من خلال التحقيق في الحالات المتعلقة بالتصيد الاحتيالي وشبكات الروبوت والمعاملات الاحتيالية ومجموعات القرصنة الإجرامية، يستخدم خبراء Group-IB تحليل الرسوم البيانية لسنوات عديدة لتحديد أنواع مختلفة من الاتصالات. تحتوي الحالات المختلفة على مجموعات بيانات خاصة بها، وخوارزميات خاصة بها لتحديد الاتصالات، وواجهات مصممة لمهام محددة. تم تطوير جميع هذه الأدوات داخليًا بواسطة Group-IB وكانت متاحة لموظفينا فقط.
تحليل الرسم البياني للبنية التحتية للشبكة (الرسم البياني للشبكة) أصبحت أول أداة داخلية قمنا بدمجها في جميع المنتجات العامة للشركة. قبل إنشاء الرسم البياني للشبكة، قمنا بتحليل العديد من التطورات المماثلة في السوق ولم نعثر على منتج واحد يلبي احتياجاتنا الخاصة. سنتحدث في هذه المقالة عن كيفية إنشاء الرسم البياني للشبكة وكيف نستخدمه وما هي الصعوبات التي واجهناها.
ديمتري فولكوف ، CTO Group-IB ورئيس الاستخبارات السيبرانية
ما الذي يمكن أن يفعله الرسم البياني لشبكة Group-IB؟
التحقيقات
منذ تأسيس Group-IB في عام 2003 وحتى الوقت الحاضر، كان تحديد مجرمي الإنترنت وإدانتهم وتقديمهم إلى العدالة أولوية قصوى في عملنا. لم يكتمل أي تحقيق في الهجوم الإلكتروني دون تحليل البنية التحتية لشبكة المهاجمين. في بداية رحلتنا، كان البحث عن العلاقات التي يمكن أن تساعد في التعرف على المجرمين بمثابة "عمل يدوي" شاق إلى حد ما: معلومات حول أسماء النطاقات، وعناوين IP، والبصمات الرقمية للخوادم، وما إلى ذلك.
يحاول معظم المهاجمين التصرف بشكل مجهول قدر الإمكان على الشبكة. ومع ذلك، مثل كل الناس، فإنهم يرتكبون الأخطاء. الهدف الرئيسي لمثل هذا التحليل هو العثور على المشاريع التاريخية "البيضاء" أو "الرمادية" للمهاجمين التي لها تقاطعات مع البنية التحتية الضارة المستخدمة في الحادث الحالي الذي نحقق فيه. إذا كان من الممكن اكتشاف "المشاريع البيضاء"، فإن العثور على المهاجم، كقاعدة عامة، يصبح مهمة تافهة. في حالة "الرمادية"، يستغرق البحث المزيد من الوقت والجهد، حيث يحاول أصحابها إخفاء بيانات التسجيل أو إخفاءها، لكن الفرص تظل عالية جدًا. كقاعدة عامة، في بداية أنشطتهم الإجرامية، يولي المهاجمون اهتمامًا أقل بسلامتهم ويرتكبون المزيد من الأخطاء، لذلك كلما تمكنا من التعمق في القصة، زادت فرص نجاح التحقيق. ولهذا السبب يعد الرسم البياني للشبكة ذو التاريخ الجيد عنصرًا مهمًا للغاية في مثل هذا التحقيق. ببساطة، كلما كانت البيانات التاريخية الأعمق التي تمتلكها الشركة، كلما كان الرسم البياني لها أفضل. لنفترض أن التاريخ الممتد لخمس سنوات يمكن أن يساعد، بشكل مشروط، في حل 5-1 من كل 2 جرائم، والتاريخ الممتد لـ 10 عامًا يعطي فرصة لحل الجرائم العشر جميعها.
