ከማስገር፣ ቦቲኔትስ፣ የተጭበረበሩ ግብይቶች እና የወንጀል ጠላፊ ቡድኖች ጋር የተያያዙ ጉዳዮችን በመመርመር የቡድን-IB ባለሙያዎች የተለያዩ አይነት ግንኙነቶችን ለመለየት ለብዙ አመታት የግራፍ ትንታኔን ሲጠቀሙ ቆይተዋል። የተለያዩ ጉዳዮች የራሳቸው የመረጃ ስብስቦች፣ የራሳቸው ስልተ ቀመሮች ግንኙነቶችን እና ለተወሰኑ ተግባራት የተበጁ በይነገጽ አላቸው። እነዚህ ሁሉ መሳሪያዎች በቡድን-IB ከውስጥ የተገነቡ እና ለሰራተኞቻችን ብቻ ይገኙ ነበር።

የአውታረ መረብ መሠረተ ልማት ግራፍ ትንተና (የአውታረ መረብ ግራፍ) በሁሉም የኩባንያው የህዝብ ምርቶች ውስጥ የገነባነው የመጀመሪያው የውስጥ መሳሪያ ሆነ። የእኛን የአውታረ መረብ ግራፍ ከመፍጠራችን በፊት በገበያ ላይ ብዙ ተመሳሳይ እድገቶችን መርምረናል እና የራሳችንን ፍላጎት የሚያረካ አንድም ምርት አላገኘንም. በዚህ ጽሑፍ ውስጥ የኔትወርክ ግራፍ እንዴት እንደፈጠርን, እንዴት እንደምንጠቀምበት እና ምን ችግሮች እንዳጋጠሙን እንነጋገራለን.

ዲሚትሪ ቮልኮቭ, CTO ቡድን-IB እና የሳይበር ኢንተለጀንስ ኃላፊ

የቡድን-IB ኔትወርክ ግራፍ ምን ማድረግ ይችላል?

ምርመራዎች

ቡድን-IB በ2003 ከተመሠረተበት ጊዜ ጀምሮ እስካሁን ድረስ የሳይበር ወንጀለኞችን መለየት፣ ዲኖና ማድረግ እና የሳይበር ወንጀለኞችን ለፍርድ ማቅረብ በስራችን ውስጥ ቅድሚያ የሚሰጠው ጉዳይ ነው። የአጥቂዎችን የኔትወርክ መሠረተ ልማት ሳይመረምር አንድም የሳይበር ጥቃት ምርመራ አልተጠናቀቀም። በጉዟችን መጀመሪያ ላይ፣ ወንጀለኞችን ለመለየት የሚረዱ ግንኙነቶችን መፈለግ በጣም አድካሚ “የእጅ ሥራ” ነበር፡ ስለ ዶሜይን ስሞች፣ አይፒ አድራሻዎች፣ የአገልጋዮች ዲጂታል አሻራዎች፣ ወዘተ.

አብዛኛዎቹ አጥቂዎች በአውታረ መረቡ ላይ በተቻለ መጠን ስም-አልባ ሆነው ለመስራት ይሞክራሉ። ይሁን እንጂ እንደ ሁሉም ሰዎች ስህተት ይሠራሉ. የእንደዚህ አይነት ትንተና ዋና ግብ አሁን እየመረመርን ባለው ክስተት ውስጥ ጥቅም ላይ ከሚውሉት ጎጂ መሰረተ ልማቶች ጋር መገናኛ ያላቸውን አጥቂዎች "ነጭ" ወይም "ግራጫ" ታሪካዊ ፕሮጀክቶችን ማግኘት ነው. "ነጭ ፕሮጄክቶችን" ማግኘት ከተቻለ አጥቂውን ማግኘት እንደ አንድ ደንብ ቀላል ስራ ይሆናል. ባለቤቶቻቸው የመመዝገቢያ መረጃን ለመደበቅ ወይም ለመደበቅ ስለሚሞክሩ "ግራጫ" በሆኑ ሰዎች ላይ ፍለጋው የበለጠ ጊዜ እና ጥረት ይጠይቃል. እንደ ደንቡ ፣ በወንጀል ተግባሮቻቸው መጀመሪያ ላይ አጥቂዎች ለደህንነታቸው ብዙም ትኩረት አይሰጡም እና ብዙ ስህተቶችን ያደርጋሉ ፣ ስለዚህ ወደ ታሪኩ በጥልቀት ስንገባ ፣ የተሳካ ምርመራ የማድረግ እድሉ ከፍ ያለ ነው። ለዚህም ነው ጥሩ ታሪክ ያለው የአውታረ መረብ ግራፍ የዚህ አይነት ምርመራ እጅግ በጣም አስፈላጊ አካል የሆነው። በቀላል አነጋገር፣ አንድ ኩባንያ ያለው ጥልቅ ታሪካዊ መረጃ፣ ግራፉ የተሻለ ይሆናል። የ 5-አመት ታሪክ በሁኔታዊ ሁኔታ ከ 1 ወንጀሎች 2-10 ለመፍታት ይረዳል እና የ 15 ዓመት ታሪክ አስር ሁሉንም ለመፍታት እድል ይሰጣል እንበል.

