Ang pag-imbestigar sa mga kaso nga may kalabutan sa phishing, botnets, malimbungon nga mga transaksyon ug kriminal nga hacker nga mga grupo, ang mga eksperto sa Group-IB naggamit sa graph analysis sulod sa daghang katuigan aron sa pag-ila sa nagkalain-laing matang sa koneksyon. Ang lainlaing mga kaso adunay ilang kaugalingon nga mga set sa datos, ilang kaugalingon nga mga algorithm alang sa pag-ila sa mga koneksyon, ug mga interface nga gipahaum alang sa piho nga mga buluhaton. Ang tanan nga kini nga mga himan gihimo sa sulod sa Group-IB ug magamit ra sa among mga empleyado.
Pagtuki sa graph sa imprastraktura sa network (graph sa network) nahimong unang internal nga himan nga among gitukod sa tanang publikong produkto sa kompanya. Sa wala pa maghimo sa among network graph, among gisusi ang daghang susama nga mga kalamboan sa merkado ug wala'y nakit-an nga usa ka produkto nga nakatagbaw sa among kaugalingong mga panginahanglan. Niini nga artikulo maghisgot kami kung giunsa namo paghimo ang network graph, giunsa namo kini paggamit ug unsa nga mga kalisdanan ang among nasugatan.
Dmitry Volkov, CTO Group-IB ug pangulo sa cyber intelligence
Unsa ang mahimo sa Group-IB network graph?
Mga imbestigasyon
Sukad sa pagkatukod sa Group-IB kaniadtong 2003 hangtod karon, ang pag-ila, pag-deanoning ug pagdala sa mga cybercriminals sa hustisya mao ang panguna nga prayoridad sa among trabaho. Walay bisan usa ka imbestigasyon sa cyberattack nga kompleto nga wala pag-analisar sa imprastraktura sa network sa mga tig-atake. Sa sinugdanan pa lang sa among panaw, medyo makugihong βmanual nga trabahoβ ang pagpangita og mga relasyon nga makatabang sa pag-ila sa mga kriminal: impormasyon bahin sa mga domain name, IP address, digital fingerprints sa mga server, etc.
Kadaghanan sa mga tig-atake naningkamot nga molihok nga dili mailhan kutob sa mahimo sa network. Apan, sama sa tanang tawo, sila masayop. Ang panguna nga katuyoan sa ingon nga pagtuki mao ang pagpangita sa "puti" o "abohon" nga mga proyekto sa kasaysayan sa mga tig-atake nga adunay mga intersection sa malisyosong imprastraktura nga gigamit sa karon nga insidente nga among giimbestigahan. Kung posible nga makit-an ang "puti nga mga proyekto", nan ang pagpangita sa tig-atake, ingon nga usa ka lagda, mahimong usa ka gamay nga buluhaton. Sa kaso sa mga "gray", ang pagpangita nagkinahanglan og dugang nga panahon ug paningkamot, tungod kay ang ilang mga tag-iya misulay sa pag-anonymize o pagtago sa datos sa pagrehistro, apan ang mga kahigayonan nagpabilin nga taas. Ingon sa usa ka lagda, sa sinugdanan sa ilang mga kriminal nga mga kalihokan, ang mga tig-atake dili kaayo magtagad sa ilang kaugalingon nga kaluwasan ug makahimo og dugang nga mga sayop, mao nga ang mas lawom nga kita maka-dive sa istorya, mas taas ang kahigayonan sa usa ka malampuson nga imbestigasyon. Mao nga ang network graph nga adunay maayo nga kasaysayan usa ka labi ka hinungdanon nga elemento sa ingon nga imbestigasyon. Sa yanong pagkasulti, ang mas lawom nga datos sa kasaysayan nga naa sa usa ka kompanya, mas maayo ang graph niini. Ingnon ta nga ang 5 ka tuig nga kasaysayan makatabang sa pagsulbad, sa kondisyon, 1-2 sa 10 ka krimen, ug ang 15 ka tuig nga kasaysayan naghatag ug kahigayonan sa pagsulbad sa tanang napulo.
