLL dengan satu ekspor tanpa nama yang menerima satu parameter โ struktur komunikasi yang sudah dijelaskan di blogpost sebelumnya. Strukturnya berisi konteks TLS โ soket, kunci, IV โ dan panggilan balik untuk mengirim dan menerima pesan yang dienkripsi dengan AES-CBC 256-bit yang memungkinkan WinorDLL64 bertukar data secara aman dengan operator melalui koneksi yang sudah dibuat.
Fakta-fakta berikut membuat kami percaya dengan keyakinan tinggi bahwa perpustakaan memang bagian dari Wslink:
- Struktur unik digunakan di mana saja dengan cara yang diharapkan, misalnya, konteks TLS dan parameter penting lainnya disediakan dalam urutan yang diantisipasi ke callback yang benar.
- Nama DLLnya adalah WinorDLL64.dll dan nama Wslink adalah WinorLoaderDLL64.dll.
WinorDLL64 menerima beberapa perintah. Gambar 5 menampilkan loop yang menerima dan menangani perintah. Setiap perintah terikat pada ID unik dan menerima konfigurasi yang berisi parameter tambahan.
Daftar perintah, dengan label kami, ada di Gambar 6.
Tabel 2 berisi ringkasan perintah WinorDLL64, yang dimodifikasi, dan kategori lama mengacu pada hubungan ke fungsionalitas GhostSecret yang didokumentasikan sebelumnya. Kami hanya menyoroti perubahan signifikan dalam kategori yang dimodifikasi.
Tabel 2. Gambaran umum perintah pintu belakang
Kategori | ID Perintah | Fungsi | Deskripsi Produk |
---|---|---|---|
New | 0x03 | Jalankan perintah PowerShell | WinorDLL64 menginstruksikan juru bahasa PowerShell untuk menjalankan tidak terbatas dan membaca perintah dari input standar. Setelah itu, pintu belakang meneruskan perintah yang ditentukan ke juru bahasa dan mengirimkan hasilnya ke operator. |
0x09 | Kompres dan unduh direktori | WinorDLL64 secara rekursif mengulangi direktori yang ditentukan. Konten setiap file dan direktori dikompresi secara terpisah dan ditulis ke file sementara yang kemudian dikirim ke operator dan kemudian dihapus dengan aman. | |
0x0D | Putuskan sambungan sesi | Memutus pengguna yang masuk tertentu dari sesi Layanan Desktop Jarak Jauh pengguna. Perintah juga dapat melakukan fungsi yang berbeda berdasarkan parameter. | |
0x0D | Sesi daftar | Memperoleh berbagai detail tentang semua sesi di perangkat korban dan mengirimkannya ke operator. Perintah juga dapat melakukan fungsi yang berbeda berdasarkan parameter. | |
0x0E | Ukur waktu koneksi | Menggunakan API Windows DapatkanTickCount untuk mengukur waktu yang diperlukan untuk terhubung ke host tertentu. | |
Diubah | 0x01 | Dapatkan info sistem | Memperoleh detail lengkap tentang sistem korban dan mengirimkannya ke operator. |
0x0A | Hapus file dengan aman | Menimpa file tertentu dengan blok data acak, mengganti nama setiap file menjadi nama acak, dan akhirnya menghapusnya satu per satu dengan aman. | |
0x0C | Membunuh proses | Hentikan semua proses yang namanya cocok dengan pola yang disediakan dan/atau dengan PID tertentu. | |
Tua | 0x02/0x0B | Buat sebuah proses | Membuat proses baik sebagai pengguna saat ini atau yang ditentukan dan secara opsional mengirimkan hasilnya ke operator. |
