Fişinq, botnetlər, fırıldaqçı əməliyyatlar və cinayətkar haker qrupları ilə bağlı halları araşdıran Group-IB ekspertləri uzun illər müxtəlif növ əlaqələri müəyyən etmək üçün qrafik analizindən istifadə edirlər. Fərqli halların öz məlumat dəstləri, əlaqələrin müəyyən edilməsi üçün öz alqoritmləri və xüsusi tapşırıqlar üçün uyğunlaşdırılmış interfeysləri var. Bütün bu alətlər Group-IB tərəfindən daxili olaraq hazırlanmışdır və yalnız bizim əməkdaşlarımız üçün əlçatan idi.

Şəbəkə infrastrukturunun qrafik təhlili (şəbəkə qrafiki) şirkətin bütün ictimai məhsullarına daxil etdiyimiz ilk daxili alət oldu. Şəbəkə qrafikimizi yaratmazdan əvvəl biz bazarda bir çox oxşar inkişafları təhlil etdik və öz ehtiyaclarımızı ödəyən bir məhsul tapmadıq. Bu yazıda şəbəkə qrafikini necə yaratdığımızdan, ondan necə istifadə etdiyimizdən və hansı çətinliklərlə qarşılaşdığımızdan danışacağıq.

Dmitri Volkov, CTO Group-IB və kiber kəşfiyyat rəhbəri

Group-IB şəbəkə qrafiki nə edə bilər?

İstintaq

Group-IB-nin 2003-cü ildə təsis edildiyi gündən bu günə qədər kibercinayətkarların müəyyən edilməsi, onların cəzalandırılması və məsuliyyətə cəlb edilməsi işimizdə əsas prioritet olub. Hücum edənlərin şəbəkə infrastrukturu təhlil edilmədən heç bir kiberhücum təhqiqatı tamamlanmadı. Səyahətimizin əvvəlində cinayətkarları müəyyən etməyə kömək edə biləcək əlaqələri axtarmaq kifayət qədər əziyyətli “əl işi” idi: domen adları, IP ünvanları, serverlərin rəqəmsal barmaq izləri və s.

Təcavüzkarların əksəriyyəti şəbəkədə mümkün qədər anonim hərəkət etməyə çalışır. Ancaq bütün insanlar kimi onlar da səhv edirlər. Bu cür təhlilin əsas məqsədi araşdırdığımız indiki insidentdə istifadə edilən zərərli infrastrukturla kəsişmələri olan təcavüzkarların “ağ” və ya “boz” tarixi layihələrini tapmaqdır. "Ağ layihələri" aşkar etmək mümkündürsə, təcavüzkarı tapmaq, bir qayda olaraq, əhəmiyyətsiz bir işə çevrilir. "Boz" olanlar vəziyyətində, axtarış daha çox vaxt və səy tələb edir, çünki onların sahibləri qeydiyyat məlumatlarını anonimləşdirməyə və ya gizlətməyə çalışırlar, lakin şanslar olduqca yüksək olaraq qalır. Bir qayda olaraq, cinayətkar fəaliyyətlərinin başlanğıcında təcavüzkarlar öz təhlükəsizliklərinə daha az diqqət yetirirlər və daha çox səhv edirlər, buna görə də hekayəni nə qədər dərindən öyrənə bilsək, uğurlu araşdırma şansı bir o qədər yüksəkdir. Buna görə yaxşı tarixə malik şəbəkə qrafiki belə bir araşdırmanın son dərəcə vacib elementidir. Sadə dillə desək, şirkətin tarixi məlumatı nə qədər dərin olarsa, onun qrafiki bir o qədər yaxşı olar. Deyək ki, 5 illik tarix şərti olaraq 1 cinayətdən 2-10-nin açılmasına kömək edə bilər, 15 illik tarix isə on cinayətin hamısının açılmasına imkan verir.

Fişinq və Fırıldaqçılığın Aşkarlanması

Biz hər dəfə fişinq, saxtakarlıq və ya pirat resursa şübhəli keçid aldıqda, biz avtomatik olaraq əlaqəli şəbəkə resurslarının qrafikini qurur və bütün tapılmış hostları oxşar məzmuna görə yoxlayırıq. Bu, həm aktiv, lakin naməlum olan köhnə fişinq saytlarını, həm də gələcək hücumlar üçün hazırlanmış, lakin hələ istifadə olunmayan tamamilə yenilərini tapmağa imkan verir. Olduqca tez-tez baş verən elementar bir nümunə: yalnız 5 saytı olan bir serverdə fişinq saytı tapdıq. Onların hər birini yoxlamaqla biz digər saytlarda fişinq məzmununu tapırıq, yəni 5 əvəzinə 1-i bloklaya bilərik.