Phishing ug Fraud Detection
Matag higayon nga makadawat kami usa ka kadudahang link sa usa ka phishing, malimbong o pirated nga kapanguhaan, awtomatiko namon nga maghimo usa ka graph sa mga may kalabotan nga kapanguhaan sa network ug susihon ang tanan nga nakit-an nga host alang sa parehas nga sulud. Gitugotan ka niini nga makit-an ang parehas nga daan nga mga site sa phishing nga aktibo apan wala mailhi, ingon man ang mga bag-o nga giandam alang sa umaabot nga mga pag-atake, apan wala pa magamit. Usa ka pananglitan sa elementarya nga kanunay mahitabo: nakit-an namo ang phishing site sa server nga adunay 5 lang ka site. Pinaagi sa pagsusi sa matag usa kanila, atong makita ang phishing content sa ubang mga site, nga nagpasabot nga mahimo natong babagan ang 5 imbes nga 1.
Pangitaa ang mga backend
Kini nga proseso gikinahanglan aron mahibal-an kung asa gyud nagpuyo ang malisyoso nga server.
99% sa mga tindahan sa kard, mga forum sa hacker, daghang mga kahinguhaan sa phishing ug uban pang mga malisyoso nga mga server gitago sa luyo sa ilang kaugalingon nga mga proxy server ug mga proxy sa mga lehitimong serbisyo, pananglitan, Cloudflare. Ang kahibalo mahitungod sa tinuod nga backend importante kaayo alang sa mga imbestigasyon: ang hosting provider diin ang server mahimong makuha nahibal-an, ug kini nahimong posible nga magtukod og mga koneksyon sa uban pang mga malisyosong proyekto.
Pananglitan, ikaw adunay usa ka phishing site alang sa pagkolekta sa bank card data nga masulbad ngadto sa IP address 11.11.11.11, ug usa ka cardshop address nga masulbad ngadto sa IP address 22.22.22.22. Atol sa pagtuki, mahimo nga ang phishing site ug ang cardshop adunay usa ka komon nga backend IP address, pananglitan, 33.33.33.33. Kini nga kahibalo nagtugot kanamo sa paghimo og koneksyon tali sa mga pag-atake sa phishing ug usa ka tindahan sa kard diin ang data sa bank card mahimong ibaligya.
Kalambigitan sa panghitabo
Kung naa kay duha ka lainlain nga trigger ( ingnon ta sa usa ka IDS) nga adunay lainlaing malware ug lainlaing mga server aron makontrol ang pag-atake, isipon nimo sila nga duha ka independente nga mga panghitabo. Apan kung adunay maayo nga koneksyon tali sa malisyosong mga imprastraktura, nan kini mahimong klaro nga kini dili lain-laing mga pag-atake, apan ang mga yugto sa usa, mas komplikado nga multi-stage nga pag-atake. Ug kung ang usa sa mga panghitabo gipasangil na sa bisan unsang grupo sa mga tig-atake, nan ang ikaduha mahimo usab nga ikapasangil sa parehas nga grupo. Siyempre, ang proseso sa pag-ila labi ka komplikado, busa tagda kini nga usa ka yano nga pananglitan.
Pagpalambo sa timailhan
Dili kami magtagad niini, tungod kay kini ang labing kasagaran nga senaryo sa paggamit sa mga graph sa cybersecurity: naghatag ka usa ka timailhan ingon input, ug ingon usa ka output nakakuha ka usa ka han-ay sa mga may kalabutan nga mga timailhan.
Pag-ila sa mga sumbanan
Ang pag-ila sa mga sumbanan kinahanglanon alang sa epektibo nga pagpangayam. Gitugotan ka sa mga graph dili lamang nga makit-an ang mga may kalabutan nga elemento, apan aron mahibal-an usab ang mga sagad nga kabtangan nga kinaiya sa usa ka partikular nga grupo sa mga hacker. Ang kahibalo sa ingon nga talagsaon nga mga kinaiya nagtugot kanimo sa pag-ila sa imprastraktura sa tig-atake bisan sa yugto sa pagpangandam ug walay ebidensya nga nagpamatuod sa pag-atake, sama sa mga email sa phishing o malware.
Ngano nga naghimo kami sa among kaugalingon nga network graph?