كشف التصيد والاحتيال
في كل مرة نتلقى فيها رابطًا مشبوهًا لمورد تصيد احتيالي أو احتيالي أو مقرصن، نقوم تلقائيًا بإنشاء رسم بياني لموارد الشبكة ذات الصلة ونتحقق من جميع المضيفين الذين تم العثور عليهم بحثًا عن محتوى مماثل. يتيح لك ذلك العثور على مواقع التصيد الاحتيالية القديمة التي كانت نشطة ولكنها غير معروفة، بالإضافة إلى مواقع جديدة تمامًا معدة لهجمات مستقبلية، ولكن لم يتم استخدامها بعد. مثال أولي يحدث كثيرًا: وجدنا موقع تصيد على خادم يحتوي على 5 مواقع فقط. ومن خلال التحقق من كل منها، نجد محتوى تصيد في مواقع أخرى، مما يعني أنه يمكننا حظر 5 بدلاً من 1.
البحث عن الواجهات الخلفية
تعد هذه العملية ضرورية لتحديد المكان الذي يوجد فيه الخادم الضار بالفعل.
99% من متاجر البطاقات ومنتديات القراصنة والعديد من موارد التصيد الاحتيالي والخوادم الضارة الأخرى مخفية خلف كل من خوادم الوكيل الخاصة بها ووكلاء الخدمات المشروعة، على سبيل المثال، Cloudflare. تعد المعرفة بالواجهة الخلفية الحقيقية أمرًا مهمًا جدًا للتحقيقات: يصبح موفر الاستضافة الذي يمكن الاستيلاء على الخادم منه معروفًا، ويصبح من الممكن بناء اتصالات مع مشاريع ضارة أخرى.
على سبيل المثال، لديك موقع تصيد احتيالي لجمع بيانات البطاقة المصرفية التي تتحول إلى عنوان IP 11.11.11.11، وعنوان متجر البطاقات الذي يتحول إلى عنوان IP 22.22.22.22. أثناء التحليل، قد يتبين أن كلا من موقع التصيد الاحتيالي ومتجر البطاقات لهما عنوان IP خلفي مشترك، على سبيل المثال، 33.33.33.33. تسمح لنا هذه المعرفة ببناء اتصال بين هجمات التصيد الاحتيالي ومتجر البطاقات حيث يمكن بيع بيانات البطاقة المصرفية.
ارتباط الحدث
عندما يكون لديك مشغلان مختلفان (على سبيل المثال، مشغل IDS) مع برامج ضارة مختلفة وخوادم مختلفة للتحكم في الهجوم، فسوف تتعامل معهما كحدثين مستقلين. ولكن إذا كان هناك اتصال جيد بين البنى التحتية الضارة، يصبح من الواضح أن هذه ليست هجمات مختلفة، ولكنها مراحل من هجوم واحد أكثر تعقيدًا ومتعدد المراحل. وإذا كان أحد الأحداث يُنسب بالفعل إلى أي مجموعة من المهاجمين، فيمكن أيضًا أن يُنسب الحدث الثاني إلى نفس المجموعة. بالطبع، عملية الإسناد أكثر تعقيدًا، لذا تعامل مع هذا كمثال بسيط.
إثراء المؤشر
لن نولي هذا الأمر الكثير من الاهتمام، نظرًا لأن هذا هو السيناريو الأكثر شيوعًا لاستخدام الرسوم البيانية في الأمن السيبراني: فأنت تعطي مؤشرًا واحدًا كمدخل، وكمخرج تحصل على مجموعة من المؤشرات ذات الصلة.
تحديد الأنماط
يعد تحديد الأنماط أمرًا ضروريًا للصيد الفعال. تتيح لك الرسوم البيانية ليس فقط العثور على العناصر ذات الصلة، ولكن أيضًا تحديد الخصائص المشتركة التي تميز مجموعة معينة من المتسللين. تتيح لك معرفة هذه الخصائص الفريدة التعرف على البنية التحتية للمهاجم حتى في مرحلة الإعداد وبدون أدلة تؤكد الهجوم، مثل رسائل البريد الإلكتروني التصيدية أو البرامج الضارة.
