Wrth ymchwilio i achosion yn ymwneud â gwe-rwydo, botnets, trafodion twyllodrus a grwpiau hacwyr troseddol, mae arbenigwyr Group-IB wedi bod yn defnyddio dadansoddiadau graff ers blynyddoedd lawer i nodi gwahanol fathau o gysylltiadau. Mae gan wahanol achosion eu setiau data eu hunain, eu algorithmau eu hunain ar gyfer nodi cysylltiadau, a rhyngwynebau wedi'u teilwra ar gyfer tasgau penodol. Datblygwyd yr holl offer hyn yn fewnol gan Group-IB ac roeddent ar gael i'n gweithwyr yn unig.
Dadansoddiad graff o seilwaith rhwydwaith (graff rhwydwaith) oedd yr offeryn mewnol cyntaf i ni ei gynnwys yn holl gynhyrchion cyhoeddus y cwmni. Cyn creu ein graff rhwydwaith, dadansoddwyd llawer o ddatblygiadau tebyg ar y farchnad ac ni wnaethom ddod o hyd i un cynnyrch a oedd yn bodloni ein hanghenion ein hunain. Yn yr erthygl hon byddwn yn siarad am sut y gwnaethom greu'r graff rhwydwaith, sut rydym yn ei ddefnyddio a pha anawsterau y daethom ar eu traws.
Dmitry Volkov, CTO Group-IB a phennaeth seiber-wybodaeth
Beth all y graff rhwydwaith Group-IB ei wneud?
Ymchwiliadau
Ers sefydlu Group-IB yn 2003 hyd heddiw, mae canfod, deonio a dod â seiberdroseddwyr o flaen eu gwell wedi bod yn brif flaenoriaeth yn ein gwaith. Nid oedd un ymchwiliad cyberattack unigol wedi'i gwblhau heb ddadansoddi seilwaith rhwydwaith yr ymosodwyr. Ar ddechrau ein taith, roedd yn “waith llaw” eithaf manwl chwilio am berthnasoedd a allai helpu i adnabod troseddwyr: gwybodaeth am enwau parth, cyfeiriadau IP, olion bysedd digidol gweinyddwyr, ac ati.
Mae'r rhan fwyaf o ymosodwyr yn ceisio gweithredu mor ddienw â phosibl ar y rhwydwaith. Fodd bynnag, fel pawb, maent yn gwneud camgymeriadau. Prif nod dadansoddiad o'r fath yw dod o hyd i brosiectau hanesyddol "gwyn" neu "lwyd" o ymosodwyr sydd â chroestoriadau â'r seilwaith maleisus a ddefnyddir yn y digwyddiad presennol yr ydym yn ymchwilio iddo. Os yw'n bosibl canfod "prosiectau gwyn", yna mae dod o hyd i'r ymosodwr, fel rheol, yn dasg ddibwys. Yn achos rhai “llwyd”, mae'r chwiliad yn cymryd mwy o amser ac ymdrech, gan fod eu perchnogion yn ceisio anhysbysu neu guddio data cofrestru, ond mae'r siawns yn parhau i fod yn eithaf uchel. Fel rheol, ar ddechrau eu gweithgareddau troseddol, mae ymosodwyr yn talu llai o sylw i'w diogelwch eu hunain ac yn gwneud mwy o gamgymeriadau, felly po ddyfnach y gallwn blymio i'r stori, yr uchaf yw'r siawns o ymchwiliad llwyddiannus. Dyna pam mae graff rhwydwaith gyda hanes da yn elfen hynod bwysig o ymchwiliad o'r fath. Yn syml, po ddyfnach o ddata hanesyddol sydd gan gwmni, y gorau yw ei graff. Gadewch i ni ddweud y gall hanes 5 mlynedd helpu i ddatrys, yn amodol, 1-2 o bob 10 trosedd, ac mae hanes 15 mlynedd yn rhoi cyfle i ddatrys pob un o'r deg.