Sa makausa pa, among gitan-aw ang mga solusyon gikan sa lain-laing mga vendor sa wala pa kami moabut sa konklusyon nga kinahanglan namon nga mag-develop sa among kaugalingon nga himan nga makahimo usa ka butang nga walaβy mahimo nga produkto. Nagkinahanglan kini og pipila ka mga tuig sa paghimo niini, diin kita hingpit nga nag-usab niini sa daghang mga higayon. Apan, bisan pa sa taas nga yugto sa pag-uswag, wala pa kami nakit-an nga usa ka analogue nga makatagbaw sa among mga kinahanglanon. Gamit ang kaugalingon namong produkto, nasulbad na namo ang halos tanang problema nga among nadiskobrehan sa kasamtangang mga network graph. Sa ubos atong tagdon kini nga mga problema sa detalye:
problema
desisyon
Kakulang sa usa ka provider nga adunay lainlaing mga koleksyon sa datos: mga domain, passive DNS, passive SSL, DNS record, bukas nga mga pantalan, nagdagan nga mga serbisyo sa mga pantalan, mga file nga nakig-uban sa mga ngalan sa domain ug mga IP address. Katin-awan. Kasagaran, ang mga tighatag naghatag ug lahi nga mga tipo sa datos, ug aron makuha ang tibuuk nga litrato, kinahanglan nimo nga mopalit mga suskrisyon gikan sa tanan. Bisan pa, dili kanunay posible nga makuha ang tanan nga datos: ang pipila nga passive SSL providers naghatag mga datos lamang bahin sa mga sertipiko nga gi-isyu sa mga kasaligan nga CA, ug ang ilang pagsakop sa mga sertipiko nga gipirmahan sa kaugalingon dili kaayo maayo. Ang uban naghatag usab og datos gamit ang mga sertipiko nga gipirmahan sa kaugalingon, apan gikolekta lamang kini gikan sa mga standard nga pantalan.
Gikolekta namo ang tanan nga mga koleksyon sa ibabaw sa among kaugalingon. Pananglitan, aron makolekta ang datos bahin sa mga sertipiko sa SSL, gisulat namon ang among kaugalingon nga serbisyo nga nagkolekta niini gikan sa kasaligan nga mga CA ug pinaagi sa pag-scan sa tibuuk nga wanang sa IPv4. Ang mga sertipiko gikolekta dili lamang gikan sa IP, apan usab gikan sa tanan nga mga dominyo ug mga subdomain gikan sa among database: kung ikaw adunay domain example.com ug ang subdomain niini ug silang tanan nakahukom sa IP 1.1.1.1, unya sa dihang mosulay ka nga makakuha ug SSL certificate gikan sa port 443 sa usa ka IP, domain ug subdomain niini, makakuha ka ug tulo ka lain-laing resulta. Aron makolekta ang datos sa mga bukas nga pantalan ug nagdagan nga mga serbisyo, kinahanglan namon nga maghimo sa among kaugalingon nga giapod-apod nga sistema sa pag-scan, tungod kay ang ubang mga serbisyo kanunay adunay mga IP address sa ilang mga server sa pag-scan sa "mga itom nga lista." Ang among mga server sa pag-scan napunta usab sa mga blacklist, apan ang resulta sa pag-ila sa mga serbisyo nga among gikinahanglan mas taas kaysa sa mga nag-scan lang sa daghang mga pantalan kutob sa mahimo ug nagbaligya sa pag-access sa kini nga datos.
Kakulang sa pag-access sa tibuok database sa mga rekord sa kasaysayan. Katin-awan. Ang matag normal nga supplier adunay maayo nga natipon nga kasaysayan, apan alang sa natural nga mga hinungdan kami, ingon usa ka kliyente, dili makakuha og access sa tanan nga makasaysayan nga datos. Mga. Mahimo nimong makuha ang tibuuk nga kasaysayan alang sa usa ka rekord, pananglitan, pinaagi sa domain o IP address, apan dili nimo makita ang kasaysayan sa tanan - ug kung wala kini dili nimo makita ang tibuuk nga litrato.
