ProHoster > Blog > Amministrazione > U vostru modu fora, gràficu: cumu ùn avemu micca truvatu un bonu gràficu di rete è criatu u nostru

U vostru modu fora, gràficu: cumu ùn avemu micca truvatu un bonu gràficu di rete è criatu u nostru

U vostru modu fora, gràficu: cumu ùn avemu micca truvatu un bonu gràficu di rete è criatu u nostru

Investigazione di casi ligati à phishing, botnets, transazzioni fraudulenti è gruppi di pirate criminali, l'esperti Group-IB anu utilizatu l'analisi grafica per parechji anni per identificà diversi tipi di cunnessione. Diversi casi anu u so propiu setti di dati, i so algoritmi per identificà e cunnessione, è interfacce adattati per e funzioni specifiche. Tutti questi strumenti sò stati sviluppati internamente da Group-IB è sò dispunibuli solu per i nostri impiegati.

Analisi grafica di l'infrastruttura di rete (graficu di a rete) divintò u primu strumentu internu chì avemu custruitu in tutti i prudutti publichi di a cumpagnia. Prima di creà u nostru graficu di a rete, avemu analizatu assai sviluppi simili nantu à u mercatu è ùn truvamu micca un solu pruduttu chì hà sappiutu i nostri bisogni. In questu articulu parlemu di cumu avemu creatu u graficu di a rete, cumu l'utilizamu è chì difficultà avemu scontru.

Dmitri Volkov, CTO Group-IB è capu di cyberintelligence

Chì pò fà u graficu di a rete Group-IB?

Investigazioni

Dapoi a fundazione di u Gruppu-IB in u 2003 finu à oghje, l'identificazione, a deanificazione è a purtà di i cibercriminali in a ghjustizia hè stata una prima priorità in u nostru travagliu. Nisuna investigazione di ciberattaccu hè stata cumpleta senza analizà l'infrastruttura di rete di l'attaccanti. À l'iniziu di u nostru viaghju, era un "travagliu manuale" piuttostu struitu per circà relazioni chì puderanu aiutà à identificà i criminali: infurmazione nantu à nomi di duminiu, indirizzi IP, impronte digitali di servitori, etc.

A maiò parte di l'attaccanti pruvate à agisce in modu anonimu quant'è pussibule in a reta. Tuttavia, cum'è tutte e persone, facenu sbagli. L'obiettivu principale di una tale analisi hè di truvà prughjetti storichi "bianchi" o "grigi" di l'attaccanti chì anu intersezzione cù l'infrastruttura maliciosa utilizata in l'incidentu attuale chì avemu investigatu. Se hè pussibule detectà "prughjetti bianchi", allora truvà l'attaccante, in regula, diventa un compitu triviale. In u casu di "grigi", a ricerca pigghia più tempu è sforzu, postu chì i so patroni pruvate d'anonimà o di ammuccià e dati di registrazione, ma i chances fermanu abbastanza altu. In regula, à l'iniziu di e so attività criminali, l'attaccanti prestanu menu attenzione à a so propria salvezza è facenu più sbagli, per quessa, u più prufonda pudemu immerse in a storia, più alta hè a probabilità di una investigazione successu. Hè per quessa chì un graficu di rete cù una bona storia hè un elementu estremamente impurtante di una tale investigazione. Simply put, i dati storichi più profondi chì una cumpagnia hà, megliu u so graficu. Dicemu chì una storia di 5 anni pò aiutà à risolve, cundizionalmente, 1-2 di 10 crimini, è una storia di 15 anni dà una chance di risolve tutti i deci.

Rilevazione di phishing è fraude

Ogni volta chì ricevemu un ligame sospettu à una risorsa di phishing, fraudulenta o pirata, custruemu automaticamente un graficu di risorse di rete cunnesse è verificate tutti l'ospiti truvati per cuntenutu simili. Questu permette di truvà i dui vechji siti di phishing chì eranu attivi ma scunnisciuti, è ancu di quelli completamente novi chì sò preparati per attacchi futuri, ma ùn sò micca ancu usati. Un esempiu elementariu chì si trova abbastanza spessu: avemu trovu un situ di phishing in un servitore cù solu 5 siti. Cuntrollà ognunu di elli, truvamu cuntenutu di phishing in altri siti, chì significa chì pudemu bluccà 5 invece di 1.