ማስገር እና ማጭበርበር ማወቅ

ወደ አስጋሪ፣ የተጭበረበረ ወይም የተዘረፈ ሀብት አጠራጣሪ አገናኝ በተቀበልን ቁጥር የተዛማጅ የአውታረ መረብ ሀብቶችን ግራፍ በራስ-ሰር እንገነባለን እና ተመሳሳይ ይዘት ያላቸውን ሁሉንም የተገኙ አስተናጋጆችን እንፈትሻለን። ይሄ ሁለቱንም የቆዩ የማስገር ጣቢያዎችን እንድታገኟቸው ይፈቅድልሃል ነገርግን ያልታወቁ፣እንዲሁም ሙሉ ለሙሉ ለወደፊት ጥቃቶች የተዘጋጁ ግን ገና ጥቅም ላይ ያልዋሉ ሙሉ በሙሉ አዲስ። ብዙ ጊዜ የሚከሰት የአንደኛ ደረጃ ምሳሌ፡ 5 ጣቢያዎች ብቻ ባለው አገልጋይ ላይ የማስገር ጣቢያ አግኝተናል። እያንዳንዳቸውን በመፈተሽ፣ የማስገር ይዘትን በሌሎች ድረ-ገጾች ላይ እናገኛለን፣ ይህ ማለት ከ5 ይልቅ 1ን ማገድ እንችላለን ማለት ነው።

የኋላ ሽፋኖችን ይፈልጉ

ይህ ሂደት ተንኮል አዘል አገልጋዩ የት እንደሚኖር ለመወሰን አስፈላጊ ነው.
99% የካርድ ሱቆች፣ የጠላፊ መድረኮች፣ ብዙ የማስገር ግብዓቶች እና ሌሎች ተንኮል አዘል ሰርቨሮች ከራሳቸው ተኪ አገልጋዮች እና ከህጋዊ አገልግሎቶች ፕሮክሲዎች ጀርባ ተደብቀዋል፣ ለምሳሌ፣ Cloudflare። ስለ እውነተኛው ጀርባ ያለው እውቀት ለምርመራዎች በጣም አስፈላጊ ነው፡ አገልጋዩ ሊያዝ የሚችልበት አስተናጋጅ አቅራቢው ይታወቃል እና ከሌሎች ተንኮል አዘል ፕሮጀክቶች ጋር ግንኙነት መፍጠር ይቻል ይሆናል።

ለምሳሌ፣ የባንክ ካርድ መረጃን ለመሰብሰብ የማስገር ጣቢያ አለህ። በትንተናው ወቅት፣ የማስገር ጣቢያውም ሆነ የካርድሾፕ የጋራ የኋላ አይፒ አድራሻ እንዳላቸው ሊታወቅ ይችላል፣ ለምሳሌ፣ 11.11.11.11. ይህ እውቀት በአስጋሪ ጥቃቶች እና የባንክ ካርድ ውሂብ ሊሸጥ በሚችልበት የካርድ ሱቅ መካከል ግንኙነት እንድንፈጥር ያስችለናል።

የክስተት ትስስር

ጥቃቱን ለመቆጣጠር ሁለት የተለያዩ ቀስቅሴዎች (በአይዲኤስ እንበል) ከተለያዩ ማልዌር እና የተለያዩ ሰርቨሮች ጋር ሲኖሩዎት እንደ ሁለት ገለልተኛ ክስተቶች ይመለከቷቸዋል። ነገር ግን በተንኮል አዘል መሰረተ ልማቶች መካከል ጥሩ ግንኙነት ካለ፣ እነዚህ የተለያዩ ጥቃቶች ሳይሆኑ የአንድ፣ ይበልጥ ውስብስብ ባለብዙ ደረጃ ጥቃት ደረጃዎች መሆናቸውን ግልጽ ይሆናል። እና ከዝግጅቶቹ ውስጥ አንዱ ቀድሞውኑ ለማንኛውም አጥቂ ቡድን ከተሰጠ ፣ ሁለተኛው ደግሞ ለተመሳሳይ ቡድን ሊወሰድ ይችላል። እርግጥ ነው, የባለቤትነት ሂደቱ በጣም የተወሳሰበ ነው, ስለዚህ ይህንን እንደ ቀላል ምሳሌ ይያዙት.

አመላካች ማበልጸግ

በሳይበር ደህንነት ውስጥ ግራፎችን ለመጠቀም በጣም የተለመደው ሁኔታ ይህ ስለሆነ ለዚህ ብዙ ትኩረት አንሰጥም-አንድ አመልካች እንደ ግብአት ይሰጡታል እና እንደ ውፅዓት ደግሞ ተዛማጅ አመልካቾችን ያገኛሉ።

ቅጦችን መለየት

ውጤታማ አደን ለማግኘት ቅጦችን መለየት አስፈላጊ ነው። ግራፎች ተዛማጅ ንጥረ ነገሮችን ለማግኘት ብቻ ሳይሆን የአንድ የተወሰነ የጠላፊዎች ቡድን ባህሪ የሆኑትን የተለመዱ ባህሪያትን ለመለየት ያስችሉዎታል. የእንደዚህ አይነት ልዩ ባህሪያት እውቀት የአጥቂውን መሠረተ ልማት በዝግጅት ደረጃ ላይ እንኳን እና እንደ ማስገር ኢሜይሎች ወይም ማልዌር ያሉ ጥቃቱን የሚያረጋግጥ ማስረጃ ሳይኖር እንዲያውቁ ያስችልዎታል።

የራሳችንን የኔትወርክ ግራፍ ለምን ፈጠርን?