Aron makolekta ang daghang mga rekord sa kasaysayan sa mga dominyo kutob sa mahimo, mipalit kami og lainlaing mga database, nag-parse sa daghang mga bukas nga kapanguhaan nga adunay kini nga kasaysayan (maayo nga adunay daghan niini), ug nakigsabot sa mga tigrehistro sa ngalan sa domain. Ang tanan nga mga pag-update sa among kaugalingon nga mga koleksyon siyempre gitipigan nga adunay usa ka tibuuk nga kasaysayan sa pagbag-o.
Ang tanan nga kasamtangan nga mga solusyon nagtugot kanimo sa paghimo sa usa ka graph nga mano-mano. Katin-awan. Ingnon ta nga nakapalit ka og daghang mga suskrisyon gikan sa tanan nga posible nga mga taghatag sa datos (kasagaran gitawag nga "mga enrichers"). Kung kinahanglan nimo nga magtukod og usa ka graph, ikaw "mga kamot" naghatag sa sugo sa pagtukod gikan sa gitinguha nga elemento sa koneksyon, unya pilia ang gikinahanglan gikan sa mga elemento nga makita ug ihatag ang sugo aron makompleto ang mga koneksyon gikan kanila, ug uban pa. Sa kini nga kaso, ang responsibilidad kung unsa ka maayo ang paghimo sa graph anaa sa hingpit sa tawo.
Naghimo kami og awtomatik nga pagtukod sa mga graph. Mga. kung kinahanglan nimo nga magtukod usa ka graph, unya ang mga koneksyon gikan sa una nga elemento awtomatiko nga gitukod, unya gikan sa tanan nga nagsunod, usab. Gipakita lamang sa espesyalista ang giladmon diin kinahanglan nga tukuron ang graph. Ang proseso sa awtomatik nga pagkompleto sa mga graph yano ra, apan ang ubang mga tigbaligya wala magpatuman niini tungod kay kini nagpatunghag usa ka dako nga gidaghanon sa wala'y kalabutan nga mga resulta, ug kinahanglan usab namon nga tagdon kini nga disbentaha (tan-awa sa ubos).
Daghang wala'y kalabutan nga mga resulta ang problema sa tanan nga mga graph sa elemento sa network. Katin-awan. Pananglitan, ang usa ka "dili maayo nga domain" (nag-apil sa usa ka pag-atake) nalangkit sa usa ka server nga adunay 10 ka ubang mga dominyo nga nakig-uban niini sa miaging 500 ka tuig. Kung mano-mano ang pagdugang o awtomatik nga paghimo sa usa ka graph, kining tanan nga 500 ka mga dominyo kinahanglan usab nga makita sa graph, bisan kung wala kini kalabutan sa pag-atake. O, pananglitan, imong susihon ang IP indicator gikan sa security report sa vendor. Kasagaran, ang ingon nga mga taho gipagawas nga adunay usa ka hinungdanon nga paglangan ug sagad molungtad usa ka tuig o kapin pa. Lagmit, sa panahon nga imong gibasa ang taho, ang server nga adunay kini nga IP address giabangan na sa ubang mga tawo nga adunay ubang mga koneksyon, ug ang paghimo og usa ka graph moresulta na usab kanimo nga makakuha og walaβy kalabotan nga mga sangputanan.