Arxa uçları axtarın

Bu proses zərərli serverin əslində harada olduğunu müəyyən etmək üçün lazımdır.
Kart mağazalarının, haker forumlarının, bir çox fişinq resurslarının və digər zərərli serverlərin 99%-i həm öz proxy serverlərinin, həm də qanuni xidmətlərin, məsələn, Cloudflare proksilərinin arxasında gizlənir. Real backend haqqında biliklər araşdırmalar üçün çox vacibdir: serverin ələ keçirilə biləcəyi hosting provayderi məlum olur və digər zərərli layihələrlə əlaqələr qurmaq mümkün olur.

Məsələn, sizin 11.11.11.11 IP ünvanına cavab verən bank kartı məlumatlarının toplanması üçün fişinq saytınız və 22.22.22.22 IP ünvanına uyğunlaşan kart mağazası ünvanınız var. Təhlil zamanı məlum ola bilər ki, həm fişinq saytı, həm də kart mağazası ümumi arxa IP ünvanına malikdir, məsələn, 33.33.33.33. Bu bilik bizə fişinq hücumları ilə bank kartı məlumatlarının satıla biləcəyi kart mağazası arasında əlaqə qurmağa imkan verir.

Hadisənin korrelyasiyası

Hücuma nəzarət etmək üçün müxtəlif zərərli proqram və müxtəlif serverlərə malik iki fərqli tetikleyiciniz (məsələn, bir IDS-də) olduqda, onlara iki müstəqil hadisə kimi baxacaqsınız. Lakin zərərli infrastrukturlar arasında yaxşı əlaqə varsa, o zaman məlum olur ki, bunlar fərqli hücumlar deyil, bir, daha mürəkkəb çoxmərhələli hücumun mərhələləridir. Hadisələrdən biri artıq hər hansı bir hücumçu qrupuna aid edilirsə, ikincisi də eyni qrupa aid edilə bilər. Əlbəttə ki, atribut prosesi daha mürəkkəbdir, ona görə də bunu sadə bir nümunə kimi nəzərdən keçirin.

Göstərici zənginləşdirilməsi

Biz buna çox diqqət yetirməyəcəyik, çünki bu, kibertəhlükəsizlikdə qrafiklərdən istifadə üçün ən ümumi ssenaridir: siz giriş kimi bir göstərici verirsiniz, çıxış kimi isə əlaqəli göstəricilər massivi alırsınız.

Nümunələrin müəyyən edilməsi

Nümunələrin müəyyən edilməsi effektiv ovçuluq üçün vacibdir. Qrafiklər yalnız əlaqəli elementləri tapmağa deyil, həm də müəyyən bir haker qrupuna xas olan ümumi xüsusiyyətləri müəyyən etməyə imkan verir. Bu cür unikal xüsusiyyətləri bilmək sizə hücumçunun infrastrukturunu hətta hazırlıq mərhələsində və fişinq e-poçtları və ya zərərli proqram kimi hücumu təsdiqləyən sübutlar olmadan tanımağa imkan verir.

Niyə öz şəbəkə qrafikimizi yaratdıq?

Yenə də, biz heç bir mövcud məhsulun edə bilmədiyi bir şeyi edə biləcək öz alətimizi inkişaf etdirməli olduğumuz qənaətinə gəlməzdən əvvəl müxtəlif satıcıların həllərinə baxdıq. Onun yaradılması bir neçə il çəkdi, bu müddət ərzində biz onu bir neçə dəfə tamamilə dəyişdirdik. Lakin, uzun inkişaf dövrünə baxmayaraq, hələ də tələblərimizi ödəyən bir analoq tapmamışıq. Öz məhsulumuzdan istifadə edərək, mövcud şəbəkə qrafiklərində aşkar etdiyimiz demək olar ki, bütün problemləri həll edə bildik. Aşağıda bu problemləri ətraflı nəzərdən keçirəcəyik:

problem
qərar

Müxtəlif məlumat kolleksiyaları olan bir provayderin olmaması: domenlər, passiv DNS, passiv SSL, DNS qeydləri, açıq portlar, portlarda işləyən xidmətlər, domen adları və IP ünvanları ilə qarşılıqlı əlaqədə olan fayllar. İzahat. Tipik olaraq, provayderlər ayrı-ayrı məlumat növləri təqdim edirlər və tam mənzərəni əldə etmək üçün hər kəsdən abunə almaq lazımdır. Bununla belə, bütün məlumatları əldə etmək həmişə mümkün olmur: bəzi passiv SSL provayderləri yalnız etibarlı CA-lar tərəfindən verilmiş sertifikatlar haqqında məlumat verir və onların öz-özünə imzalanmış sertifikatlarla əhatə dairəsi olduqca zəifdir. Digərləri də öz-özünə imzalanmış sertifikatlardan istifadə edərək məlumatları təmin edir, lakin onları yalnız standart portlardan toplayır.
Yuxarıdakı kolleksiyaların hamısını özümüz topladıq. Məsələn, SSL sertifikatları haqqında məlumat toplamaq üçün biz onları həm etibarlı CA-lardan, həm də bütün IPv4 məkanını skan etməklə toplayan öz xidmətimizi yazdıq. Sertifikatlar təkcə IP-dən deyil, həm də verilənlər bazamızdan bütün domenlərdən və subdomenlərdən toplanıb: əgər sizdə example.com domeni və onun subdomani varsa www.example.com və onların hamısı IP 1.1.1.1-ə cavab verir, sonra IP, domen və onun alt domenində 443 portundan SSL sertifikatı əldə etməyə çalışdığınız zaman üç fərqli nəticə əldə edə bilərsiniz. Açıq portlar və işləyən xidmətlər haqqında məlumat toplamaq üçün biz öz paylanmış skan sistemimizi yaratmalı olduq, çünki digər xidmətlər tez-tez skan edən serverlərinin IP ünvanlarını “qara siyahılar”da saxlayırdı. Bizim skan edən serverlərimiz də qara siyahılara düşür, lakin bizə lazım olan xidmətlərin aşkarlanmasının nəticəsi sadəcə mümkün qədər çox portu skan edən və bu məlumatlara girişi satanlardan daha yüksəkdir.

Tarixi qeydlərin bütün məlumat bazasına girişin olmaması. İzahat. Hər bir normal təchizatçının yaxşı yığılmış tarixi var, lakin təbii səbəblərə görə biz bir müştəri olaraq bütün tarixi məlumatlara giriş əldə edə bilmədik. Bunlar. Siz bir qeyd üçün bütün tarixçəni əldə edə bilərsiniz, məsələn, domen və ya IP ünvanı ilə, lakin siz hər şeyin tarixini görə bilməzsiniz - və bunsuz tam şəkli görə bilməzsiniz.
Domenlərdə mümkün qədər çox tarixi qeyd toplamaq üçün müxtəlif verilənlər bazaları aldıq, bu tarixçəyə malik olan bir çox açıq resursları təhlil etdik (yaxşı ki, onların çoxu var idi) və domen adı qeydiyyatçıları ilə danışıqlar apardıq. Öz kolleksiyalarımızdakı bütün yeniləmələr, əlbəttə ki, tam təftiş tarixçəsi ilə saxlanılır.

Bütün mövcud həllər qrafiki əl ilə qurmağa imkan verir. İzahat. Tutaq ki, siz bütün mümkün məlumat təminatçılarından (adətən “zənginləşdiricilər” adlanır) çoxlu abunəlik almısınız. Qrafik qurmaq lazım olduqda, istədiyiniz əlaqə elementindən qurmaq əmrini “əllər” verirsiniz, sonra görünən elementlərdən lazım olanları seçib onlardan əlaqələri tamamlamaq əmrini verirsiniz və s. Bu halda, qrafikin nə qədər yaxşı qurulacağına görə məsuliyyət tamamilə şəxsin üzərinə düşür.
Qrafiklərin avtomatik qurulmasını etdik. Bunlar. bir qrafik qurmaq lazımdırsa, onda birinci elementdən əlaqələr avtomatik olaraq qurulur, sonra bütün sonrakılardan da. Mütəxəssis yalnız qrafikin qurulması lazım olan dərinliyi göstərir. Qrafiklərin avtomatik doldurulması prosesi sadədir, lakin digər istehsalçılar bunu həyata keçirmirlər, çünki bu, çoxlu sayda uyğunsuz nəticələr verir və biz də bu çatışmazlığı nəzərə almalı olduq (aşağıya bax).