እንደገና፣ ምንም አይነት ምርት ሊያደርገው የማይችለውን የራሳችንን መሳሪያ ማዘጋጀት አለብን ወደሚል መደምደሚያ ከመድረሳችን በፊት ከተለያዩ አቅራቢዎች መፍትሄዎችን ተመልክተናል። እሱን ለመፍጠር ብዙ ዓመታት ፈጅቷል ፣ በዚህ ጊዜ ሙሉ በሙሉ ብዙ ጊዜ ቀይረነዋል። ነገር ግን, ረጅም የእድገት ጊዜ ቢኖርም, ፍላጎቶቻችንን የሚያረካ አንድ አናሎግ ገና አላገኘንም. የራሳችንን ምርት በመጠቀም፣ በነባር የአውታረ መረብ ግራፎች ውስጥ ያገኘናቸውን ሁሉንም ችግሮች በመጨረሻ መፍታት ቻልን። ከዚህ በታች እነዚህን ችግሮች በዝርዝር እንመለከታለን.

ችግር
ዉሳኔ

የተለያዩ የውሂብ ስብስቦች ያለው አቅራቢ እጥረት፡ ጎራዎች፣ ተገብሮ ዲ ኤን ኤስ፣ ተገብሮ SSL፣ የዲ ኤን ኤስ መዝገቦች፣ ክፍት ወደቦች፣ ወደቦች ላይ የሚሰሩ አገልግሎቶች፣ ከጎራ ስሞች እና አይፒ አድራሻዎች ጋር የሚገናኙ ፋይሎች። ማብራሪያ. በተለምዶ አቅራቢዎች የተለያዩ የውሂብ አይነቶችን ይሰጣሉ፣ እና ሙሉውን ምስል ለማግኘት ከሁሉም ሰው የደንበኝነት ምዝገባዎችን መግዛት ያስፈልግዎታል። እንዲያም ሆኖ፣ ሁሉንም መረጃዎች ማግኘት ሁልጊዜ አይቻልም፡ አንዳንድ ተገብሮ SSL አቅራቢዎች መረጃ የሚያቀርቡት በታመኑ CAs የተሰጡ የምስክር ወረቀቶችን ብቻ ነው፣ እና በራሳቸው የተፈረሙ የምስክር ወረቀቶች ሽፋን በጣም ደካማ ነው። ሌሎች ደግሞ በራስ የተፈረሙ የምስክር ወረቀቶችን በመጠቀም መረጃን ይሰጣሉ ነገር ግን ከመደበኛ ወደቦች ብቻ ይሰበስባሉ።
ከላይ ያሉትን ሁሉንም ስብስቦች በራሳችን ሰብስበናል. ለምሳሌ፣ ስለ SSL ሰርተፊኬቶች መረጃ ለመሰብሰብ፣ ሁለቱንም ከታመኑ CAs የሚሰበስብ እና ሙሉውን የIPv4 ቦታ በመቃኘት የራሳችንን አገልግሎት ጽፈናል። የምስክር ወረቀቶች የተሰበሰቡት ከአይፒ ብቻ ሳይሆን ከሁሉም ጎራዎች እና ንዑስ ጎራዎችም ከውሂብ ጎታችን ነው፡ ዶራም example.com እና ንዑስ ጎራ ካለዎት www.example.com እና ሁሉም ወደ IP 1.1.1.1 ይወስዳሉ፣ ከዚያ የኤስኤስኤል ሰርተፍኬት ወደብ 443 በአይፒ ፣ ጎራ እና ንዑስ ጎራው ላይ ለማግኘት ሲሞክሩ ሶስት የተለያዩ ውጤቶችን ማግኘት ይችላሉ። በክፍት ወደቦች እና አሂድ አገልግሎቶች ላይ መረጃ ለመሰብሰብ የራሳችንን የተከፋፈለ የፍተሻ ስርዓት መፍጠር ነበረብን ምክንያቱም ሌሎች አገልግሎቶች ብዙውን ጊዜ የእነርሱን የፍተሻ አገልጋይ አይፒ አድራሻ "በጥቁር መዝገብ" ላይ ስለነበራቸው ነው። የኛ ቅኝት ሰርቨሮች እንዲሁ በተከለከሉ መዝገብ ውስጥ ይገኛሉ፣ ነገር ግን የምንፈልጋቸውን አገልግሎቶች የመለየት ውጤቱ በተቻለ መጠን ብዙ ወደቦችን ከሚቃኙ እና የዚህን ውሂብ መዳረሻ ከሚሸጡት የበለጠ ነው።

የታሪክ መዝገቦችን አጠቃላይ የመረጃ ቋት ተደራሽነት ማጣት። ማብራሪያ. እያንዳንዱ መደበኛ አቅራቢ ጥሩ የተከማቸ ታሪክ አለው፣ ነገር ግን በተፈጥሮ ምክንያቶች እኛ እንደ ደንበኛ ሁሉንም ታሪካዊ መረጃዎች ማግኘት አልቻልንም። እነዚያ። ሙሉውን ታሪክ ለአንድ መዝገብ ለምሳሌ በጎራ ወይም በአይፒ አድራሻ ማግኘት ይችላሉ ነገር ግን የሁሉንም ነገር ታሪክ ማየት አይችሉም - እና ያለዚህ ሙሉውን ምስል ማየት አይችሉም.
በተቻለ መጠን ብዙ የታሪክ መዝገቦችን በጎራዎች ለመሰብሰብ፣ የተለያዩ የውሂብ ጎታዎችን ገዛን፣ ይህ ታሪክ ያላቸውን ብዙ ክፍት ሀብቶችን ተነተን (ብዙዎቹ መኖራቸው ጥሩ ነው) እና ከዶሜር ስም መዝጋቢዎች ጋር ተደራድረን። ሁሉም የራሳችን ስብስቦች ዝማኔዎች በእርግጥ ከሙሉ የክለሳ ታሪክ ጋር ተቀምጠዋል።