Among gibansay ang sistema sa pag-ila sa wala'y kalabotan nga mga elemento gamit ang parehas nga lohika sama sa gihimo sa among mga eksperto nga mano-mano. Pananglitan, imong gisusi ang usa ka dili maayo nga domain example.com, nga karon nagsulbad sa IP 11.11.11.11, ug usa ka bulan ang milabay - sa IP 22.22.22.22. Gawas pa sa domain example.com, ang IP 11.11.11.11 gilangkit usab sa example.ru, ug ang IP 22.22.22.22 gilangkit sa 25 ka libo nga ubang mga dominyo. Ang sistema, sama sa usa ka tawo, nakasabut nga ang 11.11.11.11 lagmit usa ka dedikado nga server, ug tungod kay ang example.ru domain parehas sa spelling sa example.com, nan, nga adunay taas nga posibilidad, konektado sila ug kinahanglan nga naa sa graph; apan IP 22.22.22.22 iya sa shared hosting, mao nga ang tanan sa iyang mga dominyo dili kinahanglan nga ilakip sa graph gawas kon adunay uban nga mga koneksyon nga nagpakita nga ang usa niining 25 ka libo nga mga dominyo kinahanglan usab nga iapil (pananglitan, example.net) . Sa wala pa masabtan sa sistema nga ang mga koneksyon kinahanglan nga maputol ug ang pipila ka mga elemento dili mabalhin sa graph, kini nag-isip sa daghang mga kabtangan sa mga elemento ug mga pungpong diin kini nga mga elemento gihiusa, ingon man ang kalig-on sa kasamtangan nga mga koneksyon. Pananglitan, kung kita adunay usa ka gamay nga cluster (50 nga mga elemento) sa graph, nga naglakip sa usa ka dili maayo nga domain, ug lain nga dako nga cluster (5 ka libo nga mga elemento) ug ang duha ka cluster konektado sa usa ka koneksyon (linya) uban sa ubos kaayo nga kusog (gibug-aton) , unya ang ingon nga koneksyon maputol ug ang mga elemento gikan sa dako nga pungpong kuhaon. Apan kung adunay daghang mga koneksyon tali sa gagmay ug dagkong mga pungpong ug ang ilang kusog anam-anam nga nagdugang, nan sa kini nga kaso ang koneksyon dili maputol ug ang gikinahanglan nga mga elemento gikan sa duha ka mga cluster magpabilin sa graph.
Ang agwat sa pagpanag-iya sa server ug domain wala gikonsiderar. Katin-awan. Ang "dili maayo nga mga domain" sa madugay o sa madali ma-expire ug mapalit pag-usab alang sa malisyoso o lehitimong katuyoan. Bisan ang mga bulletproof hosting server giabangan sa lainlaing mga hacker, busa hinungdanon nga mahibal-an ug tagdon ang agwat kung ang usa ka partikular nga domain / server naa sa kontrol sa usa ka tag-iya. Kanunay namong masugatan ang usa ka sitwasyon diin ang usa ka server nga adunay IP 11.11.11.11 gigamit na karon isip C&C alang sa usa ka banking bot, ug 2 ka bulan ang milabay kini gikontrolar sa Ransomware. Kung maghimo kami usa ka koneksyon nga wala gikonsiderar ang mga agwat sa pagpanag-iya, ingon og adunay koneksyon tali sa mga tag-iya sa botnet sa pagbabangko ug sa ransomware, bisan kung sa tinuud wala. Sa among trabaho, ang ingon nga sayup hinungdanon.
Gitudloan namo ang sistema sa pagtino sa mga agwat sa pagpanag-iya. Alang sa mga dominyo kini medyo yano, tungod kay ang whois kanunay adunay mga petsa sa pagsugod sa pagparehistro ug pag-expire ug, kung adunay usa ka kompleto nga kasaysayan sa mga pagbag-o sa whois, dali nga mahibal-an ang mga agwat. Kung ang pagrehistro sa usa ka domain wala pa matapos, apan ang pagdumala niini gibalhin sa ubang mga tag-iya, mahimo usab kini masubay. Wala'y ingon nga problema alang sa mga sertipiko sa SSL, tungod kay kini gi-isyu sa makausa ug wala gibag-o o gibalhin. Apan sa mga sertipiko nga gipirmahan sa kaugalingon, dili ka makasalig sa mga petsa nga gipiho sa panahon sa pagkabalido sa sertipiko, tungod kay mahimo ka nga makamugna usa ka sertipiko sa SSL karon, ug ipiho ang petsa sa pagsugod sa sertipiko gikan sa 2010. Ang labing lisud nga butang mao ang pagtino sa mga agwat sa pagpanag-iya alang sa mga server, tungod kay ang mga taghatag lamang sa pag-host ang adunay mga petsa ug mga panahon sa pag-abang. Aron mahibal-an ang panahon sa pagpanag-iya sa server, nagsugod kami sa paggamit sa mga resulta sa pag-scan sa pantalan ug paghimo og mga fingerprint sa mga serbisyo nga nagdagan sa mga pantalan. Gamit ang kini nga kasayuran, mahimo namon nga tukma nga isulti kung nabag-o ang tag-iya sa server.
