fluxbuster
play

FluxBuster Early Detec+on of Malicious Flux Networks via - PowerPoint PPT Presentation

Sep 25, 2023 •361 likes •530 views

FluxBuster Early Detec+on of Malicious Flux Networks via Large-Scale Passive DNS Traffic Analysis Roberto Perdisci S ecurity N etwork University of Georgia I ntelligence

  1. FluxBuster ¡ Early ¡Detec+on ¡of ¡Malicious ¡Flux ¡Networks ¡via ¡ Large-­‑Scale ¡Passive ¡DNS ¡Traffic ¡Analysis ¡ Roberto ¡Perdisci ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  2. Flux ¡Networks ¡ DNS Flux ¡Agents ¡ 2 ¡ 1 ¡ 3 ¡ Mothership 4 ¡ 5 ¡ 6 ¡ 7 ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  3. Research ¡Goals ¡ • Previous ¡works ¡on ¡flux ¡detec+on ¡based ¡mainly ¡on ¡ac+ve ¡probing ¡ – Limited ¡to ¡known ¡bad ¡or ¡suspicious ¡domains ¡ – Domains ¡treated ¡independently ¡ – Possible ¡data ¡pollu+on ¡by ¡aSackers ¡ • Passive ¡Detec+on ¡ Internet FluxBuster – Monitor ¡“behavior” ¡of ¡ all ¡domains ¡ over ¡+me ¡ – Let ¡other ¡people ¡query ¡for ¡you ¡in ¡a ¡ distributed ¡ way! ¡ Traffic Collection ISC/SIE Ch.204 ¡ – Only ¡focus ¡on ¡ live ¡ domains ¡ RDNS RDNS RDNS Network 1 Network 2 Network n – Discover ¡ zero-­‑day ¡flux ¡domains! ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  4. FluxBuster ¡System ¡Overview ¡ • Given ¡a ¡domain ¡ d , ¡aggregate ¡all ¡info ¡about ¡ d ¡collected ¡during ¡a ¡+me ¡T ¡(e.g., ¡24h) ¡ • Use ¡ conserva4ve ¡heuris4cs ¡to ¡filter ¡out ¡domains ¡that ¡are ¡ highly ¡unlikely ¡flux ¡ Group ¡domains ¡that ¡are ¡related ¡to ¡each ¡other ¡ ¡ • – significant ¡intersec+on ¡between ¡sets ¡of ¡resolved ¡IPs ¡ – Candidate ¡Flux ¡Networks ¡ • Sta+s+cal ¡classifier ¡automa+cally ¡labels ¡candidate ¡flux ¡networks ¡ – Each ¡candidate ¡flux ¡networks ¡is ¡described ¡by ¡a ¡number ¡of ¡features ¡ – flux ¡ or ¡ non-­‑flux ¡ FluxBuster DNS Message Message Domain Classifier Aggregator Pre-filtering Clustering Flux Non-Flux ISC/SIE Clusters Clusters (ch. 204) S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  5. Message ¡Pre-­‑Filtering ¡ • Conserva+ve ¡Filtering ¡ – Objec+ve: ¡reduce ¡burden ¡on ¡following ¡modules ¡ – Consider ¡only ¡domains ¡for ¡which ¡ all ¡of ¡the ¡ following ¡constraints ¡hold ¡ • avg (TTL) ¡<= ¡3600 ¡ • # ¡of ¡RIPs ¡>= ¡3 ¡ ¡OR ¡ ¡ avg (TTL) ¡<= ¡30 ¡ ¡ • div (RIPs) ¡>= ¡1/3 ¡ div (RIP) ¡= ¡ ¡# ¡/16 ¡prefixes ¡in ¡RIPs ¡ # ¡of ¡RIPs ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  6. Domain ¡Clustering ¡ • Group ¡domains ¡that ¡are ¡related ¡to ¡each ¡other ¡ – Hierarchical ¡clustering ¡algorithm ¡ – Similarity ¡measure ¡based ¡on ¡resolved ¡IPs ¡ oparle.com ¡ ns1.chokode.com ¡ ns2.chokode.com ¡ ns3.chokode.com ¡ ns4.chokode.com ¡ ns5.chokode.com ¡ ns6.chokode.com ¡ Jaccard ¡Index ¡ free-­‑pass.porn-­‑4-­‑free-­‑here.ru ¡ free-­‑pass.allhotpornhere.ru ¡ free-­‑pass.all-­‑porn-­‑access-­‑free.ru ¡ ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  7. Supervised ¡Classifier ¡ • Input: ¡Clusters ¡of ¡domains ¡ IP ¡diversity ¡ – Clusters ¡are ¡translated ¡into ¡ feature ¡ > ¡B ¡and ¡< ¡C ¡ > ¡A ¡ vectors ¡ • Supervised ¡Training: ¡ # ¡IPs ¡ TTL ¡ – Need ¡labeled ¡data ¡(ground ¡truth) ¡ > ¡Y ¡ < ¡X ¡ – We ¡built ¡a ¡web ¡interface ¡to ¡facilitate ¡ ¡ semi-­‑manual ¡labeling ¡ ¡ 320 ¡flux ¡ Novelty ¡ 0 ¡non-­‑flux ¡ • Output: ¡new ¡(unlabeled) ¡clusters ¡are ¡ labeled ¡as ¡either ¡ flux ¡or ¡ non-­‑flux ¡ < ¡Z ¡ > ¡W ¡ 0 ¡flux ¡ 150 ¡flux ¡ 10 ¡non-­‑flux ¡ 1 ¡non-­‑flux ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  8. Sta+s+cal ¡Features ¡ • Measurements ¡on ¡each ¡domain ¡cluster ¡ – # ¡of ¡IPs ¡in ¡RIPs ¡set ¡ 1 ¡ – # ¡of ¡Domains ¡ 2 ¡ – avg(TTL) ¡ 3 ¡ – # ¡domains ¡that ¡have ¡recently ¡pointed ¡to ¡any ¡of ¡RIPs ¡ 4 ¡ – Entropy ¡of ¡/16 ¡prefixes ¡ 5 ¡ – … ¡ Overall ¡we ¡measure ¡ 13 ¡sta's'cal ¡features ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  9. Cross-­‑Valida+on ¡ • Labeled ¡Dataset ¡ ROC ¡Curve ¡ – semi-­‑manual ¡labeling ¡process ¡ – If ¡no ¡clear-­‑cut ¡decision, ¡exclude ¡ TP ¡= ¡99.3% ¡ ¡ ¡FP ¡= ¡0.15% ¡ cluster ¡to ¡minimize ¡training ¡ noise ¡ – 1,337 ¡clusters ¡labeled ¡as ¡flux ¡ • 100,644 ¡dis+nct ¡2LDs ¡(113,580 ¡FQDs) ¡ ¡ ¡ AUC ¡= ¡0.994 ¡ – 5,708 ¡labeled ¡as ¡non-­‑flux ¡ • 2,116 ¡dis+nct ¡2LDs ¡(59,215 ¡FQDs) ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  10. Live ¡Traffic ¡ Evalua+on ¡ 5 ¡months ¡of ¡opera+onal ¡deployment ¡ ¡ • – 4,084 ¡domain ¡clusters ¡labeled ¡as ¡ flux ¡ ¡ • 1,743 ¡2LDs ¡(63,442 ¡FQDs) ¡ – 3,633 ¡domain ¡clusters ¡labeled ¡as ¡ non-­‑flux ¡ • 227,667 ¡2LDs ¡(264,550 ¡FQDs) ¡ – Threshold ¡K ¡= ¡30 ¡dis+nct ¡IPs ¡ • Clusters ¡with ¡less ¡than ¡30 ¡resolved ¡IPs ¡are ¡discarded ¡ • Measure ¡four ¡different ¡quan++es ¡ False ¡Posi+ves ¡ – False ¡Nega+ves ¡ ¡ – True ¡Posi+ves ¡ – True ¡Nega+ves ¡ – Separately ¡measured ¡due ¡to ¡many ¡ unknown ¡ domains ¡ • that ¡cannot ¡be ¡easily ¡verified ¡as ¡either ¡flux ¡or ¡not ¡ ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  11. Ground ¡Truth ¡ • A ¡domain ¡cluster ¡C ¡may ¡fall ¡into ¡three ¡categories: ¡ ¡ – (1) ¡TPs: ¡C ¡includes ¡domains ¡and/or ¡IPs ¡that ¡are ¡known ¡to ¡be ¡ related ¡to ¡a ¡flux ¡network ¡ – (2) ¡FPs: ¡C ¡does ¡not ¡represent ¡a ¡flux ¡network, ¡and ¡may ¡instead ¡ represent ¡a ¡CDN ¡or ¡other ¡legi+mate ¡services ¡ – (3) ¡NAs: ¡the ¡true ¡nature ¡of ¡C ¡is ¡ unknown , ¡that ¡is ¡no ¡prior ¡ informa+on ¡exists ¡on ¡this ¡cluster ¡in ¡any ¡public ¡(or ¡even ¡private) ¡ security ¡data ¡sources. ¡ ¡ • (1) ¡top ¡flux ¡domains ¡from ¡abuse.ch ¡( KFD ) ¡+ ¡domains ¡from ¡ public ¡malware ¡domain ¡blacklists ¡( KMD ) ¡ • (2) ¡ consistently ¡top ¡ 100k ¡Alexa ¡( ATD ), ¡>300k ¡domains ¡from ¡ Yahoo ¡DMOZ ¡( YDD ), ¡list ¡of ¡known ¡CDN ¡domains ¡( CDN ) ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  12. Live ¡ Results ¡Summary ¡ domain1.com ¡ domain2.com ¡ domain3.com ¡ domain4.com ¡ domain5.com ¡ domain6.com ¡ 24/75 ¡KFD ¡(50 ¡domains ¡not ¡visible ¡in ¡SIE) ¡ • TPs ¡ 179/10,447 ¡KMD ¡(Note: ¡most ¡malware ¡domains ¡are ¡not ¡flux ¡domains) ¡ • 525 ¡+ ¡595 ¡ new ¡ flux ¡domains ¡using ¡KFD ¡and ¡KMD ¡as ¡“seed”, ¡respec+vely ¡( guilty ¡by ¡associa4on ) ¡ • 2/57,910 ¡ ¡ ¡2LDs ¡in ¡ADT ¡(pool.ntp.org, ¡qyq3606.meibu.com) ¡ • FPs ¡ pool.ntp.org ¡appeared ¡only ¡briefly ¡(filtered ¡at ¡the ¡source ¡by ¡SIE ¡for ¡ch.204?) ¡ • 0 ¡in ¡CDN ¡and ¡0 ¡from ¡YDD ¡ Domains ¡consistently ¡classified ¡as ¡ non-­‑flux ¡ • FNs ¡ 1 ¡from ¡KFD: ¡discountpharmacyhealth.net ¡ 30 ¡from ¡KMD ¡ TNs ¡ 171 ¡ ¡ ¡2LDs ¡in ¡ATD+YDD+CDN ¡ 227,667 ¡ ¡2LDs ¡remain ¡ unknown ¡ S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