ሁሉም ነባር መፍትሄዎች ግራፍ እንዲገነቡ ያስችሉዎታል. ማብራሪያ. ከሁሉም ሊሆኑ ከሚችሉ የመረጃ አቅራቢዎች (ብዙውን ጊዜ "ማበልጸጊያዎች" ይባላሉ) ብዙ የደንበኝነት ምዝገባዎችን ገዝተዋል እንበል። ግራፍ መገንባት በሚፈልጉበት ጊዜ "እጆች" ከሚፈለገው የግንኙነት አካል ለመገንባት ትዕዛዙን ይሰጣሉ, ከዚያም አስፈላጊዎቹን ከሚታዩት ንጥረ ነገሮች ይምረጡ እና ግንኙነቶቹን ከነሱ ለማጠናቀቅ ትዕዛዝ ይስጡ, ወዘተ. በዚህ ሁኔታ, ግራፉ ምን ያህል በጥሩ ሁኔታ እንደሚገነባ ሃላፊነት ሙሉ በሙሉ በሰውየው ላይ ነው.
የግራፎችን አውቶማቲክ ግንባታ አደረግን. እነዚያ። ግራፍ መገንባት ከፈለጉ ከመጀመሪያው ኤለመንት የሚመጡ ግንኙነቶች በራስ-ሰር ይገነባሉ ፣ ከዚያ ከሁሉም ተከታይ ደግሞ እንዲሁ። ስፔሻሊስቱ ግራፉ መገንባት ያለበትን ጥልቀት ብቻ ያሳያል. ግራፎችን በራስ-ሰር የማጠናቀቅ ሂደት ቀላል ነው, ነገር ግን ሌሎች ሻጮች አይተገበሩም, ምክንያቱም እጅግ በጣም ብዙ አግባብነት የሌላቸው ውጤቶችን ስለሚያመጣ, እና ይህን ችግር ግምት ውስጥ ማስገባት ነበረብን (ከዚህ በታች ይመልከቱ).

ብዙ ተዛማጅነት የሌላቸው ውጤቶች በሁሉም የአውታረ መረብ ክፍሎች ግራፎች ላይ ችግር ናቸው። ማብራሪያ. ለምሳሌ, "መጥፎ ጎራ" (በጥቃቱ ውስጥ የተሳተፈ) ባለፉት 10 ዓመታት ውስጥ 500 ሌሎች ጎራዎች ካለው አገልጋይ ጋር የተያያዘ ነው. ግራፍ በእጅ ሲጨምሩ ወይም በራስ ሰር ሲሰሩ፣ እነዚህ ሁሉ 500 ጎራዎች እንዲሁ በግራፉ ላይ መታየት አለባቸው፣ ምንም እንኳን ከጥቃቱ ጋር ባይገናኙም። ወይም፣ ለምሳሌ፣ የአይፒ አመልካችውን ከአቅራቢው የደህንነት ሪፖርት ላይ ፈትሽ። በተለምዶ እንደዚህ ያሉ ሪፖርቶች የሚለቀቁት በከፍተኛ መዘግየት እና ብዙ ጊዜ አንድ አመት ወይም ከዚያ በላይ ነው። ምናልባትም፣ ሪፖርቱን በሚያነቡበት ጊዜ፣ ይህ አይፒ አድራሻ ያለው አገልጋይ አስቀድሞ ለሌላ ግንኙነት ለሌላቸው ሰዎች ተከራይቷል፣ እና ግራፍ መገንባት እንደገና አላስፈላጊ ውጤቶችን እንድታገኝ ያደርግሃል።
ባለሙያዎቻችን በእጅ እንዳደረጉት ተመሳሳይ አመክንዮ በመጠቀም አግባብነት የሌላቸውን አካላት ለመለየት ስርዓቱን አሰልጥነናል። ለምሳሌ፣ አሁን ወደ IP 11.11.11.11፣ እና ከአንድ ወር በፊት - ወደ IP 22.22.22.22 የሚፈታውን መጥፎ domain example.com እየፈተሹ ነው። ከ domain example.com በተጨማሪ፣ IP 11.11.11.11 ከ example.ru ጋር ተያይዟል፣ እና IP 22.22.22.22 ከሌሎች 25 ሺህ ጎራዎች ጋር የተያያዘ ነው። ስርዓቱ ልክ እንደ አንድ ሰው 11.11.11.11 ራሱን የቻለ አገልጋይ እንደሆነ ይገነዘባል ፣ እና የ example.ru ዶሜይን በሆሄያት አጻጻፍ ውስጥ ከ example.com ጋር ተመሳሳይ ስለሆነ ፣ ከዚያ ከፍ ያለ ዕድል ጋር ተገናኝተዋል እና በ ላይ መሆን አለባቸው። ግራፍ; ነገር ግን IP 22.22.22.22 የጋራ ማስተናገጃ ነው፣ ስለዚህ ሁሉም ጎራዎቹ በግራፉ ውስጥ መካተት አያስፈልጋቸውም ሌሎች ግንኙነቶች ከሌሉ በስተቀር ከእነዚህ 25 ሺህ ጎራዎች ውስጥ አንዱን ማካተት አለበት (ለምሳሌ ፣ ለምሳሌ ፣ አውታረ መረብ) . ስርዓቱ ግንኙነቶች መቋረጥ እንዳለባቸው እና አንዳንድ አካላት ወደ ግራፉ እንዳይዘዋወሩ ከመረዳቱ በፊት, እነዚህ ንጥረ ነገሮች የተጣመሩባቸውን ብዙ የንጥረ ነገሮች እና ስብስቦች ባህሪያትን እንዲሁም የአሁኑን ግንኙነቶች ጥንካሬ ግምት ውስጥ ያስገባል. ለምሳሌ, በግራፉ ላይ ትንሽ ክላስተር (50 ኤለመንቶች) ካለን, መጥፎ ጎራ ያካትታል, እና ሌላ ትልቅ ክላስተር (5 ኤለመንቶች) እና ሁለቱም ስብስቦች በጣም ዝቅተኛ ጥንካሬ (ክብደት) ባለው ግንኙነት (መስመር) የተገናኙ ናቸው. , ከዚያ እንዲህ ዓይነቱ ግንኙነት ይቋረጣል እና ከትልቅ ክላስተር ንጥረ ነገሮች ይወገዳሉ. ነገር ግን በትናንሽ እና ትላልቅ ስብስቦች መካከል ብዙ ግንኙነቶች ካሉ እና ጥንካሬያቸው ቀስ በቀስ እየጨመረ ይሄዳል, በዚህ ሁኔታ ግንኙነቱ አይቋረጥም እና ከሁለቱም ስብስቦች ውስጥ አስፈላጊዎቹ ንጥረ ነገሮች በግራፉ ላይ ይቀራሉ.