Gamay nga koneksyon. Katin-awan. Karong panahona, dili gani problema ang pagkuha og libre nga lista sa mga domain kansang whois naglangkob sa usa ka piho nga email address, o aron mahibal-an ang tanan nga mga domain nga nalangkit sa usa ka piho nga IP address. Apan kung bahin sa mga hacker nga nagbuhat sa ilang labing maayo aron lisud masubay, kinahanglan namon ang dugang nga mga limbong aron makapangita mga bag-ong kabtangan ug makatukod mga bag-ong koneksyon.
Gigugol namo ang daghang oras sa pagsiksik kung giunsa namo pagkuha ang mga datos nga dili magamit sa naandan nga paagi. Dili namo mahulagway dinhi kung giunsa kini paglihok alang sa klaro nga mga hinungdan, apan ubos sa piho nga mga kahimtang, ang mga hacker, sa pagrehistro sa mga domain o pag-abang ug pag-set up sa mga server, makahimo og mga sayop nga nagtugot kanila sa pagpangita sa mga email address, hacker alias, ug backend address. Kon mas daghang koneksyon ang imong makuha, mas tukma nga mga graph ang imong mahimo.
Giunsa ang among graph molihok
Aron masugdan ang paggamit sa network graph, kinahanglan nimong isulod ang domain, IP address, email, o SSL certificate fingerprint sa search bar. Adunay tulo ka mga kondisyon nga makontrol sa analista: oras, giladmon sa lakang, ug paghawan.
ΠΡΠ΅ΠΌΡ
Oras - petsa o agwat kung ang gipangita nga elemento gigamit alang sa makadaot nga katuyoan. Kung dili nimo ipiho kini nga parameter, ang sistema mismo ang magtino sa katapusang interval sa pagpanag-iya alang niini nga kapanguhaan. Pananglitan, niadtong Hulyo 11, gipatik ni Eset bahin sa kung giunsa gigamit ni Buhtrap ang 0-adlaw nga pagpahimulos alang sa cyber espionage. Adunay 6 nga mga timailhan sa katapusan sa taho. Usa kanila, secure-telemetry[.]net, narehistro pag-usab niadtong Hulyo 16. Busa, kung maghimo ka usa ka graph pagkahuman sa Hulyo 16, makakuha ka nga walaβy kalabotan nga mga sangputanan. Apan kung imong gipakita nga kini nga domain gigamit sa wala pa kini nga petsa, nan ang graph naglakip sa 126 ka bag-ong mga dominyo, 69 nga mga IP address nga wala nalista sa Eset report:
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-world[.]info
- runewsmeta[.]com
- foxnewsmeta [.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- ug uban pa.
Dugang sa mga indikasyon sa network, nakit-an dayon namon ang mga koneksyon sa mga makadaot nga mga file nga adunay koneksyon sa kini nga imprastraktura ug mga tag nga nagsulti kanamo nga gigamit ang Meterpreter ug AZORult.
Ang nindot nga butang mao nga makuha nimo kini nga resulta sulod sa usa ka segundo ug dili na nimo kinahanglan nga mogugol ug mga adlaw sa pag-analisar sa datos. Siyempre, kini nga pamaagi usahay makapakunhod sa oras alang sa mga imbestigasyon, nga kasagaran kritikal.
Ang gidaghanon sa mga lakang o giladmon sa recursion diin ang graph matukod
Sa kasagaran, ang giladmon mao ang 3. Kini nagpasabot nga ang tanang direktang may kalabutan nga mga elemento makit-an gikan sa gusto nga elemento, unya ang mga bag-ong koneksyon pagatukuron gikan sa matag bag-ong elemento ngadto sa ubang mga elemento, ug ang mga bag-ong elemento pagahimoon gikan sa bag-ong mga elemento gikan sa katapusan. lakang.