  13. Early ¡Detec+on ¡ • 9/24 ¡KFD ¡detected ¡earlier ¡than ¡ abuse.ch ¡ • 125/179 ¡KMD ¡detected ¡earlier ¡than ¡appeared ¡in ¡BLs ¡ • 13/21 ¡Zeus ¡flux ¡domains ¡detected ¡earlier ¡than ¡BLs ¡ Zeus ¡ Early Detection Results Flux ¡Domains ¡ Malware ¡Domains ¡ Early Detection Results Early Detection Results 3.0 15 4 2.5 3 2.0 10 domains domains domains 1.5 2 1.0 5 1 0.5 0.0 0 0 0 10 20 30 40 50 0 5 10 15 20 25 30 35 0 20 40 60 80 100 detection gap (days) detection gap (days) detection gap (days) S ecurity N etwork University of Georgia I ntelligence Dept. of Computer Science

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

A closer look at big- O notation. We all know that in a formula y ax + the values of b = both a

A closer look at big- O notation. We all know that in a formula y ax + the values of b = both a

A closer look at big- O notation. We all know that in a formula y ax + the values of b = both a (slope) and b (intercept) are important. If y is the cost of executing a program on a problem of size x , then b determines the value at x = 0

682 views • 20 slides
Pasi Lautala Assistant Professor, Dept. of Civil &amp; Env. Engr Director, Michigan Tech Transp.