Ricerca di backends

Stu prucessu hè necessariu per determinà induve u servitore maliziusu si trova in realtà.
U 99% di i buttreghi di carte, i fori di pirate, assai risorse di phishing è altri servitori maliziusi sò oculati daretu à i so servitori proxy è proxy di servizii legittimi, per esempiu, Cloudflare. A cunniscenza di u backend veru hè assai impurtante per l'investigazioni: u fornitore d'ospiti da quale u servitore pò esse sequestratu diventa cunnisciutu, è diventa pussibule di custruisce cunnessione cù altri prughjetti maliziusi.

Per esempiu, avete un situ di phishing per a cullizzioni di dati di carte bancaria chì si risolve à l'indirizzu IP 11.11.11.11, è un indirizzu cardshop chì si risolve à l'indirizzu IP 22.22.22.22. Durante l'analisi, pò esce chì u situ di phishing è u cardshop anu un indirizzu IP backend cumuni, per esempiu, 33.33.33.33. Questa cunniscenza ci permette di custruisce una cunnessione trà attacchi di phishing è una buttrega di carte induve e dati di carte bancarie ponu esse venduti.

Correlazione di l'avvenimenti

Quandu avete dui triggers diffirenti (per dì nantu à un IDS) cù malware diffirenti è servitori diffirenti per cuntrullà l'attaccu, li trattarete cum'è dui avvenimenti indipendenti. Ma s'ellu ci hè una bona cunnessione trà infrastrutture maliziusi, allora diventa evidenti chì ùn sò micca attacchi diffirenti, ma tappe di un attaccu multi-stage più cumplessu. È se unu di l'avvenimenti hè digià attribuitu à qualsiasi gruppu di attaccanti, allura u sicondu pò ancu esse attribuitu à u stessu gruppu. Di sicuru, u prucessu di attribuzione hè assai più cumplessu, cusì trattate questu cum'è un esempiu simplice.

L'arricchimentu di l'indicatori

Ùn faremu micca assai attenzione à questu, postu chì questu hè u scenariu più cumuni per l'usu di grafici in cibersigurtà: dà un indicatore cum'è input, è cum'è output uttene una serie di indicatori rilativi.

Identificà mudelli

Identificà mudelli hè essenziale per una caccia efficace. I grafici permettenu micca solu di truvà elementi cunnessi, ma ancu di identificà proprietà cumuni chì sò caratteristiche di un gruppu particulari di pirate. A cunniscenza di tali caratteristiche uniche permette di ricunnosce l'infrastruttura di l'attaccante ancu in a fase di preparazione è senza evidenza chì cunfirmà l'attaccu, cum'è e-mail di phishing o malware.

Perchè avemu creatu u nostru propiu graficu di rete?

In novu, avemu vistu suluzioni da diversi venditori prima di ghjunghje à a cunclusione chì avemu bisognu di sviluppà u nostru propiu strumentu chì puderia fà qualcosa chì nisun pruduttu esistente puderia fà. Pigliò parechji anni per creà, durante quale avemu cambiatu cumplettamente parechje volte. Ma, malgradu u longu periodu di sviluppu, ùn avemu micca truvatu un solu analogu chì soddisfà i nostri bisogni. Utilizendu u nostru propiu pruduttu, avemu statu eventualmente capaci di risolve quasi tutti i prublemi chì avemu scupertu in i grafici di rete esistenti. Quì sottu cunsideremu questi prublemi in detail:

prublemu
dicisioni

Mancanza di un fornitore cù diverse cullizzioni di dati: duminii, DNS passivi, SSL passivi, DNS records, porti aperti, esecuzione di servizii nantu à i porti, schedarii chì interagiscenu cù nomi di duminiu è indirizzi IP. Spiegazione. Di genere, i fornituri furniscenu tippi separati di dati, è per piglià a stampa completa, avete bisognu di cumprà abbonamenti da tutti. Ancu cusì, ùn hè micca sempre pussibule di ottene tutte e dati: certi fornituri SSL passivi furniscenu dati solu nantu à i certificati emessi da CA di fiducia, è a so copertura di certificati autofirmati hè assai povera. L'altri furniscenu ancu dati cù certificati autofirmati, ma cullighjanu solu da i porti standard.
Avemu cullatu tutte e cullezzione sopra noi stessi. Per esempiu, per cullà dati nantu à i certificati SSL, avemu scrittu u nostru propiu serviziu chì raccoglie sia da CA di fiducia è scannendu tuttu u spaziu IPv4. I certificati sò stati cullati micca solu da l'IP, ma ancu da tutti i duminii è i subdominii da a nostra basa di dati: se avete u duminiu example.com è u so subdominiu www.example.com è tutti risolve à l'IP 1.1.1.1, allora quandu pruvate d'ottene un certificatu SSL da u portu 443 nantu à un IP, duminiu è u so subdominiu, pudete ottene trè risultati diffirenti. Per cullà e dati nantu à i porti aperti è i servizii in esecuzione, avemu avutu à creà u nostru propiu sistema di scanning distribuitu, perchè altri servizii avianu spessu l'indirizzi IP di i so servitori di scanning in "liste nere". I nostri servitori di scanning finiscinu ancu nantu à e liste nere, ma u risultatu di detectà i servizii chì avemu bisognu hè più altu ch'è quellu di quelli chì simpricimenti scansanu quant'è più porti pussibule è vendenu l'accessu à questa dati.

Mancanza di accessu à tutta a basa di dati di registri storichi. Spiegazione. Ogni fornitore normale hà una bona storia accumulata, ma per ragioni naturali noi, cum'è un cliente, ùn pudia micca accede à tutte e dati storichi. Quelli. Pudete ottene tutta a storia per un unicu registru, per esempiu, per duminiu o indirizzu IP, ma ùn pudete micca vede a storia di tuttu - è senza questu ùn pudete micca vede a stampa completa.
Per cullà quant'è parechji registri storichi nantu à i duminii pussibuli, avemu compru diverse basa di dati, analizate assai risorsi aperti chì avianu sta storia (hè bonu chì ci era parechje), è negoziatu cù i registratori di nomi di duminiu. Tutte l'aghjurnamenti di e nostre cullezzione sò naturalmente guardati cù una storia di revisione completa.

Tutte e soluzioni esistenti permettenu di custruisce un graficu manualmente. Spiegazione. Diciamu chì avete compru assai abbonamenti da tutti i pussibili fornitori di dati (di solitu chjamati "enrichers"). Quandu avete bisognu di custruisce un gràficu, "manu" dà u cumandamentu per custruisce da l'elementu di cunnessione desideratu, dopu selezziunate i necessarii da l'elementi chì appariscenu è dà u cumandamentu per cumprità e cunnessione da elli, è cusì. In questu casu, a rispunsabilità di quantu bè u gràficu serà custruitu hè solu cù a persona.
Avemu fattu custruzzione automatica di grafici. Quelli. s'è avete bisognu di custruisce un gràficu, allora e cunnessione da u primu elementu sò custruiti in autumàticu, da tutti i seguenti, ancu. U specialistu indica solu a prufundità à quale u graficu deve esse custruitu. U prucessu di cumplettà automaticamente i grafici hè simplice, ma altri venditori ùn l'implementanu micca perchè pruduce un gran numaru di risultati irrilevanti, è avemu avutu ancu piglià in contu stu inconveniente (vede sottu).