لماذا أنشأنا الرسم البياني للشبكة الخاصة بنا؟
مرة أخرى، نظرنا إلى الحلول المقدمة من بائعين مختلفين قبل أن نتوصل إلى استنتاج مفاده أننا بحاجة إلى تطوير أداتنا الخاصة التي يمكنها القيام بشيء لا يستطيع أي منتج حالي القيام به. لقد استغرق إنشائه عدة سنوات، قمنا خلالها بتغييره بالكامل عدة مرات. ولكن، على الرغم من فترة التطوير الطويلة، لم نجد بعد نظيرًا واحدًا يلبي متطلباتنا. وباستخدام منتجنا الخاص، تمكنا في النهاية من حل جميع المشكلات التي اكتشفناها تقريبًا في الرسوم البيانية للشبكة الموجودة. وفيما يلي سننظر في هذه المشاكل بالتفصيل:
مشكلة
حل
عدم وجود مزود بمجموعات مختلفة من البيانات: المجالات، DNS السلبي، SSL السلبي، سجلات DNS، المنافذ المفتوحة، تشغيل الخدمات على المنافذ، الملفات المتفاعلة مع أسماء النطاقات وعناوين IP. توضيح. عادة، يوفر مقدمو الخدمة أنواعًا منفصلة من البيانات، وللحصول على الصورة الكاملة، تحتاج إلى شراء اشتراكات من الجميع. ومع ذلك، ليس من الممكن دائمًا الحصول على جميع البيانات: يقدم بعض موفري SSL السلبيين بيانات فقط حول الشهادات الصادرة عن المراجع المصدقة الموثوقة، كما أن تغطيتهم للشهادات الموقعة ذاتيًا سيئة للغاية. كما توفر شركات أخرى البيانات باستخدام شهادات موقعة ذاتيًا، ولكنها تجمعها فقط من المنافذ القياسية.
لقد جمعنا كل المجموعات المذكورة أعلاه بأنفسنا. على سبيل المثال، لجمع البيانات حول شهادات SSL، قمنا بكتابة خدمتنا الخاصة التي تجمعها من المراجع المصدقة الموثوقة وعن طريق مسح مساحة IPv4 بالكامل. تم جمع الشهادات ليس فقط من IP، ولكن أيضًا من جميع النطاقات والنطاقات الفرعية من قاعدة بياناتنا: إذا كان لديك النطاق example.com والنطاق الفرعي الخاص به ويتم حلها جميعًا إلى IP 1.1.1.1، ثم عند محاولة الحصول على شهادة SSL من المنفذ 443 على عنوان IP والمجال والمجال الفرعي الخاص به، يمكنك الحصول على ثلاث نتائج مختلفة. لجمع البيانات على المنافذ المفتوحة والخدمات قيد التشغيل، كان علينا إنشاء نظام المسح الموزع الخاص بنا، لأن الخدمات الأخرى غالبًا ما كانت تحتوي على عناوين IP الخاصة بخوادم المسح الخاصة بها في "القوائم السوداء". تنتهي خوادم المسح الخاصة بنا أيضًا في القوائم السوداء، ولكن نتيجة الكشف عن الخدمات التي نحتاجها أعلى من نتيجة أولئك الذين يقومون ببساطة بمسح أكبر عدد ممكن من المنافذ وبيع الوصول إلى هذه البيانات.
عدم القدرة على الوصول إلى قاعدة البيانات الكاملة للسجلات التاريخية. توضيح. يتمتع كل مورد عادي بتاريخ متراكم جيد، ولكن لأسباب طبيعية، لم نتمكن، كعميل، من الوصول إلى جميع البيانات التاريخية. أولئك. يمكنك الحصول على السجل بأكمله لسجل واحد، على سبيل المثال، حسب المجال أو عنوان IP، ولكن لا يمكنك رؤية سجل كل شيء - وبدون ذلك لا يمكنك رؤية الصورة الكاملة.