የአገልጋዩ እና የጎራ ባለቤትነት ክፍተት ከግምት ውስጥ አይገባም። ማብራሪያ. "መጥፎ ጎራዎች" ይዋል ይደር እንጂ ጊዜው ያበቃል እና ለተንኮል አዘል ወይም ህጋዊ ዓላማዎች እንደገና ይገዛሉ. ጥይት የማይበሳው ማስተናገጃ ሰርቨሮች እንኳን ለተለያዩ ጠላፊዎች ይከራያሉ፣ ስለዚህ አንድ የተወሰነ ጎራ/አገልጋይ በአንድ ባለቤት ቁጥጥር ስር በነበረበት ጊዜ ያለውን ልዩነት ማወቅ እና ግምት ውስጥ ማስገባት በጣም አስፈላጊ ነው። ብዙ ጊዜ IP 11.11.11.11 ያለው አገልጋይ አሁን ለባንክ ቦት እንደ C&C ጥቅም ላይ የሚውልበት ሁኔታ ያጋጥመናል፣ እና ከ2 ወራት በፊት በ Ransomware ተቆጣጠረ። የባለቤትነት ክፍተቶችን ከግምት ውስጥ ሳናስገባ ግንኙነት ከፈጠርን, ምንም እንኳን በእውነቱ ምንም እንኳን በባንክ ቦትኔት እና በራንሰምዌር ባለቤቶች መካከል ግንኙነት ያለ ይመስላል። በስራችን ውስጥ, እንደዚህ አይነት ስህተት ወሳኝ ነው.
የባለቤትነት ክፍተቶችን ለመወሰን ስርዓቱን አስተምረናል. ለጎራዎች ይህ በአንፃራዊነት ቀላል ነው፣ ምክንያቱም Whois ብዙውን ጊዜ የምዝገባ መጀመሪያ እና የሚያበቃበት ቀናትን ስለሚይዝ እና የሂይስ ለውጦች ሙሉ ታሪክ ሲኖር ፣ ክፍተቶቹን ለመወሰን ቀላል ነው። የጎራ ምዝገባው ካላለፈ፣ ነገር ግን አስተዳደሩ ለሌሎች ባለቤቶች ሲተላለፍ፣ መከታተልም ይችላል። ለኤስኤስኤል ሰርተፊኬቶች እንደዚህ አይነት ችግር የለም፣ ምክንያቱም አንድ ጊዜ ስለሚሰጡ እና ስላልታደሱ ወይም ስላልተላለፉ። ነገር ግን በራስ በተፈረሙ የምስክር ወረቀቶች፣ በእውቅና ማረጋገጫው ጊዜ ውስጥ የተጠቀሱትን ቀናት ማመን አይችሉም፣ ምክንያቱም ዛሬ SSL ሰርተፍኬት ማመንጨት ስለሚችሉ እና የምስክር ወረቀቱ ከ2010 የሚጀምርበትን ቀን ይግለጹ። በጣም አስቸጋሪው ነገር ለአገልጋዮች የባለቤትነት ክፍተቶችን መወሰን ነው, ምክንያቱም አስተናጋጅ አቅራቢዎች ብቻ ቀኖች እና የኪራይ ጊዜዎች ስላላቸው. የአገልጋይ ባለቤትነት ጊዜን ለመወሰን የወደብ ቅኝት ውጤቶችን መጠቀም እና በወደቦች ላይ የአሂድ አገልግሎቶችን አሻራ መፍጠር ጀመርን። ይህንን መረጃ በመጠቀም የአገልጋዩ ባለቤት መቼ እንደተቀየረ በትክክል በትክክል መናገር እንችላለን።