Gwe-rwydo a Chanfod Twyll
Bob tro y byddwn yn derbyn dolen amheus i adnodd gwe-rwydo, twyllodrus neu fôr-ladron, rydym yn adeiladu graff o adnoddau rhwydwaith cysylltiedig yn awtomatig ac yn gwirio pob gwesteiwr a ganfyddir am gynnwys tebyg. Mae hyn yn caniatáu ichi ddod o hyd i hen safleoedd gwe-rwydo a oedd yn weithredol ond yn anhysbys, yn ogystal â rhai cwbl newydd sy'n barod ar gyfer ymosodiadau yn y dyfodol, ond nad ydynt yn cael eu defnyddio eto. Enghraifft elfennol sy'n digwydd yn eithaf aml: daethom o hyd i wefan gwe-rwydo ar weinydd gyda dim ond 5 safle. Trwy wirio pob un ohonynt, rydym yn dod o hyd i gynnwys gwe-rwydo ar wefannau eraill, sy'n golygu y gallwn rwystro 5 yn lle 1.
Chwilio am backends
Mae'r broses hon yn angenrheidiol i benderfynu lle mae'r gweinydd maleisus yn byw mewn gwirionedd.
Mae 99% o siopau cardiau, fforymau hacwyr, llawer o adnoddau gwe-rwydo a gweinyddwyr maleisus eraill wedi'u cuddio y tu ôl i'w gweinyddwyr dirprwy eu hunain a dirprwyon gwasanaethau cyfreithlon, er enghraifft, Cloudflare. Mae gwybodaeth am y backend go iawn yn bwysig iawn ar gyfer ymchwiliadau: mae'r darparwr cynnal y gellir atafaelu'r gweinydd ohono yn dod yn hysbys, a daw'n bosibl adeiladu cysylltiadau â phrosiectau maleisus eraill.
Er enghraifft, mae gennych wefan gwe-rwydo ar gyfer casglu data cerdyn banc sy'n cyd-fynd â'r cyfeiriad IP 11.11.11.11, a chyfeiriad siop gardiau sy'n cyd-fynd â'r cyfeiriad IP 22.22.22.22. Yn ystod y dadansoddiad, mae'n bosibl y bydd gan y safle gwe-rwydo a'r siop gardiau gyfeiriad IP ôl-wyneb cyffredin, er enghraifft, 33.33.33.33. Mae'r wybodaeth hon yn ein galluogi i adeiladu cysylltiad rhwng ymosodiadau gwe-rwydo a siop gardiau lle gellir gwerthu data cardiau banc.
Cydberthynas digwyddiad
Pan fydd gennych ddau sbardun gwahanol (gadewch i ni ddweud ar IDS) gyda gwahanol malware a gweinyddwyr gwahanol i reoli'r ymosodiad, byddwch yn eu trin fel dau ddigwyddiad annibynnol. Ond os oes cysylltiad da rhwng seilweithiau maleisus, yna daw'n amlwg nad ymosodiadau gwahanol yw'r rhain, ond cyfnodau o un ymosodiad aml-gam mwy cymhleth. Ac os yw un o'r digwyddiadau eisoes wedi'i briodoli i unrhyw grŵp o ymosodwyr, yna gellir priodoli'r ail un i'r un grŵp hefyd. Wrth gwrs, mae'r broses briodoli yn llawer mwy cymhleth, felly dylech drin hyn fel enghraifft syml.
Dangosydd cyfoethogi
Ni fyddwn yn talu llawer o sylw i hyn, gan mai dyma'r senario mwyaf cyffredin ar gyfer defnyddio graffiau mewn seiberddiogelwch: rydych chi'n rhoi un dangosydd fel mewnbwn, ac fel allbwn rydych chi'n cael amrywiaeth o ddangosyddion cysylltiedig.
Adnabod patrymau
Mae adnabod patrymau yn hanfodol ar gyfer hela effeithiol. Mae graffiau yn eich galluogi nid yn unig i ddod o hyd i elfennau cysylltiedig, ond hefyd i nodi priodweddau cyffredin sy'n nodweddiadol o grŵp penodol o hacwyr. Mae gwybodaeth am nodweddion unigryw o'r fath yn caniatáu ichi adnabod seilwaith yr ymosodwr hyd yn oed yn y cam paratoi a heb dystiolaeth yn cadarnhau'r ymosodiad, megis e-byst gwe-rwydo neu faleiswedd.