0x05 | Atur/Dapatkan direktori saat ini | Upaya untuk mengatur dan selanjutnya memperoleh jalur direktori kerja saat ini. | |
0x06 | Daftar volume | Iterasi melalui drive dari C: ke Z: dan memperoleh jenis drive dan nama volume. Perintah juga dapat melakukan fungsi yang berbeda berdasarkan parameter. | |
0x06 | Daftar file dalam direktori | Berulang di atas file dalam direktori yang ditentukan dan memperoleh informasi seperti nama, atribut, dll. Perintah juga dapat melakukan fungsi yang berbeda berdasarkan parameter. | |
0x07 | Menulis ke file | Mengunduh dan menambahkan jumlah data yang disebutkan ke file yang ditentukan. | |
0x08 | Baca dari file | File yang ditentukan dibaca dan dikirim ke operator. | |
0x0C | Daftar proses | Memperoleh detail tentang semua proses yang berjalan di perangkat korban dan juga mengirimkan ID dari proses saat ini. |
Kesimpulan
Muatan Wslink didedikasikan untuk menyediakan sarana untuk manipulasi file, eksekusi kode lebih lanjut, dan memperoleh informasi ekstensif tentang sistem dasar yang mungkin dapat dimanfaatkan nanti untuk pergerakan lateral, karena minat khusus pada sesi jaringan. Pemuat Wslink mendengarkan pada port yang ditentukan dalam konfigurasi dan dapat melayani klien penghubung tambahan, dan bahkan memuat berbagai muatan.
WinorDLL64 berisi tumpang tindih dalam lingkungan pengembangan, perilaku, dan kode dengan beberapa sampel Lazarus, yang menunjukkan bahwa itu mungkin alat dari gudang senjata yang luas dari grup APT yang selaras dengan Korea Utara ini.
IoC
SHA-1 | Nama deteksi ESET | Deskripsi Produk |
---|---|---|
1BA443FDE984CEE85EBD4D4FA7EB1263A6F1257F | Win64/Wslink.A | Dump memori dari muatan Wslink WinorDll64 yang ditemukan. |
Teknik ATT&CK MITER
Tabel ini dibuat menggunakan versi 12 dari kerangka kerja ATT&CK. Kami tidak menyebutkan teknik dari loader lagi, hanya payload.
Taktik | ID | Nama | Deskripsi Produk |
---|---|---|---|
Pengembangan Sumber Daya | T1587.001 | Kembangkan Kemampuan: Malware | WinorDLL64 adalah alat khusus. |
Execution | T1059.001 | Penerjemah Perintah dan Skrip: PowerShell | WinorDLL64 dapat menjalankan perintah PowerShell yang sewenang-wenang. |
T1106 | API asli | WinorDLL64 dapat menjalankan proses lebih lanjut menggunakan Buat ProsesW dan BuatProcessAsUserW Lebah. | |
Penghindaran Pertahanan | T1134.002 | Manipulasi Token Akses: Buat proses dengan token | WinorDLL64 dapat memanggil API WTSQueryUserToken dan BuatProcessAsUserW untuk membuat proses di bawah pengguna yang ditiru. |
T1070.004 | Penghapusan Indikator: Penghapusan File | WinorDLL64 dapat dengan aman menghapus file sewenang-wenang. | |
penemuan | T1087.001 | Penemuan Akun: Akun Lokal | WinorDLL64 dapat menghitung sesi dan daftar pengguna terkait, dan nama klien, di antara detail lainnya. |
T1087.002 | Penemuan Akun: Akun Domain | WinorDLL64 dapat menghitung sesi dan mencantumkan nama domain terkait โ di antara perincian lainnya. | |
T1083 | Penemuan File dan Direktori | WinorDLL64 dapat memperoleh daftar file dan direktori. | |