Bir çox əlaqəsiz nəticələr bütün şəbəkə elementi qrafiklərində problemdir. İzah. Məsələn, “pis domen” (hücumda iştirak etmiş) son 10 il ərzində onunla əlaqəli 500 digər domeni olan serverlə əlaqələndirilir. Qrafiki əl ilə əlavə edərkən və ya avtomatik qurarkən, hücumla əlaqəli olmasa da, bütün bu 500 domenlər də qrafikdə görünməlidir. Və ya, məsələn, satıcının təhlükəsizlik hesabatından IP göstəricisini yoxlayırsınız. Tipik olaraq, bu cür hesabatlar əhəmiyyətli bir gecikmə ilə buraxılır və çox vaxt bir il və ya daha çox müddətə yayılır. Çox güman ki, siz hesabatı oxuduğunuz zaman bu IP ünvanlı server artıq başqa əlaqələri olan digər insanlara icarəyə verilib və qrafik qurmaq yenə də aidiyyatı olmayan nəticələr əldə etmənizlə nəticələnəcək.
Mütəxəssislərimizin əl ilə etdiyi məntiqdən istifadə edərək, sistemə uyğun olmayan elementləri müəyyən etmək üçün öyrətdik. Məsələn, indi IP 11.11.11.11-ə, bir ay əvvəl isə IP 22.22.22.22-yə cavab verən pis example.com domenini yoxlayırsınız. example.com domenindən başqa IP 11.11.11.11 də example.ru ilə, IP 22.22.22.22 isə 25 min başqa domenlə əlaqələndirilir. Sistem, bir şəxs kimi, 11.11.11.11-in çox güman ki, ayrılmış server olduğunu başa düşür və example.ru domeni orfoqrafiya baxımından example.com-a bənzədiyindən, yüksək ehtimalla, onlar bağlıdır və olmalıdır. qrafik; lakin IP 22.22.22.22 paylaşılan hostinqə aiddir, ona görə də bu 25 min domendən birinin də daxil edilməsinin lazım olduğunu göstərən başqa əlaqələr olmadığı halda onun bütün domenlərinin qrafikə daxil edilməsinə ehtiyac yoxdur (məsələn, example.net) . Sistem əlaqələrin qırılması və bəzi elementlərin qrafikə köçürülməməsi lazım olduğunu başa düşməzdən əvvəl, bu elementlərin birləşdirildiyi elementlərin və çoxluqların bir çox xüsusiyyətlərini, həmçinin cari əlaqələrin gücünü nəzərə alır. Məsələn, qrafikdə pis domeni ehtiva edən kiçik bir çoxluq (50 element) varsa və başqa bir böyük klaster (5 min element) varsa və hər iki klaster çox aşağı gücə (çəki) malik bir əlaqə (xətt) ilə bağlıdırsa. , onda belə bir əlaqə pozulacaq və böyük klasterdən elementlər çıxarılacaq. Amma kiçik və böyük klasterlər arasında çoxlu əlaqə varsa və onların gücü getdikcə artırsa, bu halda əlaqə pozulmayacaq və hər iki klasterdən lazımi elementlər qrafikdə qalacaq.