ጥቂት ግንኙነቶች። ማብራሪያ. በአሁኑ ጊዜ፣ ዋይስ የተወሰነ የኢሜይል አድራሻ የያዘ ነፃ የጎራዎች ዝርዝር ማግኘት ወይም ከአንድ የተወሰነ አይፒ አድራሻ ጋር የተገናኙትን ሁሉንም ጎራዎች ማግኘት እንኳን ችግር አይደለም። ነገር ግን ለመከታተል የተቻላቸውን ሁሉ የሚያደርጉ ሰርጎ ገቦችን በተመለከተ፣ አዳዲስ ንብረቶችን ለማግኘት እና አዳዲስ ግንኙነቶችን ለመገንባት ተጨማሪ ዘዴዎች ያስፈልጉናል።
በተለመደው መንገድ ያልተገኙ መረጃዎችን እንዴት ማውጣት እንደምንችል በማጥናት ብዙ ጊዜ አሳልፈናል። እዚህ ግልጽ በሆኑ ምክንያቶች እንዴት እንደሚሰራ መግለጽ አንችልም, ነገር ግን በአንዳንድ ሁኔታዎች, ሰርጎ ገቦች, ጎራዎችን ሲመዘገቡ ወይም ሲከራዩ እና ሰርቨሮችን ሲያዘጋጁ, የኢሜል አድራሻዎችን, የጠላፊ ተለዋጭ ስሞችን እና አድራሻዎችን እንዲያውቁ የሚያስችሏቸው ስህተቶች ይሠራሉ. ብዙ ግንኙነቶች ባወጡት ቁጥር የበለጠ ትክክለኛ ግራፎች መገንባት ይችላሉ።

የእኛ ግራፍ እንዴት እንደሚሰራ

የአውታረ መረብ ግራፉን መጠቀም ለመጀመር ጎራውን፣ አይፒ አድራሻውን፣ ኢሜልዎን ወይም የኤስኤስኤል የምስክር ወረቀት የጣት አሻራ በፍለጋ አሞሌው ውስጥ ማስገባት ያስፈልግዎታል። ተንታኙ ሊቆጣጠራቸው የሚችላቸው ሶስት ሁኔታዎች አሉ፡ ጊዜ፣ የእርምጃ ጥልቀት እና ማጽዳት።

Время

ጊዜ - የተፈለገው አካል ለተንኮል አዘል ዓላማዎች ጥቅም ላይ የዋለበት ቀን ወይም የጊዜ ክፍተት። ይህንን ግቤት ካልገለፁት ስርዓቱ ራሱ የዚህን ሃብት የመጨረሻውን የባለቤትነት ጊዜ ይወስናል። ለምሳሌ፣ በጁላይ 11፣ ኢሴት አሳተመ ሪፖርት ቡህትራፕ የ0-ቀን ብዝበዛን ለሳይበር ስለላ እንዴት እንደሚጠቀም። በሪፖርቱ መጨረሻ ላይ 6 አመልካቾች አሉ. ከመካከላቸው አንዱ ደህንነቱ የተጠበቀ ቴሌሜትሪ [.] ኔት፣ በጁላይ 16 እንደገና ተመዝግቧል። ስለዚህ, ከጁላይ 16 በኋላ ግራፍ ከገነቡ, ተዛማጅነት የሌላቸው ውጤቶችን ያገኛሉ. ነገር ግን ይህ ጎራ ከዚህ ቀን በፊት ጥቅም ላይ እንደዋለ ካመለከቱ፣ ግራፉ በEset ዘገባ ውስጥ ያልተዘረዘሩ 126 አዲስ ጎራዎች፣ 69 IP አድራሻዎችን ያካትታል፡-

ukrfreshnews[.] ኮም
unian-ፍለጋ[.] ኮም
vesti-ዓለም[.] መረጃ
runewsmeta[.]com
foxnewsmeta[.]ቢዝ
sobesednik-meta[.]መረጃ
rian-ua[.] መረብ
እና ሌሎች.

ከአውታረ መረብ አመልካቾች በተጨማሪ ከዚህ መሠረተ ልማት ጋር ግንኙነት ካላቸው ተንኮል-አዘል ፋይሎች ጋር እና Meterpreter እና AZORult ጥቅም ላይ እንደዋሉ የሚነግሩን መለያዎች ወዲያውኑ እናገኛለን።

ዋናው ነገር ይህንን ውጤት በአንድ ሰከንድ ውስጥ ያገኙታል እና መረጃውን ለመተንተን ቀናትን ማሳለፍ አያስፈልግም። እርግጥ ነው, ይህ አቀራረብ አንዳንድ ጊዜ ለምርመራዎች ጊዜን በእጅጉ ይቀንሳል, ይህም ብዙውን ጊዜ ወሳኝ ነው.

ግራፉ የሚገነባበት የእርምጃዎች ብዛት ወይም የድግግሞሽ ጥልቀት

በነባሪ, ጥልቀቱ 3 ነው. ይህ ማለት ሁሉም ቀጥተኛ ተዛማጅ ንጥረ ነገሮች ከተፈለገው አካል ውስጥ ይገኛሉ, ከዚያም ከእያንዳንዱ አዲስ ኤለመንቶች ወደ ሌሎች አካላት አዲስ ግንኙነቶች ይገነባሉ, እና ከመጨረሻው አዲስ ንጥረ ነገሮች አዲስ አካላት ይፈጠራሉ. ደረጃ.