Pam wnaethon ni greu ein graff rhwydwaith ein hunain?
Unwaith eto, buom yn edrych ar atebion gan wahanol werthwyr cyn i ni ddod i'r casgliad bod angen inni ddatblygu ein hofferyn ein hunain a allai wneud rhywbeth na allai unrhyw gynnyrch presennol ei wneud. Cymerodd sawl blwyddyn i'w greu, pan wnaethom ei newid yn llwyr sawl gwaith. Ond, er gwaethaf y cyfnod datblygu hir, nid ydym eto wedi dod o hyd i un analog a fyddai'n bodloni ein gofynion. Gan ddefnyddio ein cynnyrch ein hunain, roeddem yn y pen draw yn gallu datrys bron pob un o'r problemau a ddarganfuwyd gennym mewn graffiau rhwydwaith presennol. Isod byddwn yn ystyried y problemau hyn yn fanwl:
problem
penderfyniad
Diffyg darparwr gyda gwahanol gasgliadau o ddata: parthau, DNS goddefol, SSL goddefol, cofnodion DNS, porthladdoedd agored, rhedeg gwasanaethau ar borthladdoedd, ffeiliau yn rhyngweithio ag enwau parth a chyfeiriadau IP. Eglurhad. Yn nodweddiadol, mae darparwyr yn darparu mathau ar wahân o ddata, ac i gael y darlun llawn, mae angen i chi brynu tanysgrifiadau gan bawb. Serch hynny, nid yw bob amser yn bosibl cael yr holl ddata: mae rhai darparwyr SSL goddefol yn darparu data am dystysgrifau a gyhoeddir gan Awdurdod Cymwys y gellir ymddiried ynddynt yn unig, ac mae eu cwmpas o dystysgrifau hunan-lofnodedig yn eithriadol o wael. Mae eraill hefyd yn darparu data gan ddefnyddio tystysgrifau hunan-lofnodedig, ond yn ei gasglu o borthladdoedd safonol yn unig.
Casglwyd yr holl gasgliadau uchod ein hunain. Er enghraifft, i gasglu data am dystysgrifau SSL, fe wnaethom ysgrifennu ein gwasanaeth ein hunain sy'n eu casglu gan CAs dibynadwy a thrwy sganio'r gofod IPv4 cyfan. Casglwyd tystysgrifau nid yn unig o IP, ond hefyd o bob parth ac is-barth o'n cronfa ddata: os oes gennych y parth example.com a'i is-barth ac maent i gyd yn penderfynu IP 1.1.1.1, yna pan geisiwch gael tystysgrif SSL o borthladd 443 ar IP, parth a'i is-barth, gallwch gael tri chanlyniad gwahanol. Er mwyn casglu data ar borthladdoedd agored a gwasanaethau rhedeg, roedd yn rhaid i ni greu ein system sganio ddosbarthedig ein hunain, oherwydd yn aml roedd gan wasanaethau eraill gyfeiriadau IP eu gweinyddwyr sganio ar “restrau du.” Mae ein gweinyddwyr sganio hefyd ar restrau gwaharddedig, ond mae canlyniad canfod y gwasanaethau sydd eu hangen arnom yn uwch na'r rhai sy'n sganio cymaint o borthladdoedd â phosibl ac yn gwerthu mynediad i'r data hwn.
Diffyg mynediad i'r gronfa ddata gyfan o gofnodion hanesyddol. Eglurhad. Mae gan bob cyflenwr arferol hanes cronedig da, ond am resymau naturiol ni allem ni, fel cleient, gael mynediad at yr holl ddata hanesyddol. Y rhai. Gallwch gael yr hanes cyfan ar gyfer un cofnod, er enghraifft, yn ôl parth neu gyfeiriad IP, ond ni allwch weld hanes popeth - a heb hyn ni allwch weld y darlun llawn.