Pasi Lautala Assistant Professor, Dept. of Civil &amp; Env. Engr Director, Michigan Tech Transp.

MICHIGAN TECH RESEARCH FORUM MOBIL ILIT ITY TECHTALKS Pasi Lautala Assistant Professor, Dept. of Civil &amp; Env. Engr Director, Michigan Tech Transp. Institute ptlautal@mtu.edu Areas of research/expertise Rail Transportation Grade

382 views • 4 slides
Graduate Studies in Engineering and Computer Science at the University of Central Florida

Graduate Studies in Engineering and Computer Science at the University of Central Florida

Graduate Studies in Engineering and Computer Science at the University of Central Florida Department of Computer Science Dept. of Computer Science: Basic Facts q 47 faculty = 37 T/TE Faculty + 10 Intstr./Lecturer q Preliminary Fall 2017

166 views • 16 slides
Student(sid, name, addr, age, GPA) sid name addr age GPA 301 John 183 Westwood 19 2.1 303

Student(sid, name, addr, age, GPA) sid name addr age GPA 301 John 183 Westwood 19 2.1 303

Student(sid, name, addr, age, GPA) sid name addr age GPA 301 John 183 Westwood 19 2.1 303 Elaine 301 Wilshire 17 3.9 401 James 183 Westwood 17 3.5 208 Esther 421 Wilshire 20 3.1 Class(dept, cnum, sec, unit, title, instructor)

324 views • 4 slides
Improving Boundary Estimation in Audiovisual Speech Activity Detection Using Bayesian

Improving Boundary Estimation in Audiovisual Speech Activity Detection Using Bayesian

MSP - CRSS Improving Boundary Estimation in Audiovisual Speech Activity Detection Using Bayesian Information Criterion Fei Tao John H.L. Hansen Carlos Busso Multimodal Signal Processing (MSP) Laboratory , Center for Robust Speech

339 views • 19 slides
Ladder Capsule Network Taewon Joeng, Youngmin Lee, Heeyoung Kim Industrial Statistics Lab, KAIST

Ladder Capsule Network Taewon Joeng, Youngmin Lee, Heeyoung Kim Industrial Statistics Lab, KAIST

Ladder Capsule Network Taewon Joeng, Youngmin Lee, Heeyoung Kim Industrial Statistics Lab, KAIST 2019. 06. 13. ICML (c) 2019 by Taewon Jeong et.al., Industrial Statistics Laboratory, Dept. of Industrial &amp; Systems Engineering, KAIST Capsule

188 views • 8 slides
Vaccine-Preventable Diseases 1 2/16/15 I have nothing to disclose Resurgence of VPDs

Vaccine-Preventable Diseases 1 2/16/15 I have nothing to disclose Resurgence of VPDs

2/16/15 Emerging Issues in Pediatric Infections (focus on Vaccine Preventable Diseases) C A R O L G L A S E R , D V M , M P V M , M D PEDIATRIC INFECTIOUS DISEASES KAISER PERMANENTE OAKLAND &amp; DEPARTMENT OF PEDIATRICS DIVISION OF

1.18k views • 70 slides
COVID-19 Update AUGUST 13, 2020 QUESTIONS: VCHELP@FNTN.CA Outline 1. MOH Update Dr. Wadieh

COVID-19 Update AUGUST 13, 2020 QUESTIONS: VCHELP@FNTN.CA Outline 1. MOH Update Dr. Wadieh

COVID-19 Update AUGUST 13, 2020 QUESTIONS: VCHELP@FNTN.CA Outline 1. MOH Update Dr. Wadieh Yacoub 2. Current Topic School Re-Entry Dr. Parminder Thiara and Dr. Wadieh Yacoub 3. PPE Funding for Schools Aaron McEwen 3. Community

1.01k views • 85 slides
Financial Disclosures Clinical Pearls in Assessment and none Treatment Descartes Li, M.D.