ከAPT እና ከ0-ቀን ብዝበዛ ጋር ያልተገናኘ ምሳሌ እንውሰድ። በቅርቡ፣ ከክሪፕቶ ምንዛሬዎች ጋር የተያያዘ አንድ አስደሳች የማጭበርበር ጉዳይ በሀበሬ ላይ ተገልጿል። ሪፖርቱ ጎራውን themcx[.]co ይጠቅሳል፣ በአጭበርባሪዎች የሚጠቀመውን ድህረ ገጽ ለማስተናገድ የማዕድን ሳንቲም ልውውጥ እና የስልክ ፍለጋ[.] xyz ትራፊክን ለመሳብ ነው።

ከመግለጫው መረዳት እንደሚቻለው እቅዱ ትራፊክን ወደ ማጭበርበር ለመሳብ በቂ የሆነ ትልቅ መሠረተ ልማት ያስፈልገዋል። በ 4 ደረጃዎች ግራፍ በመገንባት ይህንን መሠረተ ልማት ለመመልከት ወስነናል. ውጤቱ 230 ጎራዎች እና 39 አይፒ አድራሻዎች ያሉት ግራፍ ነበር። በመቀጠል፣ ጎራዎችን በ2 ምድቦች እንከፍላቸዋለን፡ ከክሪፕቶ ምንዛሬዎች ጋር ለመስራት ከአገልግሎቶች ጋር ተመሳሳይ የሆኑ እና በስልክ ማረጋገጫ አገልግሎቶች ትራፊክ ለማሽከርከር የታሰቡ፡

ከ cryptocurrency ጋር የተያያዘ
ከስልክ ቡጢ አገልግሎቶች ጋር የተቆራኘ

ሳንቲም ጠባቂ[.]cc
ደዋይ-መዝገብ[.] ጣቢያ።

mcxwallet[.] ኮ
የስልክ መዝገቦች[.] ቦታ

btcnoise[.]com
fone-uncover[.]xyz

cryptominer[.] ይመልከቱ
ቁጥር-አግኝ[.] መረጃ

ማጽዳት

በነባሪነት “የግራፍ ማጽጃ” አማራጭ ነቅቷል እና ሁሉም ተዛማጅ ያልሆኑ አካላት ከግራፉ ላይ ይወገዳሉ። በነገራችን ላይ, በሁሉም የቀድሞ ምሳሌዎች ውስጥ ጥቅም ላይ ውሏል. አንድ የተፈጥሮ ጥያቄን አስቀድሜ እመለከታለሁ-አንድ አስፈላጊ ነገር አለመሰረዙን እንዴት ማረጋገጥ እንችላለን? እኔ መልስ እሰጣለሁ-ግራፎችን በእጃቸው መገንባት ለሚፈልጉ ተንታኞች አውቶማቲክ ማፅዳት ሊሰናከል ይችላል እና የእርምጃዎች ብዛት ሊመረጥ ይችላል = 1. በመቀጠል ተንታኙ ግራፉን ከሚያስፈልገው ንጥረ ነገሮች ውስጥ ያጠናቅቃል እና ንጥረ ነገሮችን ያስወግዳል። ከሥራው ጋር ተያያዥነት የሌላቸው ግራፍ.

ቀድሞውኑ በግራፉ ላይ ፣ በዊይስ ፣ ዲ ኤን ኤስ ፣ እንዲሁም ክፍት ወደቦች እና በእነሱ ላይ የሚሰሩ አገልግሎቶች ለውጦች ታሪክ ለተንታኙ ይገኛል።

የገንዘብ ማስገር

በተለያዩ ክልሎች ውስጥ ባሉ የተለያዩ ባንኮች ደንበኞች ላይ ለበርካታ ዓመታት የማስገር ጥቃቶችን ሲፈጽም የነበረውን የአንድ ኤፒቲ ቡድን እንቅስቃሴ መርምረናል። የዚህ ቡድን ባህሪ ከእውነተኛ ባንኮች ስም ጋር በጣም ተመሳሳይ የሆኑ የጎራዎች ምዝገባ ነበር ፣ እና አብዛኛዎቹ የማስገር ጣቢያዎች ተመሳሳይ ንድፍ ነበራቸው ፣ ልዩነታቸው በባንኮች እና በአርማዎቻቸው ላይ ብቻ ነው።

በዚህ አጋጣሚ አውቶሜትድ ግራፍ ትንተና ብዙ ረድቶናል። ከነሱ ጎራ ውስጥ አንዱን - lloydsbnk-uk[.]comን ወስደን በጥቂት ሰከንዶች ውስጥ ባለ 3 እርከኖች ጥልቀት ያለው ግራፍ ገንብተናል፣ ይህም ከ250 ጀምሮ በዚህ ቡድን ጥቅም ላይ የዋሉ ከ2015 በላይ ተንኮል አዘል ጎራዎችን ለይተን አውቀናል። . ከእነዚህ ጎራዎች መካከል አንዳንዶቹ በባንኮች የተገዙ ናቸው ነገርግን የታሪክ መዛግብት እንደሚያሳዩት ከዚህ ቀደም ለአጥቂዎች የተመዘገቡ ናቸው።

ግልጽ ለማድረግ, ስዕሉ የ 2 እርከኖች ጥልቀት ያለው ግራፍ ያሳያል.