Er mwyn casglu cymaint o gofnodion hanesyddol ar barthau â phosibl, fe wnaethom brynu cronfeydd data amrywiol, dosrannu llawer o adnoddau agored a oedd â'r hanes hwn (mae'n dda bod llawer ohonynt), a thrafod gyda chofrestrwyr enwau parth. Wrth gwrs, cedwir pob diweddariad i'n casgliadau ein hunain gyda hanes adolygu llawn.
Mae'r holl atebion presennol yn caniatáu ichi adeiladu graff â llaw. Eglurhad. Gadewch i ni ddweud eich bod wedi prynu llawer o danysgrifiadau gan bob darparwr data posibl (a elwir fel arfer yn "gyfoethogwyr"). Pan fydd angen i chi adeiladu graff, rydych chi'n “dwylo” yn rhoi'r gorchymyn i adeiladu o'r elfen cysylltiad a ddymunir, yna dewiswch y rhai angenrheidiol o'r elfennau sy'n ymddangos a rhowch y gorchymyn i gwblhau'r cysylltiadau oddi wrthynt, ac ati. Yn yr achos hwn, y person sy'n llwyr gyfrifol am ba mor dda y caiff y graff ei lunio.
Gwnaethom adeiladu graffiau'n awtomatig. Y rhai. os oes angen i chi adeiladu graff, yna mae cysylltiadau o'r elfen gyntaf yn cael eu hadeiladu'n awtomatig, yna o'r holl rai dilynol hefyd. Dim ond y dyfnder y mae angen adeiladu'r graff y mae'r arbenigwr yn ei nodi. Mae'r broses o gwblhau graffiau yn awtomatig yn syml, ond nid yw gwerthwyr eraill yn ei gweithredu oherwydd ei fod yn cynhyrchu nifer fawr o ganlyniadau amherthnasol, a bu'n rhaid i ni hefyd ystyried yr anfantais hon (gweler isod).
Mae llawer o ganlyniadau amherthnasol yn broblem gyda phob graff elfen rhwydwaith. Eglurhad. Er enghraifft, mae “parth drwg” (a gymerodd ran mewn ymosodiad) yn gysylltiedig â gweinydd sydd â 10 o barthau eraill yn gysylltiedig ag ef dros y 500 mlynedd diwethaf. Wrth ychwanegu neu adeiladu graff yn awtomatig, dylai'r holl 500 parth hyn hefyd ymddangos ar y graff, er nad ydynt yn gysylltiedig â'r ymosodiad. Neu, er enghraifft, rydych chi'n gwirio'r dangosydd IP o adroddiad diogelwch y gwerthwr. Yn nodweddiadol, mae adroddiadau o'r fath yn cael eu rhyddhau gydag oedi sylweddol ac yn aml yn rhychwantu blwyddyn neu fwy. Yn fwyaf tebygol, ar yr adeg y darllenwch yr adroddiad, mae'r gweinydd gyda'r cyfeiriad IP hwn eisoes wedi'i rentu i bobl eraill â chysylltiadau eraill, a bydd adeiladu graff unwaith eto yn arwain at ganlyniadau amherthnasol.