T1135 | Penemuan Berbagi Jaringan | WinorDLL64 dapat menemukan drive jaringan bersama. | |
T1057 | Proses Penemuan | WinorDLL64 dapat mengumpulkan informasi tentang proses yang sedang berjalan. | |
T1012 | Registri Kueri | WinorDLL64 dapat meminta registri Windows untuk mengumpulkan informasi sistem. | |
T1082 | Penemuan Informasi Sistem | WinorDLL64 dapat memperoleh informasi seperti nama komputer, OS dan versi paket layanan terbaru, arsitektur prosesor, nama prosesor, dan jumlah ruang pada drive tetap. | |
T1614 | Penemuan Lokasi Sistem | WinorDLL64 dapat memperoleh nama negara default korban menggunakan Dapatkan Info LokalW API. | |
T1614.001 | Penemuan Lokasi Sistem: Penemuan Bahasa Sistem | WinorDLL64 dapat memperoleh bahasa default korban menggunakan Dapatkan Info LokalW API. | |
T1016 | Penemuan Konfigurasi Jaringan Sistem | WinorDLL64 dapat menghitung informasi adaptor jaringan. | |
T1049 | Penemuan Koneksi Jaringan Sistem | WinorDLL64 dapat mengumpulkan daftar port yang mendengarkan. | |
T1033 | Pemilik Sistem/Penemuan Pengguna | WinorDLL64 dapat menghitung sesi dan mencantumkan nama pengguna, domain, dan klien terkait โ di antara perincian lainnya. | |
Koleksi | T1560.002 | Arsip Data yang Dikumpulkan: Arsipkan melalui Perpustakaan | WinorDLL64 dapat mengompres dan mengekstrak direktori menggunakan cepat Perpustakaan. |
T1005 | Data dari Sistem Lokal | WinorDLL64 dapat mengumpulkan data di perangkat korban. | |
Dampak | T1531 | Penghapusan Akses Akun | WinorDLL64 dapat memutuskan pengguna yang masuk dari sesi tertentu. |
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://www.welivesecurity.com/2023/02/23/winordll64-backdoor-vast-lazarus-arsenal/
- 1
- 10
- 2011
- 2017
- 2018
- 2021
- 7
- 9
- a
- Tentang Kami
- penyalahgunaan
- Menerima
- mengakses
- tepat
- memperoleh
- Mengakuisisi
- kegiatan
- Tambahan
- Selain itu
- Keuntungan
- Aerospace
- Setelah
- terhadap
- selaras
- Semua
- sudah
- Amerika
- antara
- jumlah
- analisis
- dan
- Diantisipasi
- selain
- api
- Lebah
- APT
- arsitektur
- arsip
- Gudang senjata
- artikel
- artikel
- terkait
- Serangan
- atribut
- Agustus
- kembali
- pintu belakang
- berdasarkan
- Belgia
- Percaya
- antara
- Memblokir
- terikat
- membangun
- dibangun di
- C + +
- panggilan
- kemampuan
- kategori
- Kategori
- pusat
- Eropa Tengah
- CGI
- Perubahan
- CISA
- klien
- klien
- kode
- mengumpulkan
- Mengumpulkan
- kombinasi
- komersial
- umum
- Komunikasi
- perusahaan
- perbandingan
- komponen
- luas
- kompromi
- Dikompromikan
- komputer
- kepercayaan
- konfigurasi
- DIKONFIRMASI
- Terhubung
- Menghubungkan
- koneksi
- Koneksi
- mengingat
- mengandung
- Konten
- kontrol
- negara
- menutupi
- membuat
- membuat
- kritis
- terbaru
- adat
- data
- dedicated
- Default
- dijelaskan
- deskripsi
- Desktop
- rincian
- Pengembangan
- alat
- MELAKUKAN
- berbeda
- langsung
- direktori
- menemukan
- ditemukan
- penemuan
- menampilkan
- mengganggu
- domain
- NAMA DOMAIN
- Download
- mendorong
- membuang
- selama