Financial Disclosures Clinical Pearls in Assessment and none Treatment Descartes Li, M.D.

Somatic Symptom Disorder and Related Disorders: Financial Disclosures Clinical Pearls in Assessment and none Treatment Descartes Li, M.D. Clinical Professor University of California, San Francisco descartes.li@ucsf.edu By Oskar

491 views • 21 slides
Neonatal Abstinence Neonatal Abstinence Syndrome Management Syndrome Management Stacey Jones,

Neonatal Abstinence Neonatal Abstinence Syndrome Management Syndrome Management Stacey Jones,

Neonatal Abstinence Neonatal Abstinence Syndrome Management Syndrome Management Stacey Jones, MSN, APRN, NNP-BC Stacey Jones, MSN, APRN, NNP-BC Wesley Medical Center, Wichita KS Wesley Medical Center, Wichita KS Background Information

133 views • 12 slides
ED-Palliative Care Consult Tammie E. Quest, MD Director, Emory Palliative Care Center Professor

ED-Palliative Care Consult Tammie E. Quest, MD Director, Emory Palliative Care Center Professor

The Effective and Efficient ED-Palliative Care Consult Tammie E. Quest, MD Director, Emory Palliative Care Center Professor Emory University School of Medicine Join us for upcoming CAPC events Webinar: Growth and Development

818 views • 40 slides
Science for Future? What we can and need to change to keep climate change low Bernhard

Science for Future? What we can and need to change to keep climate change low Bernhard

Science for Future? What we can and need to change to keep climate change low Bernhard Stoevesandt, Martin Drenkmper 27.12.2019 1 What is scientist for future? S4F an association of scientists that joined together after the students ond

780 views • 66 slides
Transistors ENGR 40M lecture notes July 10, 2017 Chuan-Zheng Lee, Stanford University A

Transistors ENGR 40M lecture notes July 10, 2017 Chuan-Zheng Lee, Stanford University A

Transistors ENGR 40M lecture notes July 10, 2017 Chuan-Zheng Lee, Stanford University A transistor is an electronic device that is used to allow one electrical signal to control another electrical signal, typically larger in either voltage or

494 views • 4 slides
FinFET 3D Transistor &amp; the Concept Behind It Chenming Hu Univ. of Calif. Berkeley

FinFET 3D Transistor &amp; the Concept Behind It Chenming Hu Univ. of Calif. Berkeley

FinFET 3D Transistor &amp; the Concept Behind It Chenming Hu Univ. of Calif. Berkeley http://www.eecs.berkeley.edu/~hu/ 1 Chenming Hu, August 2011 May 4 2011 NY Times Front Page Intel will use 3D FinFET at 22nm Most radical change in

471 views • 28 slides
ECE 550D Fundamentals of Computer Systems and Engineering Fall 2016 From Transistors to Gates

ECE 550D Fundamentals of Computer Systems and Engineering Fall 2016 From Transistors to Gates

ECE 550D Fundamentals of Computer Systems and Engineering Fall 2016 From Transistors to Gates Tyler Bletsch Duke University Slides are derived from work by Andrew Hilton (Duke) Last time. (Almost) every class will start with the same

746 views • 43 slides
Harrop Municipal Drain Public Meeting #1 October 23, 2019 Hagersville Community Centre 62

Harrop Municipal Drain Public Meeting #1 October 23, 2019 Hagersville Community Centre 62

Welcome! Harrop Municipal Drain Public Meeting #1 October 23, 2019 Hagersville Community Centre 62 Main Street South 5-7pm GET INVOLVED! Please sign in on the form provided Please fill in a comment form and leave it with us tonight

475 views • 10 slides
Who Spent My EOS? On the (In)Security of Resource Management of EOS.IO Sangsup Lee , Daejun

Who Spent My EOS? On the (In)Security of Resource Management of EOS.IO Sangsup Lee , Daejun