Fe wnaethom hyfforddi'r system i nodi elfennau amherthnasol gan ddefnyddio'r un rhesymeg ag y gwnaeth ein harbenigwyr â llaw. Er enghraifft, rydych chi'n gwirio parth drwg example.com, sydd bellach yn penderfynu IP 11.11.11.11, a mis yn ôl - i IP 22.22.22.22. Yn ogystal â'r enghraifft parth.com, mae IP 11.11.11.11 hefyd yn gysylltiedig â example.ru, ac mae IP 22.22.22.22 yn gysylltiedig â 25 mil o barthau eraill. Mae'r system, fel person, yn deall bod 11.11.11.11 yn fwyaf tebygol o fod yn weinydd pwrpasol, a chan fod parth example.ru yn debyg o ran sillafu i example.com, yna, gyda thebygolrwydd uchel, maent wedi'u cysylltu a dylent fod ar y graff; ond mae IP 22.22.22.22 yn perthyn i westeio a rennir, felly nid oes angen cynnwys ei holl barthau yn y graff oni bai bod cysylltiadau eraill yn dangos bod angen cynnwys un o'r 25 mil o barthau hyn hefyd (er enghraifft, enghraifft.net) . Cyn i'r system ddeall bod angen torri cysylltiadau a pheidio â symud rhai elfennau i'r graff, mae'n ystyried llawer o briodweddau'r elfennau a'r clystyrau y cyfunir yr elfennau hyn ynddynt, yn ogystal â chryfder y cysylltiadau cyfredol. Er enghraifft, os oes gennym glwstwr bach (50 elfen) ar y graff, sy'n cynnwys parth gwael, a chlwstwr mawr arall (5 mil o elfennau) a bod y ddau glwstwr yn cael eu cysylltu gan gysylltiad (llinell) â chryfder isel iawn (pwysau) , yna bydd cysylltiad o'r fath yn cael ei dorri a bydd elfennau o'r clwstwr mawr yn cael eu tynnu. Ond os oes llawer o gysylltiadau rhwng clystyrau bach a mawr a bod eu cryfder yn cynyddu'n raddol, yna yn yr achos hwn ni fydd y cysylltiad yn cael ei dorri a bydd yr elfennau angenrheidiol o'r ddau glwstwr yn aros ar y graff.
Nid yw cyfwng perchnogaeth y gweinydd a'r parth yn cael ei ystyried. Eglurhad. Bydd “parthau drwg” yn dod i ben yn hwyr neu'n hwyrach ac yn cael eu prynu eto at ddibenion maleisus neu gyfreithlon. Mae hyd yn oed gweinyddwyr cynnal bwled yn cael eu rhentu i wahanol hacwyr, felly mae'n hanfodol gwybod a chymryd i ystyriaeth yr egwyl pan oedd parth / gweinydd penodol o dan reolaeth un perchennog. Rydym yn aml yn dod ar draws sefyllfa lle mae gweinydd ag IP 11.11.11.11 bellach yn cael ei ddefnyddio fel C&C ar gyfer bot bancio, a 2 fis yn ôl fe'i rheolwyd gan Ransomware. Os byddwn yn adeiladu cysylltiad heb ystyried cyfnodau perchnogaeth, bydd yn edrych yn debyg bod cysylltiad rhwng perchnogion y botnet bancio a'r ransomware, er nad oes un mewn gwirionedd. Yn ein gwaith, mae gwall o'r fath yn hollbwysig.
Fe wnaethom ddysgu'r system i bennu cyfnodau perchnogaeth. Ar gyfer parthau mae hyn yn gymharol syml, oherwydd mae pwy yw'n aml yn cynnwys dyddiadau dechrau a dod i ben y cofrestriad a, phan fo hanes cyflawn o bwy sy'n newid, mae'n hawdd pennu'r cyfnodau. Pan nad yw cofrestriad parth wedi dod i ben, ond bod ei reolaeth wedi'i throsglwyddo i berchnogion eraill, gellir ei olrhain hefyd. Nid oes problem o'r fath ar gyfer tystysgrifau SSL, oherwydd cânt eu cyhoeddi unwaith ac nid ydynt yn cael eu hadnewyddu na'u trosglwyddo. Ond gyda thystysgrifau hunan-lofnodedig, ni allwch ymddiried yn y dyddiadau a nodir yng nghyfnod dilysrwydd y dystysgrif, oherwydd gallwch gynhyrchu tystysgrif SSL heddiw, a nodi dyddiad cychwyn y dystysgrif o 2010. Y peth anoddaf yw pennu'r cyfnodau perchnogaeth ar gyfer gweinyddwyr, oherwydd dim ond darparwyr cynnal sydd â dyddiadau a chyfnodau rhentu. Er mwyn pennu cyfnod perchnogaeth y gweinydd, dechreuon ni ddefnyddio canlyniadau sganio porthladdoedd a chreu olion bysedd o redeg gwasanaethau ar borthladdoedd. Gan ddefnyddio'r wybodaeth hon, gallwn ddweud yn weddol gywir pryd y newidiodd perchennog y gweinydd.