- setiap
- Timur
- antara
- Karyawan
- aktif
- terenkripsi
- Menghibur
- Lingkungan Hidup
- mapan
- dll
- Eropa
- Bahkan
- Pasar Valas
- menjalankan
- Laksanakan
- eksekusi
- diharapkan
- Menjelaskan
- ekspor
- ekspor
- luas
- fbi
- Februari
- sesama
- beberapa
- Angka
- File
- File
- Akhirnya
- Menemukan
- Pertama
- tetap
- berikut
- ditemukan
- Kerangka
- dari
- fungsi
- fungsi
- lebih lanjut
- generasi
- mendapatkan
- mendapatkan
- Kelompok
- Grup
- Menangani
- High
- profil tinggi
- Menyoroti
- Disorot
- sejarah
- Memukul
- Hits
- tuan rumah
- Namun
- HTTPS
- diidentifikasi
- implementasi
- in
- menunjukkan
- menunjukkan
- Indikator
- hina
- informasi
- mulanya
- mulanya
- memasukkan
- Intelijen
- bunga
- intern
- IT
- wartawan
- kunci
- dikenal
- Korea
- Korea
- Label
- bahasa
- besar
- Terakhir
- Tahun lalu
- Terlambat
- Terbaru
- Lazarus
- memimpin
- Dipimpin
- Panjang
- Perpustakaan
- LINK
- Daftar
- Daftar
- Listening
- daftar
- Daftar
- memuat
- pemuat
- lokal
- tempat
- Panjang
- Rendah
- Mesin
- terbuat
- Utama
- malware
- manipulasi
- Cocok
- max-width
- mcafe
- berarti
- cara
- mengukur
- Memori
- pesan
- Tengah
- Timur Tengah
- mungkin
- dimodifikasi
- Modul
- pemantauan
- lebih
- paling
- gerakan
- nama
- Bernama
- nama
- Belanda
- jaringan
- utara
- Amerika Utara
- terutama
- jumlah
- memperoleh
- mendapatkan
- Penawaran
- Tua
- ONE
- Operasi
- operator
- urutan
- terorganisir
- OS
- Lainnya
- jika tidak
- pecahnya
- ikhtisar
- pak
- parameter
- parameter
- bagian
- melewati
- path
- pola
- melakukan
- periode
- Film
- plato
- Kecerdasan Data Plato
- Data Plato
- politik
- Populer
- port
- PowerShell
- siap
- sebelumnya
- swasta
- proses
- proses
- Prosesor
- Produk
- memprojeksikan
- disediakan
- menyediakan
- menyediakan
- publik
- Publikasi
- tujuan
- acak
- Baca
- diterima
- menerima
- menerima
- tercatat
- mengenai
- wilayah
- pendaftaran
- hubungan
- relatif
- relevan
- terpencil
- pemindahan
- menghapus
- Dihapus
- menghapus
- Dilaporkan
- laporan
- wajib
- penelitian
- peneliti
- peneliti
- tanggung jawab
- Hasil
- Kaya
- Aturan
- aturan
- Run
- berjalan
- sama
- aman
- aman
- keamanan
- mengirim
- terpisah
- melayani
- melayani
- layanan
- Layanan
- Sidang
- sesi
- set
- beberapa
- Share
- berbagi
- Pendek
- Segera
- makna
- penting
- mirip
- kesamaan
- sejak
- tunggal
- Ukuran
- Solusi
- beberapa
- Selatan
- Korea Selatan
- Korea Selatan
- Space
- tertentu
- ditentukan
- standar
- berdiri
- menyatakan
- struktur
- Kemudian
- seperti itu
- Menyarankan
- meringkaskan
- RINGKASAN
- dipasok
- pendukung
- sistem
- tabel
- target
- ditargetkan
- target
- tim
- teknik
- sementara
- Grafik
- Belanda
- mereka
- ancaman
- waktu
- untuk
- token
- alat
- tradisional
- bawah
- pokok
- unik
- TANPA NAMA
- upload
- us
- menggunakan
- Pengguna
- Penggunaan
- berbagai
- Luas
- versi
- melalui
- Korban
- korban
- maya
- visualisasi
- volume
- kerentanan
- berat
- yang
- lebar
- akan
- Windows
- susunan kata
- kerja
- akan
- tertulis
- tahun
- zephyrnet.dll