Who Spent My EOS? On the (In)Security of Resource Management of EOS.IO Sangsup Lee , Daejun Kim , Dongkwan Kim, Sooel Son, Yongdae Kim @KAIST 1 Abstract 2K+ Cryptocurrencies 2 Abstract Resource management of EOS.IO 3 Abstract

803 views • 67 slides
HOME Homebuyer Program Policies &amp; Procedures Office Hours Webinar June 27, 2019 1 %

HOME Homebuyer Program Policies &amp; Procedures Office Hours Webinar June 27, 2019 1 %

HOME Homebuyer Program Policies &amp; Procedures Office Hours Webinar June 27, 2019 1 % !&quot;#$%&amp;&quot;'(')*+,%-.$+/%*0' !&quot;#$%#&amp;'()*+),-./%)01123')#1)411#&amp;(5*6'),#7%2$8)9&amp;#8&amp;5:% 9&amp;'%'$;'&amp;%

608 views • 27 slides
Core draining: neutronics, fluid dynamics, and heat transfer Main goals of this specific study

Core draining: neutronics, fluid dynamics, and heat transfer Main goals of this specific study

manuele.aufiero@milanomultiphysics.com ThorCon review meeting July 24-26 Hood River, OR Core draining: neutronics, fluid dynamics, and heat transfer Main goals of this specific study 1. Quantify the time required to complete the drain 2.

654 views • 48 slides
BOSTON WATER &amp; SEWER COMMISSION QUASI INDEPENDENT AUTHORITY DISTRIBUTION OF WATER

BOSTON WATER &amp; SEWER COMMISSION QUASI INDEPENDENT AUTHORITY DISTRIBUTION OF WATER

BOSTON WATER &amp; SEWER COMMISSION QUASI INDEPENDENT AUTHORITY DISTRIBUTION OF WATER SEWERAGE COLLECTION DRAINAGE CONTROL 1,020 MILES OF WATER PIPE 1,500 MILES OF SEWERS AND DRAINS 10 PUMPING STATIONS CSO PUBLIC

469 views • 10 slides
CMOS Transistor Theory (and its effects on scaling) Michael Niemier (Some slides based on

CMOS Transistor Theory (and its effects on scaling) Michael Niemier (Some slides based on

CMOS Transistor Theory (and its effects on scaling) Michael Niemier (Some slides based on lecture notes by David Harris) Nanowire-based Gates Can make very small pn junctions and diode based lgoic If each wire was just 5 nm in diameter, would

561 views • 35 slides
USING THE SOURCE WATER PROTECTION SELF-ASSESSMENT GUIDE For Non-Municipal Public Water Supply

USING THE SOURCE WATER PROTECTION SELF-ASSESSMENT GUIDE For Non-Municipal Public Water Supply

USING THE SOURCE WATER PROTECTION SELF-ASSESSMENT GUIDE For Non-Municipal Public Water Supply Systems Contamination Happens! Whats Next? What Can You Do? Source Water Protection Guide Use the information to develop long-term strategies to

807 views • 37 slides
DRAIN: Distributed Recovery Architecture for Inaccessible Nodes in Multi-core Chips Andrew DeOrio

DRAIN: Distributed Recovery Architecture for Inaccessible Nodes in Multi-core Chips Andrew DeOrio

DRAIN: Distributed Recovery Architecture for Inaccessible Nodes in Multi-core Chips Andrew DeOrio , Konstantinos Aisopos Valeria Bertacco , Li-Shiuan Peh University of Michigan Princeton University Massachusetts

225 views • 18 slides
Why care? HDD SSD Require seek, rotate, No seeks SSDs transfer on each I/O Parallel Not

Why care? HDD SSD Require seek, rotate, No seeks SSDs transfer on each I/O Parallel Not

Why care? HDD SSD Require seek, rotate, No seeks SSDs transfer on each I/O Parallel Not parallel (one head) No moving parts Brittle (moving parts) Random reads take 10s Slow (mechanical) of s Poor random I/O (10s Wears out! of ms) The Cell

239 views • 10 slides

More recommend