Ychydig o gysylltiadau. Eglurhad. Y dyddiau hyn, nid yw hyd yn oed yn broblem cael rhestr am ddim o barthau y mae eu cyfeiriad e-bost penodol, neu i ddarganfod yr holl barthau a oedd yn gysylltiedig â chyfeiriad IP penodol. Ond pan ddaw i hacwyr sy'n gwneud eu gorau i fod yn anodd eu holrhain, mae angen triciau ychwanegol i ddod o hyd i eiddo newydd ac adeiladu cysylltiadau newydd.
Treuliasom lawer o amser yn ymchwilio i sut y gallem dynnu data nad oedd ar gael mewn ffordd gonfensiynol. Ni allwn ddisgrifio yma sut mae'n gweithio am resymau amlwg, ond o dan rai amgylchiadau, mae hacwyr, wrth gofrestru parthau neu rentu a sefydlu gweinyddwyr, yn gwneud camgymeriadau sy'n caniatáu iddynt ddarganfod cyfeiriadau e-bost, arallenwau haciwr, a chyfeiriadau ôl-wyneb. Po fwyaf o gysylltiadau y byddwch chi'n eu tynnu, y mwyaf cywir o graffiau y gallwch chi eu hadeiladu.
Sut mae ein graff yn gweithio
I ddechrau defnyddio'r graff rhwydwaith, mae angen i chi nodi'r parth, cyfeiriad IP, e-bost, neu olion bysedd tystysgrif SSL yn y bar chwilio. Mae yna dri chyflwr y gall y dadansoddwr eu rheoli: amser, dyfnder cam, a chlirio.
Amser
Amser – dyddiad neu egwyl pan ddefnyddiwyd yr elfen a chwiliwyd at ddibenion maleisus. Os na fyddwch yn nodi'r paramedr hwn, bydd y system ei hun yn pennu'r cyfwng perchnogaeth olaf ar gyfer yr adnodd hwn. Er enghraifft, ar 11 Gorffennaf, cyhoeddodd Eset am sut mae Buhtrap yn defnyddio'r camfanteisio 0-diwrnod ar gyfer ysbïo seiber. Mae 6 dangosydd ar ddiwedd yr adroddiad. Ail-gofrestrwyd un ohonynt, telemetreg ddiogel[.]net, ar 16 Gorffennaf. Felly, os byddwch yn adeiladu graff ar ôl Gorffennaf 16, byddwch yn cael canlyniadau amherthnasol. Ond os ydych chi'n nodi bod y parth hwn wedi'i ddefnyddio cyn y dyddiad hwn, yna mae'r graff yn cynnwys 126 parth newydd, 69 cyfeiriad IP nad ydyn nhw wedi'u rhestru yn adroddiad Eset:
- ukrfreshnews[.]com
- unian-chwilio[.]com
- vesti-world[.]gwybodaeth
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]gwybodaeth
- rian-ua[.]net
- ac ati
Yn ogystal â dangosyddion rhwydwaith, rydym yn dod o hyd i gysylltiadau ar unwaith â ffeiliau maleisus a oedd â chysylltiadau â'r seilwaith hwn a thagiau sy'n dweud wrthym y defnyddiwyd Meterpreter ac AZORult.
Y peth gwych yw eich bod chi'n cael y canlyniad hwn o fewn eiliad ac nid oes angen i chi dreulio dyddiau yn dadansoddi'r data mwyach. Wrth gwrs, mae'r dull hwn weithiau'n lleihau'r amser ar gyfer ymchwiliadau yn sylweddol, sy'n aml yn hollbwysig.
Nifer y camau neu ddyfnder dychweliad y bydd y graff yn cael ei adeiladu â nhw
Yn ddiofyn, y dyfnder yw 3. Mae hyn yn golygu y bydd yr holl elfennau sy'n uniongyrchol gysylltiedig yn cael eu canfod o'r elfen a ddymunir, yna bydd cysylltiadau newydd yn cael eu hadeiladu o bob elfen newydd i elfennau eraill, a bydd elfennau newydd yn cael eu creu o'r elfennau newydd o'r olaf cam.