لجمع أكبر عدد ممكن من السجلات التاريخية للنطاقات، اشترينا قواعد بيانات مختلفة، وقمنا بتحليل العديد من الموارد المفتوحة التي تحتوي على هذا التاريخ (من الجيد أن يكون هناك الكثير منها)، وتفاوضنا مع مسجلي أسماء النطاقات. يتم بالطبع الاحتفاظ بجميع التحديثات لمجموعاتنا مع سجل المراجعة الكامل.
تتيح لك جميع الحلول الحالية إنشاء رسم بياني يدويًا. توضيح. لنفترض أنك اشتريت الكثير من الاشتراكات من جميع موفري البيانات المحتملين (يُطلق عليهم عادةً اسم "المُثريات"). عندما تحتاج إلى إنشاء رسم بياني، فإنك "تعطي يديك الأمر للبناء من عنصر الاتصال المطلوب، ثم حدد العناصر الضرورية من العناصر التي تظهر وتعطي الأمر لإكمال الاتصالات منها، وما إلى ذلك. في هذه الحالة، تقع مسؤولية مدى جودة إنشاء الرسم البياني بالكامل على عاتق الشخص.
لقد قمنا بالبناء التلقائي للرسوم البيانية. أولئك. إذا كنت بحاجة إلى إنشاء رسم بياني، فسيتم إنشاء الاتصالات من العنصر الأول تلقائيًا، ثم من جميع العناصر اللاحقة أيضًا. يشير المتخصص فقط إلى العمق الذي يجب بناء الرسم البياني به. تعد عملية إكمال الرسوم البيانية تلقائيًا بسيطة، لكن البائعين الآخرين لا ينفذونها لأنها تنتج عددًا كبيرًا من النتائج غير ذات الصلة، وكان علينا أيضًا أن نأخذ هذا العيب في الاعتبار (انظر أدناه).
تمثل العديد من النتائج غير ذات الصلة مشكلة في جميع الرسوم البيانية لعناصر الشبكة. توضيح. على سبيل المثال، يرتبط "النطاق السيئ" (المشارك في الهجوم) بخادم يحتوي على 10 نطاق آخر مرتبط به على مدار السنوات العشر الماضية. عند إضافة رسم بياني يدويًا أو إنشائه تلقائيًا، يجب أن تظهر جميع هذه النطاقات الـ 500 أيضًا على الرسم البياني، على الرغم من عدم ارتباطها بالهجوم. أو، على سبيل المثال، يمكنك التحقق من مؤشر IP من تقرير الأمان الخاص بالمورد. عادةً ما يتم إصدار هذه التقارير بتأخير كبير، وغالبًا ما تمتد لمدة عام أو أكثر. على الأرجح، في الوقت الذي تقرأ فيه التقرير، يكون الخادم الذي يحمل عنوان IP هذا مؤجرًا بالفعل لأشخاص آخرين لديهم اتصالات أخرى، وسيؤدي إنشاء رسم بياني مرة أخرى إلى حصولك على نتائج غير ذات صلة.