Atong kuhaon ang usa ka pananglitan nga walaβy kalabotan sa APT ug 0-adlaw nga pagpahimulos. Bag-ohay lang, usa ka makapaikag nga kaso sa pagpanglimbong nga may kalabutan sa mga cryptocurrencies gihulagway sa HabrΓ©. Ang taho naghisgot sa domain themcx[.]co, gigamit sa mga scammers sa pag-host sa usa ka website nga nagpatuo nga usa ka Miner Coin Exchange ug phone-lookup [.]xyz aron madani ang trapiko.
Klaro gikan sa paghulagway nga ang laraw nanginahanglan usa ka medyo dako nga imprastraktura aron madani ang trapiko sa malimbong nga mga kapanguhaan. Nakahukom kami nga tan-awon kini nga imprastraktura pinaagi sa paghimo og graph sa 4 nga mga lakang. Ang output usa ka graph nga adunay 230 ka domain ug 39 ka IP address. Sunod, gibahin namon ang mga domain sa 2 nga mga kategorya: ang parehas sa mga serbisyo alang sa pagtrabaho sa mga cryptocurrencies ug kadtong gituyo sa pagmaneho sa trapiko pinaagi sa mga serbisyo sa pag-verify sa telepono:
May kalabotan sa cryptocurrency
Nalambigit sa mga serbisyo sa pagsuntok sa telepono
coinkeeper [.]cc
caller-record [.]site.
mcxwallet[.]co
phone-records[.]space
btcnoise[.]com
fone-uncover [.]xyz
cryptominer[.]bantayan
number-uncover[.]info
ΠΡΠΈΡΡΠΊΠ°
Sa kasagaran, ang opsyon nga "Graph Cleanup" gi-enable ug ang tanan nga wala'y kalabutan nga mga elemento tangtangon gikan sa graph. Pinaagi sa dalan, kini gigamit sa tanan nga miaging mga pananglitan. Nakakita ko og natural nga pangutana: unsaon nato pagsiguro nga ang usa ka butang nga importante dili mapapas? Motubag ko: alang sa mga analista nga ganahan nga magtukod og mga graph pinaagi sa kamot, ang automated nga pagpanglimpyo mahimong ma-disable ug ang gidaghanon sa mga lakang mahimong mapili = 1. Sunod, ang analista makahimo sa pagkompleto sa graph gikan sa mga elemento nga iyang gikinahanglan ug pagtangtang sa mga elemento gikan sa ang graph nga walay kalabotan sa buluhaton.
Anaa na sa graph, ang kasaysayan sa mga pagbag-o sa whois, DNS, ingon man ang bukas nga mga pantalan ug mga serbisyo nga nagdagan sa kanila mahimong magamit sa analista.
Pinansyal nga phishing
Among gisusi ang mga kalihokan sa usa ka grupo sa APT, nga sulod sa pipila ka tuig nagpahigayon ug mga pag-atake sa phishing batok sa mga kliyente sa lain-laing mga bangko sa lain-laing mga rehiyon. Ang usa ka kinaiya nga bahin niini nga grupo mao ang pagrehistro sa mga domain nga susama kaayo sa mga ngalan sa tinuod nga mga bangko, ug kadaghanan sa mga phishing site adunay parehas nga disenyo, ang bugtong kalainan anaa sa mga ngalan sa mga bangko ug sa ilang mga logo.
Niini nga kaso, ang automated graph analysis nakatabang kaayo kanamo. Gikuha ang usa sa ilang mga domain - lloydsbnk-uk[.]com, sa pipila ka segundo nagtukod kami usa ka graph nga adunay giladmon nga 3 nga mga lakang, nga nagpaila sa labaw pa sa 250 nga makadaot nga mga domain nga gigamit sa kini nga grupo sukad sa 2015 ug padayon nga gigamit . Ang pipila niini nga mga dominyo napalit na sa mga bangko, apan ang mga rekord sa kasaysayan nagpakita nga sila kaniadto narehistro sa mga tig-atake.
Alang sa katin-aw, ang numero nagpakita sa usa ka graph nga adunay giladmon nga 2 nga mga lakang.