Parechji risultati irrilevanti sò un prublema cù tutti i grafici di elementi di rete. Spiegazione. Per esempiu, un "dominiu cattivu" (participatu à un attaccu) hè assuciatu cù un servitore chì hà 10 altri domini assuciati cù questu in l'ultimi 500 anni. Quandu aghjunghjenu manualmente o automaticamente custruendu un gràficu, tutti questi domini 500 anu ancu apparsu nantu à u graficu, ancu s'ellu ùn sò micca ligati à l'attaccu. O, per esempiu, verificate l'indicatore IP da u rapportu di sicurità di u venditore. Di genere, tali rapporti sò liberati cun un ritardu significativu è spessu spannu un annu o più. Hè assai prubabile, à u mumentu chì leghjite u rapportu, u servitore cù questu indirizzu IP hè digià affittatu à altre persone cù altre cunnessione, è a custruzzione di un graficu hà da esse tornatu à ottene risultati irrilevanti.
Avemu furmatu u sistema per identificà elementi irrilevanti utilizendu a stessa logica chì i nostri esperti anu fattu manualmente. Per esempiu, vi cuntrollà un duminiu male example.com, chì avà risolve à IP 11.11.11.11, è un mese fà - à IP 22.22.22.22. In più di u duminiu example.com, IP 11.11.11.11 hè ancu assuciatu cù example.ru, è IP 22.22.22.22 hè assuciatu cù 25 mila altri domini. U sistema, cum'è una persona, capisce chì 11.11.11.11 hè più prubabilmente un servitore dedicatu, è postu chì u duminiu example.ru hè simile in ortografia à example.com, allora, cù una probabilità alta, sò cunnessi è deve esse nantu à u. graficu; ma l'IP 22.22.22.22 appartene à l'ospiti spartuti, cusì tutti i so domini ùn anu micca bisognu di esse inclusi in u graficu, salvu chì ci sò altre cunnessione chì mostranu chì unu di sti 25 mila duminii deve ancu esse inclusu (per esempiu, example.net) . Prima chì u sistema capisce chì e cunnessione deve esse rottu è certi elementi ùn sò micca spustati à u gràficu, piglia in contu parechje proprietà di l'elementi è i clusters in quale sti elementi sò cumminati, è ancu a forza di e cunnessione attuale. Per esempiu, se avemu un picculu cluster (50 elementi) nantu à u graficu, chì include un duminiu cattivu, è un altru grande cluster (5 mila elementi) è i dui clusters sò cunnessi da una cunnessione (linea) cù una forza assai bassa (pesu) , allura una tale cunnessione serà rotta è elementi da u grande cluster seranu eliminati. Ma s'ellu ci sò parechje ligami trà picculi è grandi clusters è a so forza aumenta gradualmente, allora in questu casu a cunnessione ùn serà micca rotta è l'elementi necessarii da i dui clusters fermanu nantu à u graficu.

L'intervallu di a pruprietà di u servitore è u duminiu ùn hè micca cunsideratu. Spiegazione. "Dominii cattivi" prima o dopu scaduranu è esse acquistati di novu per scopi maliziusi o legittimi. Ancu i servitori di hosting bulletproof sò allughjati à diversi pirate, per quessa, hè criticu per sapè è piglià in contu l'intervallu quandu un duminiu / servitore particulari era sottu u cuntrollu di un pruprietariu. Avemu spessu scontru una situazione induve un servitore cù IP 11.11.11.11 hè issa utilizatu cum'è C&C per un bot bancariu, è 2 mesi fà era cuntrullatu da Ransomware. Se custruemu una cunnessione senza piglià in contu l'intervalli di pruprietà, parerà chì ci hè una cunnessione trà i patroni di a botnet bancaria è u ransomware, ancu s'ellu ùn ci hè nimu. In u nostru travagliu, un tali errore hè criticu.
Avemu amparatu u sistema per determinà intervalli di pruprietà. Per i domini, questu hè relativamente simplice, perchè whois spessu cuntene e date di iniziu è di scadenza di registrazione è, quandu ci hè una storia completa di cambiamenti whois, hè faciule per determinà l'intervalli. Quandu u registru di un duminiu ùn hè micca scadutu, ma a so gestione hè stata trasferita à altri pruprietarii, pò ancu esse tracciatu. Ùn ci hè micca un tali prublema per i certificati SSL, perchè sò emessi una volta è ùn sò micca rinnuvati o trasferiti. Ma cù i certificati autofirmati, ùn pudete micca fiducia in e date specificate in u periodu di validità di u certificatu, perchè pudete generà un certificatu SSL oghje, è specificà a data di iniziu di u certificatu da u 2010. A cosa più difficiuli hè di determinà l'intervalli di pruprietà per i servitori, perchè solu i fornituri d'ospiti anu date è periodi di affittu. Per determinà u periodu di pruprietà di u servitore, avemu cuminciatu à utilizà i risultati di scanning di portu è creanu impronte digitali di servizii in esecuzione in i porti. Utilizendu sta infurmazione, pudemu dì cun precisione quandu u pruprietariu di u servitore hà cambiatu.