لقد قمنا بتدريب النظام على تحديد العناصر غير ذات الصلة باستخدام نفس المنطق الذي استخدمه خبراؤنا يدويًا. على سبيل المثال، أنت تقوم بالتحقق من نطاق تالف example.com، والذي يتحول الآن إلى IP 11.11.11.11، وقبل شهر - إلى IP 22.22.22.22. بالإضافة إلى النطاق example.com، يرتبط IP 11.11.11.11 أيضًا بـ example.ru، ويرتبط IP 22.22.22.22 بـ 25 ألف نطاق آخر. يفهم النظام، مثل أي شخص، أن 11.11.11.11 هو على الأرجح خادم مخصص، وبما أن المجال example.ru يشبه في التهجئة example.com، فمن المحتمل جدًا أن يكونا متصلين ويجب أن يكونا على رسم بياني؛ لكن IP 22.22.22.22 ينتمي إلى الاستضافة المشتركة، لذلك لا يلزم تضمين جميع نطاقاتها في الرسم البياني ما لم تكن هناك اتصالات أخرى توضح أن أحد هذه النطاقات البالغ عددها 25 ألفًا يحتاج أيضًا إلى تضمينها (على سبيل المثال، example.net) . قبل أن يفهم النظام ضرورة قطع الاتصالات وعدم نقل بعض العناصر إلى الرسم البياني، فإنه يأخذ في الاعتبار العديد من خصائص العناصر والمجموعات التي يتم دمج هذه العناصر فيها، بالإضافة إلى قوة الاتصالات الحالية. على سبيل المثال، إذا كان لدينا مجموعة صغيرة (50 عنصرًا) على الرسم البياني، والتي تتضمن نطاقًا سيئًا، ومجموعة أخرى كبيرة (5 آلاف عنصر) وكلا المجموعتين متصلتان بواسطة اتصال (خط) ذو قوة (وزن) منخفض جدًا ، فسيتم قطع هذا الاتصال وستتم إزالة العناصر من المجموعة الكبيرة. ولكن إذا كان هناك العديد من الروابط بين المجموعات الصغيرة والكبيرة وزادت قوتها تدريجياً، ففي هذه الحالة لن ينقطع الاتصال وستبقى العناصر الضرورية من كلا المجموعتين على الرسم البياني.
لا يتم أخذ الفاصل الزمني لملكية الخادم والمجال في الاعتبار. توضيح. ستنتهي صلاحية "النطاقات السيئة" عاجلاً أم آجلاً وسيتم شراؤها مرة أخرى لأغراض ضارة أو مشروعة. حتى خوادم الاستضافة المضادة للرصاص يتم تأجيرها لمتسللين مختلفين، لذلك من المهم معرفة ومراعاة الفاصل الزمني الذي كان فيه نطاق/خادم معين تحت سيطرة مالك واحد. غالبًا ما نواجه موقفًا يتم فيه الآن استخدام خادم يحمل عنوان IP 11.11.11.11 كقائد وأحكام لروبوت مصرفي، وقبل شهرين تم التحكم فيه بواسطة Ransomware. إذا قمنا ببناء اتصال دون مراعاة فترات الملكية، فسيبدو أن هناك اتصالًا بين مالكي شبكة الروبوت المصرفية وبرنامج الفدية، على الرغم من عدم وجود أي اتصال في الواقع. في عملنا، مثل هذا الخطأ أمر بالغ الأهمية.
لقد علمنا النظام تحديد فترات الملكية. بالنسبة للنطاقات، يعد هذا أمرًا بسيطًا نسبيًا، لأن whois غالبًا ما يحتوي على تواريخ بدء التسجيل وانتهاء الصلاحية، وعندما يكون هناك سجل كامل لتغييرات whois، يكون من السهل تحديد الفواصل الزمنية. عندما لا تنتهي صلاحية تسجيل النطاق، ولكن يتم نقل إدارته إلى مالكين آخرين، فمن الممكن أيضًا تتبعه. ولا توجد مثل هذه المشكلة بالنسبة لشهادات SSL، لأنها تصدر مرة واحدة ولا يتم تجديدها أو نقلها. لكن مع الشهادات الموقعة ذاتيًا، لا يمكنك الوثوق بالتواريخ المحددة في فترة صلاحية الشهادة، لأنه يمكنك إنشاء شهادة SSL اليوم، وتحديد تاريخ بدء الشهادة من عام 2010. أصعب شيء هو تحديد فترات الملكية للخوادم، لأن مقدمي الاستضافة فقط هم الذين لديهم تواريخ وفترات تأجير. لتحديد فترة ملكية الخادم، بدأنا في استخدام نتائج فحص المنافذ وإنشاء بصمات الأصابع للخدمات الجاري تشغيلها على المنافذ. باستخدام هذه المعلومات، يمكننا أن نقول بدقة إلى حد ما متى تغير مالك الخادم.