Server və domen sahibliyi intervalı nəzərə alınmır. İzahat. “Pis domenlər” gec-tez bitəcək və zərərli və ya qanuni məqsədlər üçün yenidən alınacaq. Hətta güllə keçirməyən hostinq serverləri müxtəlif hakerlərə icarəyə verilir, ona görə də müəyyən bir domenin/serverin bir sahibin nəzarəti altında olduğu intervalı bilmək və nəzərə almaq çox vacibdir. Biz tez-tez belə bir vəziyyətlə qarşılaşırıq ki, IP 11.11.11.11 olan server indi bank botu üçün C&C kimi istifadə olunur və 2 ay əvvəl ona Ransomware tərəfindən nəzarət edilirdi. Mülkiyyət intervallarını nəzərə almadan əlaqə qursaq, əslində heç bir əlaqə olmasa da, bank botnetinin sahibləri ilə ransomware arasında əlaqə olduğu kimi görünəcək. Bizim işimizdə belə bir səhv kritikdir.
Biz sistemə sahiblik intervallarını təyin etməyi öyrətdik. Domenlər üçün bu nisbətən sadədir, çünki whois tez-tez qeydiyyatın başlanğıc və bitmə tarixlərini ehtiva edir və whois dəyişikliklərinin tam tarixçəsi olduqda, intervalları müəyyən etmək asandır. Domenin qeydiyyat müddəti bitmədikdə, lakin onun idarə edilməsi digər sahiblərə ötürülürsə, onu da izləmək olar. SSL sertifikatları üçün belə bir problem yoxdur, çünki onlar bir dəfə verilir və yenilənmir və köçürülmür. Lakin özünü imzalayan sertifikatlarla siz sertifikatın etibarlılıq müddətində göstərilən tarixlərə etibar edə bilməzsiniz, çünki siz bu gün SSL sertifikatı yarada və sertifikatın başlanğıc tarixini 2010-cu ildən təyin edə bilərsiniz. Ən çətini serverlər üçün sahiblik intervallarını müəyyən etməkdir, çünki yalnız hostinq provayderlərinin icarə tarixləri və müddətləri var. Server sahiblik müddətini müəyyən etmək üçün biz port skanının nəticələrindən istifadə etməyə və portlarda işləyən xidmətlərin barmaq izlərini yaratmağa başladıq. Bu məlumatdan istifadə edərək, server sahibinin nə vaxt dəyişdiyini dəqiq deyə bilərik.

Az bağlantılar. İzah. İndiki vaxtda whois-ində müəyyən bir e-poçt ünvanı olan domenlərin pulsuz siyahısını əldə etmək və ya müəyyən bir IP ünvanı ilə əlaqəli bütün domenləri tapmaq problem deyil. Ancaq izləmək çətin olmaq üçün əllərindən gələni edən hakerlərə gəldikdə, yeni xüsusiyyətlər tapmaq və yeni əlaqələr qurmaq üçün əlavə tövsiyələrə ehtiyacımız var.
Ənənəvi şəkildə mövcud olmayan məlumatları necə çıxara biləcəyimizi araşdırmaq üçün çox vaxt sərf etdik. Aydın səbəblərdən onun necə işlədiyini burada təsvir edə bilmərik, lakin müəyyən hallarda hakerlər domenləri qeydiyyatdan keçirərkən və ya serverləri icarəyə götürərkən və quraşdırarkən e-poçt ünvanlarını, haker ləqəblərini və arxa uç ünvanlarını tapmağa imkan verən səhvlərə yol verirlər. Nə qədər çox əlaqə çıxarsanız, bir o qədər dəqiq qrafiklər qura bilərsiniz.

Qrafikimiz necə işləyir

Şəbəkə qrafikindən istifadə etməyə başlamaq üçün axtarış çubuğuna domen, IP ünvanı, e-poçt və ya SSL sertifikatı barmaq izini daxil etməlisiniz. Analitikin nəzarət edə biləcəyi üç şərt var: vaxt, addım dərinliyi və təmizlənmə.

vaxt

Vaxt – axtarılan elementin zərərli məqsədlər üçün istifadə edildiyi tarix və ya interval. Bu parametri göstərməsəniz, sistem özü bu resurs üçün son sahiblik intervalını təyin edəcək. Məsələn, iyulun 11-də Eset nəşr etdi məlumat Buhtrap-ın kibercasusluq üçün 0 günlük istismardan necə istifadə etdiyi haqqında. Hesabatın sonunda 6 göstərici var. Onlardan biri olan security-telemetry[.]net iyulun 16-da yenidən qeydiyyatdan keçib. Buna görə də, 16 iyuldan sonra qrafik qursanız, əhəmiyyətsiz nəticələr əldə edəcəksiniz. Ancaq bu domenin bu tarixdən əvvəl istifadə edildiyini göstərsəniz, qrafikə Eset hesabatında qeyd olunmayan 126 yeni domen, 69 IP ünvanı daxildir:

• ukrfreshnews[.]com
• unian-search[.]com
• vesti-world[.]info
• runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]info
• rian-ua[.]net
• və s.

Şəbəkə göstəricilərinə əlavə olaraq, biz dərhal bu infrastrukturla əlaqəsi olan zərərli fayllarla əlaqələri və Meterpreter və AZORult istifadə edildiyini bildirən etiketləri tapırıq.