Pochi cunnessione. Spiegazione. Oghje, ùn hè mancu un prublema per ottene una lista libera di domini chì u whois cuntene un indirizzu email specificu, o per scopre tutti i domini chì sò assuciati cù un indirizzu IP specificu. Ma quandu si tratta di pirate chì facenu u so megliu per esse difficiuli di seguità, avemu bisognu di trucchi supplementari per truvà novi proprietà è custruisce novi cunnessione.
Avemu passatu assai tempu à ricercà cumu pudemu estrae dati chì ùn eranu micca dispunibili in modu convenzionale. Ùn pudemu micca descriverà quì cumu funziona per ragioni evidenti, ma in certe circustanze, i pirate, quandu si registranu domini o allughjenu è stallanu servitori, facenu errori chì li permettenu di scopre indirizzi email, alias di pirate è indirizzi backend. Quantu più cunnessione estrae, più gràfiche precise pudete custruisce.

Cumu funziona u nostru graficu

Per cumincià à utilizà u graficu di a rete, avete bisognu di entre u duminiu, l'indirizzu IP, l'email, o l'impronta di certificatu SSL in a barra di ricerca. Ci sò trè cundizioni chì l'analista pò cuntrullà: u tempu, a prufundità di u passu, è a liberazione.

U vostru modu fora, gràficu: cumu ùn avemu micca truvatu un bonu gràficu di rete è criatu u nostru

Время

Time - data o intervallu quandu l'elementu cercatu hè stata utilizata per scopi maliziusi. Se ùn specificate micca stu paràmetru, u sistema stessu determinarà l'ultimu intervalu di pruprietà per questa risorsa. Per esempiu, l'11 di lugliu, Eset hà publicatu rapportu circa cumu Buhtrap usa u sfruttamentu di 0-day per u ciberspionamentu. Ci sò 6 indicatori à a fine di u rapportu. Unu di elli, secure-telemetry[.]net, hè statu riregistratu u 16 di lugliu. Dunque, se custruite un graficu dopu à u 16 di lugliu, uttene risultati irrilevanti. Ma se indicate chì stu duminiu hè statu utilizatu prima di sta data, allora u graficu include 126 novi domini, 69 indirizzi IP chì ùn sò micca listati in u rapportu Eset:

  • ukrfreshnews[.]com
  • unian-search[.]com
  • vesti-world[.]info
  • runewsmeta[.]com
  • foxnewsmeta[.]biz
  • sobesednik-meta[.]info
  • rian-ua[.]net
  • è altri.

In più di l'indicatori di rete, truvamu immediatamente cunnessione cù schedarii maliziusi chì avianu cunnessione cù questa infrastruttura è tag chì ci dicenu chì Meterpreter è AZORult sò stati utilizati.

A cosa bella hè chì ottene stu risultatu in un secondu è ùn avete più bisognu di passà ghjorni per analizà e dati. Di sicuru, stu approcciu à volte riduce significativamente u tempu per l'investigazioni, chì hè spessu criticu.

U vostru modu fora, gràficu: cumu ùn avemu micca truvatu un bonu gràficu di rete è criatu u nostru

U numaru di passi o a prufundità di ricursione cù quale u graficu serà custruitu

Per automaticamente, a prufundità hè 3. Questu significa chì tutti l'elementi direttamente ligati seranu truvati da l'elementu desideratu, dopu novi cunnessione seranu custruiti da ogni novu elementu à altri elementi, è novi elementi seranu creati da i novi elementi da l'ultimi. passu.