Mamatikdan nga sa 2019, ang mga tig-atake medyo nagbag-o sa ilang mga taktika ug nagsugod sa pagrehistro dili lamang sa mga domain sa mga bangko alang sa pag-host sa web phishing, apan usab ang mga domain sa lainlaing mga kompanya sa pagkonsulta alang sa pagpadala mga email sa phishing. Pananglitan, ang mga domain swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Cobalt gang
Kaniadtong Disyembre 2018, ang grupo sa hacker nga Cobalt, nga nag-espesyalisar sa mga target nga pag-atake sa mga bangko, nagpadala usa ka kampanya sa pagpadala sa ngalan sa National Bank of Kazakhstan.
Ang mga sulat adunay mga link sa hXXps://nationalbank.bz/Doc/Prikaz.doc. Ang na-download nga dokumento adunay usa ka macro nga naglansad sa Powershell, nga mosulay sa pagkarga ug pag-execute sa file gikan sa hXXp://wateroilclub.com/file/dwm.exe sa %Temp%einmrmdmy.exe. Ang file nga %Temp%einmrmdmy.exe aka dwm.exe usa ka CobInt stager nga gi-configure aron makig-interact sa server hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Hunahunaa nga dili makadawat sa kini nga mga email sa phishing ug maghimo usa ka hingpit nga pagtuki sa mga malisyosong file. Ang graph para sa malisyoso nga domain nga nationalbank[.]bz nagpakita dayon og mga koneksyon sa ubang malisyoso nga mga dominyo, nag-attribute niini sa usa ka grupo ug nagpakita kung unsang mga file ang gigamit sa pag-atake.
Atong kuhaon ang IP address 46.173.219[.]152 gikan niini nga graph ug maghimo ug graph gikan niini sa usa ka pass ug i-off ang pagpanglimpyo. Adunay 40 ka domain nga nalangkit niini, pananglitan, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Sa paghukom sa mga ngalan sa domain, daw gigamit kini sa mga malimbungon nga mga laraw, apan ang algorithm sa paglimpyo nakaamgo nga wala sila'y kalabutan niini nga pag-atake ug wala kini gibutang sa graph, nga nagpayano pag-ayo sa proseso sa pagtuki ug pag-ila.
Kung imong tukuron pag-usab ang graph gamit ang nationalbank[.]bz, apan dili pag-disable ang graph cleaning algorithm, nan kini maglangkob ug labaw sa 500 ka elemento, kadaghanan niini walay kalabotan sa Cobalt group o sa ilang mga pag-atake. Ang usa ka pananglitan kung unsa ang hitsura sa usa ka graph gihatag sa ubos:
konklusyon
Human sa pipila ka tuig nga maayo nga pag-tune, pagsulay sa tinuod nga mga imbestigasyon, pagpanukiduki sa hulga ug pagpangayam alang sa mga tig-atake, nakahimo kami dili lamang sa paghimo og usa ka talagsaon nga himan, apan usab sa pag-usab sa kinaiya sa mga eksperto sulod sa kompanya ngadto niini. Sa sinugdan, gusto sa mga eksperto sa teknikal ang hingpit nga pagkontrol sa proseso sa pagtukod sa graph. Ang pagkumbinser kanila nga ang awtomatik nga paghimo sa graph makahimo niini nga mas maayo kaysa usa ka tawo nga adunay daghang tuig nga kasinatian lisud kaayo. Ang tanan nadesisyonan sa oras ug daghang "manwal" nga pagsusi sa mga resulta sa kung unsa ang gihimo sa graph. Karon ang among mga eksperto dili lamang nagsalig sa sistema, apan gigamit usab ang mga resulta nga makuha niini sa ilang adlaw-adlaw nga trabaho. Kini nga teknolohiya nagtrabaho sa sulod sa matag usa sa among mga sistema ug nagtugot kanamo nga mas mailhan ang mga hulga sa bisan unsang klase. Ang interface alang sa manwal nga pagtuki sa grap kay gitukod sa tanang produkto sa Group-IB ug gipalapdan pag-ayo ang mga kapabilidad alang sa pagpangayam sa cybercrime. Gipamatud-an kini sa mga review sa analista gikan sa among mga kliyente. Ug kami, sa baylo, nagpadayon sa pagpauswag sa graph gamit ang datos ug pagtrabaho sa mga bag-ong algorithm gamit ang artipisyal nga paniktik aron mahimo ang labing tukma nga graph sa network.
Source: www.habr.com