اتصالات قليلة. توضيح. في الوقت الحاضر، لا توجد مشكلة في الحصول على قائمة مجانية بالنطاقات التي تحتوي على عنوان بريد إلكتروني محدد، أو اكتشاف جميع النطاقات المرتبطة بعنوان IP محدد. ولكن عندما يتعلق الأمر بالمتسللين الذين يبذلون قصارى جهدهم ليكون من الصعب تعقبهم، فإننا نحتاج إلى حيل إضافية للعثور على خصائص جديدة وبناء اتصالات جديدة.
لقد أمضينا الكثير من الوقت في البحث عن كيفية استخراج البيانات التي لم تكن متاحة بالطريقة التقليدية. لا يمكننا أن نصف هنا كيفية عمله لأسباب واضحة، ولكن في ظل ظروف معينة، يرتكب المتسللون، عند تسجيل النطاقات أو استئجار الخوادم وإعدادها، أخطاء تسمح لهم بمعرفة عناوين البريد الإلكتروني والأسماء المستعارة للمتسللين والعناوين الخلفية. كلما زاد عدد الروابط التي تستخرجها، زادت دقة الرسوم البيانية التي يمكنك إنشاؤها.
كيف يعمل الرسم البياني لدينا
لبدء استخدام الرسم البياني للشبكة، تحتاج إلى إدخال المجال أو عنوان IP أو البريد الإلكتروني أو بصمة شهادة SSL في شريط البحث. هناك ثلاثة شروط يمكن للمحلل التحكم فيها: الوقت، وعمق الخطوة، والتصفية.
وقت
الوقت - التاريخ أو الفاصل الزمني الذي تم فيه استخدام العنصر الذي تم البحث عنه لأغراض ضارة. إذا لم تحدد هذه المعلمة، فسيقوم النظام نفسه بتحديد الفاصل الزمني الأخير للملكية لهذا المورد. على سبيل المثال، في 11 يوليو، نشرت Eset حول كيفية استخدام Buhtrap لثغرة 0-day للتجسس عبر الإنترنت. هناك 6 مؤشرات في نهاية التقرير. وتمت إعادة تسجيل إحداها، وهي Secure-telemetry[.]net، في 16 يوليو. ولذلك، إذا قمت بإنشاء رسم بياني بعد 16 يوليو، فسوف تحصل على نتائج غير ذات صلة. ولكن إذا أشرت إلى أنه تم استخدام هذا المجال قبل هذا التاريخ، فإن الرسم البياني يتضمن 126 نطاقًا جديدًا و69 عنوان IP غير مدرج في تقرير Eset:
- ukrfreshnews[.]كوم
- unian-search[.]com
- فيستي-وورلد[.]معلومات
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- وآخرون.
بالإضافة إلى مؤشرات الشبكة، نجد على الفور اتصالات مع ملفات ضارة لها اتصالات بهذه البنية التحتية والعلامات التي تخبرنا باستخدام Meterpreter وAZORult.
والشيء الرائع هو أنك تحصل على هذه النتيجة خلال ثانية واحدة ولم تعد بحاجة إلى قضاء أيام في تحليل البيانات. وبطبيعة الحال، فإن هذا النهج في بعض الأحيان يقلل بشكل كبير من الوقت اللازم للتحقيقات، وهو أمر بالغ الأهمية في كثير من الأحيان.
عدد الخطوات أو عمق التكرار الذي سيتم بناء الرسم البياني به
افتراضيا، العمق هو 3. وهذا يعني أنه سيتم العثور على جميع العناصر المرتبطة مباشرة من العنصر المطلوب، ثم سيتم بناء اتصالات جديدة من كل عنصر جديد إلى العناصر الأخرى، وسيتم إنشاء عناصر جديدة من العناصر الجديدة من العنصر الأخير خطوة.