Pigliemu un esempiu micca ligatu à l'APT è l'exploits di 0-day. Ricertamenti, un casu ntirissanti di fraudulente ligata à i criptu di monete hè statu scrittu annantu à Habré. U rapportu cita u duminiu themcx[.]co, utilizatu da i scammers per accoglie un situ web chì pretende esse un Miner Coin Exchange è phone-lookup [.]xyz per attruverà u trafficu.

Hè chjaru da a descrizzione chì u schema richiede una infrastruttura abbastanza grande per attruverà u trafficu à risorse fraudulente. Avemu decisu di guardà sta infrastruttura custruendu un graficu in 4 passi. L'output era un graficu cù domini 230 è indirizzi IP 39. In seguitu, dividimu i domini in 2 categurie: quelli chì sò simili à i servizii per travaglià cù criptu di muniti è quelli chì sò destinati à guidà u trafficu attraversu i servizii di verificazione di u telefunu:

In relazione à a criptocurrency
Associu cù servizii di punching phone

moneta[.]cc
caller-record [.] situ.

mcxwallet[.]co
phone-records[.]spaziu

btcnoise[.]com
fone-uncover[.]xyz

cryptominer[.]guardà
numiru-scuperu[.]info

U vostru modu fora, gràficu: cumu ùn avemu micca truvatu un bonu gràficu di rete è criatu u nostru

Pulizia

Per automaticamente, l'opzione "Graph Cleanup" hè attivata è tutti l'elementi irrilevanti seranu eliminati da u graficu. In modu, hè stata utilizata in tutti l'esempi precedenti. Prevede una quistione naturali: cumu pudemu assicurà chì qualcosa impurtante ùn hè micca sguassatu? Rispondaraghju: per l'analista chì piace à custruisce gràfiche cù a manu, a pulizia automatizata pò esse disattivata è u numeru di passi pò esse sceltu = 1. In seguitu, l'analista hà da pudè cumprità u graficu da l'elementi chì hà bisognu è sguassà elementi da u gràficu chì sò irrilevanti à u compitu.

Dighjà nantu à u graficu, a storia di cambiamenti in whois, DNS, è ancu i porti aperti è i servizii chì currenu nantu à elli sò dispunibuli per l'analista.

U vostru modu fora, gràficu: cumu ùn avemu micca truvatu un bonu gràficu di rete è criatu u nostru

phishing finanziariu

Avemu investigatu l'attività di un gruppu APT, chì durante parechji anni hà realizatu attacchi di phishing contr'à i clienti di diverse banche in diverse regioni. Una caratteristica di stu gruppu era u registru di domini assai simili à i nomi di i banche veri, è a maiò parte di i siti di phishing avianu u stessu disignu, l'unicu differenzi hè in i nomi di i banche è i so logò.

U vostru modu fora, gràficu: cumu ùn avemu micca truvatu un bonu gràficu di rete è criatu u nostru
In questu casu, l'analisi grafica automatizata ci hà aiutatu assai. Pigliendu unu di i so domini - lloydsbnk-uk[.]com, in pochi secondi avemu custruitu un graficu cù una prufundità di 3 passi, chì identificanu più di 250 duminii maliziusi chì sò stati utilizati da stu gruppu dapoi u 2015 è cuntinueghjanu à esse usatu. . Certi di sti duminii sò digià acquistati da i banche, ma i registri storichi mostranu chì sò stati registrati prima à l'attaccanti.

Per a chiarità, a figura mostra un graficu cù una prufundità di 2 passi.

Hè nutate chì digià in 2019, l'attaccanti anu cambiatu un pocu a so tattica è cuminciaru à registrà micca solu i duminii di i banche per l'ospitu di u web phishing, ma ancu i duminii di diverse cumpagnie di cunsultazione per l'invio di email di phishing. Per esempiu, i duminii swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.