Gadewch i ni gymryd enghraifft nad yw'n gysylltiedig ag APT a gorchestion 0-diwrnod. Yn ddiweddar, disgrifiwyd achos diddorol o dwyll yn ymwneud â cryptocurrencies ar Habré. Mae'r adroddiad yn sôn am y parth themcx[.]co, a ddefnyddir gan sgamwyr i gynnal gwefan sy'n honni ei bod yn Gyfnewidfa Arian Mwynwyr ac yn chwilio am ffôn[.]xyz i ddenu traffig.
Mae’n amlwg o’r disgrifiad bod angen seilwaith gweddol fawr ar y cynllun i ddenu traffig i adnoddau twyllodrus. Fe wnaethom benderfynu edrych ar y seilwaith hwn trwy adeiladu graff mewn 4 cam. Yr allbwn oedd graff gyda 230 o barthau a 39 o gyfeiriadau IP. Nesaf, rydym yn rhannu parthau yn 2 gategori: y rhai sy'n debyg i wasanaethau ar gyfer gweithio gyda cryptocurrencies a'r rhai y bwriedir iddynt yrru traffig trwy wasanaethau dilysu ffôn:
Yn gysylltiedig â cryptocurrency
Yn gysylltiedig â gwasanaethau dyrnu ffôn
ceidwad arian[.]cc
safle[.] record galwr.
mcxwallet[.]co
cofnodion ffôn[.]gofod
btcnoise[.]com
fone-datgelu[.]xyz
cryptominer[.]gwylio
rhif-datgelu[.]gwybodaeth
Glanhau
Yn ddiofyn, mae'r opsiwn "Glanhau Graff" wedi'i alluogi a bydd yr holl elfennau amherthnasol yn cael eu tynnu o'r graff. Gyda llaw, fe'i defnyddiwyd ym mhob enghraifft flaenorol. Rwy’n rhagweld cwestiwn naturiol: sut allwn ni wneud yn siŵr nad yw rhywbeth pwysig yn cael ei ddileu? Byddaf yn ateb: ar gyfer dadansoddwyr sy'n hoffi adeiladu graffiau â llaw, gellir analluogi glanhau awtomataidd a gellir dewis nifer y camau = 1. Nesaf, bydd y dadansoddwr yn gallu cwblhau'r graff o'r elfennau sydd eu hangen arno a thynnu elfennau o y graff sy'n amherthnasol i'r dasg.
Eisoes ar y graff, mae hanes y newidiadau yn whois, DNS, yn ogystal â phorthladdoedd agored a gwasanaethau sy'n rhedeg arnynt ar gael i'r dadansoddwr.
Gwe-rwydo ariannol
Fe wnaethom ymchwilio i weithgareddau un grŵp APT, a fu am nifer o flynyddoedd yn cynnal ymosodiadau gwe-rwydo yn erbyn cleientiaid gwahanol fanciau mewn gwahanol ranbarthau. Nodwedd nodweddiadol o'r grŵp hwn oedd cofrestru parthau tebyg iawn i enwau banciau go iawn, ac roedd gan y rhan fwyaf o'r safleoedd gwe-rwydo yr un dyluniad, gyda'r unig wahaniaethau yn enwau'r banciau a'u logos.
Yn yr achos hwn, roedd dadansoddiad graff awtomataidd o gymorth mawr i ni. Gan gymryd un o'u parthau - lloydsbnk-uk[.]com, mewn ychydig eiliadau fe wnaethom adeiladu graff gyda dyfnder o 3 cham, a nododd fwy na 250 o barthau maleisus sydd wedi cael eu defnyddio gan y grŵp hwn ers 2015 ac sy'n parhau i gael eu defnyddio . Mae rhai o'r parthau hyn eisoes wedi'u prynu gan fanciau, ond mae cofnodion hanesyddol yn dangos eu bod wedi'u cofrestru'n flaenorol i ymosodwyr.