Ən yaxşısı odur ki, bu nəticəni bir saniyə ərzində əldə edirsiniz və artıq məlumatları təhlil etmək üçün günlər sərf etməyə ehtiyac yoxdur. Əlbəttə ki, bu yanaşma bəzən çox vaxt kritik olan araşdırmalar üçün vaxtı əhəmiyyətli dərəcədə azaldır.

Qrafikin qurulacağı addımların sayı və ya rekursiya dərinliyi

Varsayılan olaraq, dərinlik 3-dür. Bu o deməkdir ki, bütün birbaşa əlaqəli elementlər istədiyiniz elementdən tapılacaq, sonra hər yeni elementdən digər elementlərə yeni əlaqələr qurulacaq və sonuncu elementdən yeni elementlərdən yeni elementlər yaradılacaq. addım.

APT və 0 günlük istismarlara aid olmayan bir nümunə götürək. Bu yaxınlarda Habré-də kriptovalyutalarla bağlı maraqlı bir fırıldaq hadisəsi təsvir edilmişdir. Hesabatda fırıldaqçılar tərəfindən Miner Coin Exchange və trafiki cəlb etmək üçün telefon axtarışı[.]xyz kimi təqdim edilən veb-saytın yerləşdirilməsi üçün istifadə edilən themcx[.]co domenindən bəhs edilir.

Təsvirdən aydın olur ki, sxem saxta resurslara trafik cəlb etmək üçün kifayət qədər böyük infrastruktur tələb edir. 4 addımda bir qrafik quraraq bu infrastruktura baxmaq qərarına gəldik. Çıxış 230 domen və 39 IP ünvanı olan bir qrafik idi. Sonra, biz domenləri 2 kateqoriyaya ayırırıq: kriptovalyutalarla işləmək xidmətlərinə bənzəyənlər və telefon yoxlama xidmətləri vasitəsilə trafiki idarə etmək üçün nəzərdə tutulanlar:

Kriptovalyuta ilə əlaqəli
Telefonun sındırma xidmətləri ilə əlaqələndirilir

sikkə ustası[.]cc
zəng edəni qeyd edən[.]sayt.

mcxwallet[.]co
telefon qeydləri[.]boşluğu

btcnoise[.]com
fone-uncover[.]xyz

kriptominer[.]saat
nömrə-açıq[.]məlumat

Təmizləmə

Varsayılan olaraq, "Qrafik Təmizləmə" seçimi aktivdir və bütün uyğun olmayan elementlər qrafikdən silinəcəkdir. Yeri gəlmişkən, əvvəlki bütün nümunələrdə istifadə edilmişdir. Mən təbii bir sualı qabaqcadan görürəm: vacib bir şeyin silinməməsinə necə əmin ola bilərik? Cavab verəcəm: qrafikləri əl ilə qurmağı sevən analitiklər üçün avtomatlaşdırılmış təmizləmə söndürülə bilər və addımların sayı = 1 seçilə bilər. Sonra analitik qrafiki ona lazım olan elementlərdən tamamlaya və elementləri silə biləcək. tapşırığa aidiyyatı olmayan qrafik.

Artıq qrafikdə whois, DNS, eləcə də açıq portlar və onlarda işləyən xidmətlərdəki dəyişikliklərin tarixi analitik üçün əlçatan olur.

Maliyyə fişinqi

Biz bir neçə il ərzində müxtəlif regionlarda müxtəlif bankların müştərilərinə qarşı fişinq hücumları həyata keçirən bir APT qrupunun fəaliyyətini araşdırdıq. Bu qrupun xarakterik xüsusiyyəti real bankların adlarına çox oxşar domenlərin qeydiyyatı idi və fişinq saytlarının əksəriyyəti eyni dizayna malik idi, fərq yalnız bankların adlarında və onların loqolarında idi.

Bu halda, avtomatlaşdırılmış qrafik analizi bizə çox kömək etdi. Onların domenlərindən birini - lloydsbnk-uk[.]com-u götürərək, bir neçə saniyə ərzində bu qrup tərəfindən 3-ci ildən bəri istifadə edilən və istifadə olunmağa davam edən 250-dən çox zərərli domeni müəyyən edən 2015 addım dərinliyi olan bir qrafik qurduq. . Bu domenlərin bəziləri artıq banklar tərəfindən alınıb, lakin tarixi qeydlər göstərir ki, onlar əvvəllər təcavüzkarlar üçün qeydiyyatdan keçiblər.