U vostru modu fora, gràficu: cumu ùn avemu micca truvatu un bonu gràficu di rete è criatu u nostru

Gang di Cobalt

In dicembre 2018, u gruppu di pirate Cobalt, specializatu in attacchi mirati à i banche, hà mandatu una campagna di mailing in nome di u Bancu Naziunale di Kazakhstan.

U vostru modu fora, gràficu: cumu ùn avemu micca truvatu un bonu gràficu di rete è criatu u nostru
E lettere cuntenenu ligami à hXXps://nationalbank.bz/Doc/Prikaz.doc. U documentu scaricatu cuntene una macro chì hà lanciatu Powershell, chì tentava di carica è eseguisce u schedariu da hXXp://wateroilclub.com/file/dwm.exe in %Temp%einmrmdmy.exe. U schedariu %Temp%einmrmdmy.exe aka dwm.exe hè un stager CobInt cunfiguratu per interagisce cù u servitore hXXp://admvmsopp.com/rilruietguadvtoefmuy.

Immaginate micca di pudè riceve questi email di phishing è fà una analisi completa di i fugliali maliziusi. U gràficu per u duminiu maliziusu nationalbank[.]bz mostra immediatamente e cunnessione cù altri domini maliziusi, l'attribuisce à un gruppu è mostra quali schedari sò stati utilizati in l'attaccu.

U vostru modu fora, gràficu: cumu ùn avemu micca truvatu un bonu gràficu di rete è criatu u nostru
Pigliemu l'indirizzu IP 46.173.219[.]152 da stu graficu è custruiscenu un graficu da ellu in una sola passata è spegne a pulizia. Ci hè 40 duminii assuciati cù questu, per esempiu, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

A ghjudicà da i nomi di duminiu, pare ch'elli sò usati in schemi fraudulenti, ma l'algoritmu di purificazione hà capitu chì ùn sò micca stati ligati à questu attaccu è ùn li mette micca nantu à u graficu, chì simplificà assai u prucessu di analisi è attribuzione.

U vostru modu fora, gràficu: cumu ùn avemu micca truvatu un bonu gràficu di rete è criatu u nostru
Sè vo ricustruisce u gràficu utilizendu nationalbank[.]bz, ma disattivendu l'algoritmu di pulizia di graffiu, allora cuntene più di 500 elementi, a maiò parte di quale ùn anu nunda di fà cù u gruppu Cobalt o i so attacchi. Un esempiu di ciò chì pare un tali graficu hè datu quì sottu:

U vostru modu fora, gràficu: cumu ùn avemu micca truvatu un bonu gràficu di rete è criatu u nostru

cunchiusioni

Dopu parechji anni di fine tuning, teste in investigazioni reali, ricerca di minacce è caccia per l'attaccanti, avemu riesciutu micca solu à creà un strumentu unicu, ma ancu à cambià l'attitudine di l'esperti in a cumpagnia versu questu. Inizialmente, i sperti tecnichi volenu un cuntrollu cumpletu di u prucessu di custruzzione di u graficu. Cunvincelli chì a custruzzione di gràficu automatica puderia fà questu megliu cà una persona cù parechji anni di sperienza era assai difficiule. Tuttu hè statu decisu da u tempu è più cuntrolli "manuali" di i risultati di ciò chì u graficu hà pruduttu. Avà i nostri sperti ùn sò micca solu fiducia in u sistema, ma ancu utilizanu i risultati chì ottene in u so travagliu di ogni ghjornu. Sta tecnulugia travaglia in ognunu di i nostri sistemi è ci permette di identificà megliu e minacce di ogni tipu. L'interfaccia per l'analisi grafica manuale hè integrata in tutti i prudutti di u Gruppu-IB è espansione significativamente e capacità per a caccia di cibercriminali. Questu hè cunfirmatu da e recensioni di l'analista da i nostri clienti. E noi, à u turnu, cuntinuemu à arricchisce u gràficu cù dati è travaglià nantu à novi algoritmi chì utilizanu intelligenza artificiale per creà u graficu di rete più precisu.

Source: www.habr.com

Add a comment