لنأخذ مثالاً لا يتعلق بهجمات APT وهجمات 0-day. في الآونة الأخيرة، تم وصف حالة احتيال مثيرة للاهتمام تتعلق بالعملات المشفرة على حبري. يشير التقرير إلى النطاق themcx[.]co، الذي يستخدمه المحتالون لاستضافة موقع ويب يزعم أنه موقع Miner Coin Exchange والبحث عن الهاتف[.]xyz لجذب حركة المرور.
يتضح من الوصف أن المخطط يتطلب بنية تحتية كبيرة إلى حد ما لجذب حركة المرور إلى الموارد الاحتيالية. قررنا أن ننظر إلى هذه البنية التحتية من خلال بناء رسم بياني في 4 خطوات. كان الناتج عبارة عن رسم بياني يحتوي على 230 نطاقًا و39 عنوان IP. بعد ذلك، نقوم بتقسيم النطاقات إلى فئتين: تلك التي تشبه خدمات العمل مع العملات المشفرة وتلك التي تهدف إلى زيادة حركة المرور من خلال خدمات التحقق من الهاتف:
ذات صلة بالعملة المشفرة
المرتبطة بخدمات اللكم الهاتف
حارس العملة[.]cc
موقع تسجيل المتصلين[.]
mcxwallet[.]co
سجلات الهاتف[.]مساحة
btcnoise[.]com
فون-كشف[.]xyz
عامل التشفير[.]مشاهدة
كشف الرقم[.]معلومات
تنظيف
افتراضيًا، يتم تمكين خيار "تنظيف الرسم البياني" وستتم إزالة جميع العناصر غير ذات الصلة من الرسم البياني. بالمناسبة، تم استخدامه في جميع الأمثلة السابقة. أتوقع سؤالًا طبيعيًا: كيف يمكننا التأكد من عدم حذف شيء مهم؟ سأجيب: بالنسبة للمحللين الذين يحبون إنشاء الرسوم البيانية يدويًا، يمكن تعطيل التنظيف الآلي ويمكن تحديد عدد الخطوات = 1. بعد ذلك، سيتمكن المحلل من إكمال الرسم البياني من العناصر التي يحتاجها وإزالة العناصر منها الرسم البياني الذي لا علاقة له بالمهمة.
بالفعل على الرسم البياني، يصبح تاريخ التغييرات في whois و DNS، بالإضافة إلى المنافذ المفتوحة والخدمات التي تعمل عليها، متاحًا للمحلل.
التصيد المالي
لقد قمنا بالتحقيق في أنشطة إحدى مجموعات APT، التي نفذت لعدة سنوات هجمات تصيد احتيالي ضد عملاء بنوك مختلفة في مناطق مختلفة. ومن السمات المميزة لهذه المجموعة تسجيل نطاقات مشابهة جدًا لأسماء البنوك الحقيقية، وكانت معظم مواقع التصيد الاحتيالي لها نفس التصميم، والاختلافات الوحيدة كانت في أسماء البنوك وشعاراتها.
في هذه الحالة، ساعدنا تحليل الرسم البياني الآلي كثيرًا. بأخذ أحد النطاقات الخاصة بهم - lloydsbnk-uk[.]com، قمنا في بضع ثوانٍ ببناء رسم بياني بعمق 3 خطوات، والذي حدد أكثر من 250 نطاقًا ضارًا استخدمتها هذه المجموعة منذ عام 2015 وما زال يتم استخدامها . وقد تم بالفعل شراء بعض هذه النطاقات من قبل البنوك، لكن السجلات التاريخية تظهر أنها كانت مسجلة مسبقًا للمهاجمين.
وللتوضيح، يوضح الشكل رسمًا بيانيًا بعمق خطوتين.
من الجدير بالذكر أنه بالفعل في عام 2019، غيّر المهاجمون تكتيكاتهم إلى حد ما وبدأوا في تسجيل ليس فقط نطاقات البنوك لاستضافة التصيد الاحتيالي على الويب، ولكن أيضًا نطاقات الشركات الاستشارية المختلفة لإرسال رسائل البريد الإلكتروني التصيدية. على سبيل المثال، النطاقات Swift-department.com، وsaudconsultancy.com، وvbgrigoryanpartners.com.