እ.ኤ.አ. በ2019 አጥቂዎቹ ስልታቸውን በመጠኑ ቀይረው የድር ማስገርን ለማስተናገድ የባንኮችን ጎራዎች ብቻ ሳይሆን የተለያዩ አማካሪ ኩባንያዎችን የማስገር ኢሜይሎችን ለመላክ መመዝገብ መጀመራቸው ትኩረት የሚስብ ነው። ለምሳሌ፣ ጎራዎቹ swift-department.com፣ saudconsultancy.com፣ vbgrigoryanpartners.com።

ኮባልት ቡድን

እ.ኤ.አ. በታህሳስ 2018 የመረጃ ጠላፊው ቡድን ኮባልት በባንኮች ላይ ያነጣጠሩ ጥቃቶችን በመፈፀም የካዛክስታን ብሔራዊ ባንክን በመወከል የመልእክት ዘመቻ ልኳል።

ደብዳቤዎቹ ወደ hXXps://nationalbank.bz/Doc/Prikaz.doc የሚወስዱ አገናኞችን ይዘዋል። የወረደው ሰነድ Powershellን ያስጀመረ ማክሮ ይዟል፣ እሱም ፋይሉን ከ hXXp://wateroilclub.com/file/dwm.exe በ%Temp%einmrmdmy.exe ላይ ለመጫን እና ለማስፈጸም የሚሞክር። ፋይሉ %Temp%einmrmdmy.exe aka dwm.exe ከአገልጋዩ hXXp://admvmsopp.com/rilruietguadvtoefmuy ጋር መስተጋብር ለመፍጠር የተዋቀረ የCobInt ደረጃ አዘጋጅ ነው።

እነዚህን የማስገር ኢሜይሎች መቀበል እንዳልቻሉ አስቡት እና ስለ ተንኮል አዘል ፋይሎች ሙሉ ትንታኔ ያከናውኑ። የተንኮል አዘል ጎራ ብሄራዊ ባንክ[.] bz ወዲያውኑ ከሌሎች ተንኮል አዘል ጎራዎች ጋር ያለውን ግንኙነት ያሳያል፣ የቡድን መለያ ያደርገዋል እና የትኞቹ ፋይሎች በጥቃቱ ውስጥ ጥቅም ላይ እንደዋሉ ያሳያል።

ከዚህ ግራፍ የአይፒ አድራሻውን 46.173.219[.]152 እንወስድና በአንድ ማለፊያ ላይ አንድ ግራፍ እንገንባ እና ጽዳትን እናጥፋ። ከእሱ ጋር የተያያዙ 40 ጎራዎች አሉ፣ ለምሳሌ bl0ckchain[.]ug
paypal.co.uk.qlg6[.] pw
cryptoelips[.]com

በጎራ ስሞችን በመገምገም, በማጭበርበር ዘዴዎች ውስጥ ጥቅም ላይ የሚውሉ ይመስላል, ነገር ግን የጽዳት ስልተ-ቀመር ከዚህ ጥቃት ጋር እንደማይዛመዱ ተረድቶ በግራፍ ላይ አላስቀመጣቸውም, ይህም የመተንተን እና የመለኪያ ሂደትን በእጅጉ ያቃልላል.

ብሄራዊ ባንክ[.] bzን በመጠቀም ግራፉን እንደገና ከገነቡት ነገር ግን የግራፍ ማጽጃ አልጎሪዝምን ካሰናከሉ ከ 500 በላይ ንጥረ ነገሮችን ይይዛል ፣ አብዛኛዎቹ ከኮባልት ቡድን ወይም ከጥቃታቸው ጋር ምንም ግንኙነት የላቸውም። እንደዚህ ዓይነቱ ግራፍ ምን እንደሚመስል የሚያሳይ ምሳሌ ከዚህ በታች ተሰጥቷል-

መደምደሚያ

ከበርካታ ዓመታት ጥሩ ማስተካከያ በኋላ ፣ በእውነተኛ ምርመራዎች ውስጥ መሞከር ፣ የዛቻ ምርምር እና አጥቂዎችን ማደን ፣ ልዩ መሣሪያ መፍጠር ብቻ ሳይሆን በኩባንያው ውስጥ ያሉ የባለሙያዎችን አመለካከት ለመቀየርም ችለናል። መጀመሪያ ላይ የቴክኒክ ባለሙያዎች በግራፍ ግንባታ ሂደት ላይ ሙሉ ቁጥጥር ይፈልጋሉ. አውቶማቲክ የግራፍ ግንባታ ይህንን የብዙ አመት ልምድ ካለው ሰው በተሻለ ሊሰራ እንደሚችል ማሳመን እጅግ ከባድ ነበር። ሁሉም ነገር በጊዜ እና ብዙ "በእጅ" ፍተሻዎች ግራፉ ያመጣውን ውጤት ተወስኗል. አሁን የእኛ ባለሙያዎች ስርዓቱን ማመን ብቻ ሳይሆን ያገኙትን ውጤት በዕለት ተዕለት ሥራቸው ውስጥ ይጠቀማሉ. ይህ ቴክኖሎጂ በእያንዳንዳችን ስርዓታችን ውስጥ ይሰራል እና የትኛውንም አይነት ስጋቶችን በተሻለ ለመለየት ያስችለናል። በእጅ የግራፍ ትንተና በይነገጽ በሁሉም የቡድን-IB ምርቶች ውስጥ የተገነባ እና የሳይበር ወንጀል አደን ችሎታዎችን በከፍተኛ ሁኔታ ያሰፋዋል. ይህ በደንበኞቻችን በተንታኞች ግምገማዎች የተረጋገጠ ነው። እና እኛ በተራው ፣ ግራፉን በመረጃ ማበልጸግ እና በጣም ትክክለኛውን የአውታረ መረብ ግራፍ ለመፍጠር አርቴፊሻል ኢንተለጀንስ በመጠቀም በአዲስ ስልተ ቀመሮች ላይ እንሰራለን።

ምንጭ: hab.com

መውጫዎ, ግራፍ: እንዴት ጥሩ የአውታረ መረብ ግራፍ እንዳላገኘን እና የራሳችንን እንደፈጠርን