Aydınlıq üçün rəqəm 2 addım dərinliyi olan bir qrafiki göstərir.

Maraqlıdır ki, artıq 2019-cu ildə təcavüzkarlar öz taktikalarını bir qədər dəyişərək təkcə veb-fişinq hostinqi üçün bankların domenlərini deyil, həm də fişinq e-poçtlarının göndərilməsi üçün müxtəlif konsaltinq şirkətlərinin domenlərini qeydiyyata almağa başlayıblar. Məsələn, swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com domenləri.

Kobalt dəstəsi

2018-ci ilin dekabrında banklara məqsədyönlü hücumlar üzrə ixtisaslaşan “Cobalt” haker qrupu Qazaxıstan Milli Bankı adından poçt kampaniyası göndərib.

Məktublarda hXXps://nationalbank.bz/Doc/Prikaz.doc-a keçidlər var idi. Yüklənmiş sənəddə hXXp://wateroilclub.com/file/dwm.exe ünvanından %Temp%einmrmdmy.exe-də faylı yükləməyə və icra etməyə cəhd edən Powershell-i işə salan makro var. %Temp%einmrmdmy.exe aka dwm.exe faylı hXXp://admvmsopp.com/rilruietguadvtoefmuy serveri ilə qarşılıqlı əlaqədə olmaq üçün konfiqurasiya edilmiş CobInt mərhələ cihazıdır.

Təsəvvür edin ki, bu fişinq e-poçtlarını ala bilməyəcək və zərərli faylların tam təhlilini apara bilməyəcəksiniz. Nationalbank[.]bz zərərli domeninin qrafiki dərhal digər zərərli domenlərlə əlaqəni göstərir, onu qrupa aid edir və hücumda hansı faylların istifadə olunduğunu göstərir.

Gəlin bu qrafikdən 46.173.219[.]152 IP ünvanını götürək və bir keçiddə ondan qrafik quraq və təmizləməni söndürək. Onunla əlaqəli 40 domen var, məsələn, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

Domen adlarına əsasən, görünür, onlar saxta sxemlərdə istifadə olunur, lakin təmizləmə alqoritmi onların bu hücumla əlaqəli olmadığını başa düşdü və onları qrafikə salmadı, bu da təhlil və atribusiya prosesini xeyli asanlaşdırır.

Əgər siz milli bank[.]bz-dən istifadə edərək qrafiki yenidən qursanız, lakin qrafiki təmizləmə alqoritmini söndürsəniz, o zaman o, 500-dən çox elementdən ibarət olacaq, onların əksəriyyətinin Cobalt qrupu və ya onların hücumları ilə heç bir əlaqəsi yoxdur. Belə bir qrafikin necə göründüyünə dair bir nümunə aşağıda verilmişdir:

Nəticə

Bir neçə il incə tənzimləmə, real araşdırmalarda sınaq, təhlükə araşdırması və təcavüzkarların ovlanmasından sonra biz nəinki unikal alət yaratmağa, həm də şirkət daxilindəki mütəxəssislərin ona münasibətini dəyişməyə nail olduq. Əvvəlcə texniki ekspertlər qrafikin qurulması prosesinə tam nəzarət etmək istəyirlər. Onları avtomatik qrafik quruluşunun bunu uzun illər təcrübəsi olan bir insandan daha yaxşı edə biləcəyinə inandırmaq olduqca çətin idi. Hər şey zamanla və qrafikin yaratdığı nəticələrin çoxsaylı “əllə” yoxlanılması ilə qərar verildi. İndi mütəxəssislərimiz sistemə etibar etməklə yanaşı, onun əldə etdiyi nəticələrdən də gündəlik işlərində istifadə edirlər. Bu texnologiya hər bir sistemimizin daxilində işləyir və istənilən növ təhlükələri daha yaxşı müəyyən etməyə imkan verir. Əl qrafiki təhlili üçün interfeys bütün Group-IB məhsullarına daxil edilib və kibercinayətkarlıq ovunun imkanlarını əhəmiyyətli dərəcədə genişləndirir. Bu, müştərilərimizin analitik rəyləri ilə təsdiqlənir. Biz isə öz növbəmizdə qrafiki verilənlərlə zənginləşdirməyə davam edirik və ən dəqiq şəbəkə qrafikini yaratmaq üçün süni intellektdən istifadə edərək yeni alqoritmlər üzərində işləyirik.

Mənbə: www.habr.com