عصابة الكوبالت
في ديسمبر 2018، أرسلت مجموعة القراصنة كوبالت، المتخصصة في الهجمات المستهدفة على البنوك، حملة بريدية نيابة عن البنك الوطني لكازاخستان.
تحتوي الرسائل على روابط إلى hXXps://nationalbank.bz/Doc/Prikaz.doc. يحتوي المستند الذي تم تنزيله على ماكرو يقوم بتشغيل Powershell، والذي سيحاول تحميل الملف وتنفيذه من hXXp://wateroilclub.com/file/dwm.exe في %Temp%einmrmdmy.exe. الملف %Temp%einmrmdmy.exe المعروف أيضًا باسم dwm.exe هو جهاز CobInt تم تكوينه للتفاعل مع الخادم hXXp://admvmsopp.com/rilruietguadvtoefmuy.
تخيل عدم قدرتك على تلقي رسائل البريد الإلكتروني التصيدية هذه وإجراء تحليل كامل للملفات الضارة. يُظهر الرسم البياني للنطاق الخبيث nationalbank[.]bz على الفور الاتصالات مع المجالات الضارة الأخرى، وينسبها إلى مجموعة ويوضح الملفات التي تم استخدامها في الهجوم.
لنأخذ عنوان IP 46.173.219[.]152 من هذا الرسم البياني ونبني منه رسمًا بيانيًا في تمريرة واحدة ونوقف التنظيف. هناك 40 نطاقًا مرتبطًا به، على سبيل المثال، bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
كريبتويليبس[.]كوم
وبالحكم على أسماء النطاقات، يبدو أنها تُستخدم في مخططات احتيالية، لكن خوارزمية التنظيف أدركت أنها لا علاقة لها بهذا الهجوم ولم تضعها على الرسم البياني، مما يبسط عملية التحليل والإسناد إلى حد كبير.
إذا قمت بإعادة بناء الرسم البياني باستخدام nationalbank[.]bz، ولكن مع تعطيل خوارزمية تنظيف الرسم البياني، فسيحتوي على أكثر من 500 عنصر، معظمها لا علاقة لها بمجموعة Cobalt أو هجماتها. ويرد أدناه مثال على الشكل الذي يبدو عليه هذا الرسم البياني:
اختتام
وبعد عدة سنوات من الضبط الدقيق والاختبار في التحقيقات الحقيقية وأبحاث التهديدات ومطاردة المهاجمين، تمكنا ليس فقط من إنشاء أداة فريدة من نوعها، ولكن أيضًا من تغيير موقف الخبراء داخل الشركة تجاهها. في البداية، يريد الخبراء الفنيون التحكم الكامل في عملية إنشاء الرسم البياني. وكان من الصعب للغاية إقناعهم بأن بناء الرسم البياني التلقائي يمكن أن يفعل ذلك بشكل أفضل من شخص لديه سنوات عديدة من الخبرة. تم تحديد كل شيء بمرور الوقت وإجراء فحوصات "يدوية" متعددة لنتائج ما ينتجه الرسم البياني. والآن لا يثق خبراؤنا في النظام فحسب، بل يستخدمون أيضًا النتائج التي يحصل عليها في عملهم اليومي. تعمل هذه التقنية داخل كل نظام من أنظمتنا وتسمح لنا بتحديد التهديدات من أي نوع بشكل أفضل. تم دمج واجهة تحليل الرسم البياني اليدوي في جميع منتجات Group-IB وتوسع بشكل كبير قدرات مطاردة الجرائم الإلكترونية. وهذا ما تؤكده آراء المحللين من عملائنا. ونحن بدورنا نواصل إثراء الرسم البياني بالبيانات والعمل على خوارزميات جديدة باستخدام الذكاء الاصطناعي لإنشاء الرسم البياني الأكثر دقة للشبكة.
المصدر: www.habr.com