Er eglurder, mae'r ffigwr yn dangos graff gyda dyfnder o 2 gam.
Mae'n werth nodi bod yr ymosodwyr eisoes yn 2019 wedi newid eu tactegau rhywfaint ac wedi dechrau cofrestru nid yn unig y parthau banciau ar gyfer cynnal gwe-rwydo, ond hefyd parthau amrywiol gwmnïau ymgynghori ar gyfer anfon e-byst gwe-rwydo. Er enghraifft, mae'r parthau swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
gang cobalt
Ym mis Rhagfyr 2018, anfonodd y grŵp haciwr Cobalt, sy'n arbenigo mewn ymosodiadau wedi'u targedu ar fanciau, ymgyrch bostio ar ran Banc Cenedlaethol Kazakhstan.
Roedd y llythyrau'n cynnwys dolenni i hXXps://nationalbank.bz/Doc/Prikaz.doc. Roedd y ddogfen a lawrlwythwyd yn cynnwys macro a lansiodd Powershell, a fyddai'n ceisio llwytho a gweithredu'r ffeil o hXXp://wateroilclub.com/file/dwm.exe yn %Temp%einmrmdmy.exe. Mae'r ffeil % Temp%einmrmdmy.exe aka dwm.exe yn llwyfannydd CobInt sydd wedi'i ffurfweddu i ryngweithio â'r gweinydd hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Dychmygwch nad ydych yn gallu derbyn y negeseuon e-bost gwe-rwydo hyn a pherfformiwch ddadansoddiad llawn o'r ffeiliau maleisus. Mae'r graff ar gyfer y parth maleisus nationalbank[.]bz yn dangos cysylltiadau â pharthau maleisus eraill ar unwaith, yn ei briodoli i grŵp ac yn dangos pa ffeiliau a ddefnyddiwyd yn yr ymosodiad.
Gadewch i ni gymryd y cyfeiriad IP 46.173.219[.]152 o'r graff hwn ac adeiladu graff ohono mewn un pas a diffodd glanhau. Mae 40 parth yn gysylltiedig ag ef, er enghraifft, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
A barnu yn ôl yr enwau parth, mae'n ymddangos eu bod yn cael eu defnyddio mewn cynlluniau twyllodrus, ond sylweddolodd yr algorithm glanhau nad oeddent yn gysylltiedig â'r ymosodiad hwn ac nid oedd yn eu rhoi ar y graff, sy'n symleiddio'r broses ddadansoddi a phriodoli yn fawr.
Os byddwch yn ailadeiladu'r graff gan ddefnyddio Nationalbank[.]bz, ond yn analluogi'r algorithm glanhau graffiau, yna bydd yn cynnwys mwy na 500 o elfennau, ac nid oes gan y rhan fwyaf ohonynt unrhyw beth i'w wneud â'r grŵp Cobalt na'u hymosodiadau. Rhoddir enghraifft isod o sut olwg sydd ar graff o’r fath:
Casgliad
Ar ôl sawl blwyddyn o fireinio, profi mewn ymchwiliadau go iawn, ymchwil bygythiad a hela ar gyfer ymosodwyr, rydym yn llwyddo nid yn unig i greu offeryn unigryw, ond hefyd i newid agwedd arbenigwyr o fewn y cwmni tuag ato. I ddechrau, mae arbenigwyr technegol eisiau rheolaeth lwyr dros y broses adeiladu graff. Roedd yn anodd iawn eu hargyhoeddi y gallai adeiladu graffiau awtomatig wneud hyn yn well na pherson â blynyddoedd lawer o brofiad. Penderfynwyd ar bopeth gan amser a gwiriadau “â llaw” lluosog o ganlyniadau'r hyn a gynhyrchodd y graff. Nawr mae ein harbenigwyr nid yn unig yn ymddiried yn y system, ond hefyd yn defnyddio'r canlyniadau y mae'n eu cael yn eu gwaith bob dydd. Mae'r dechnoleg hon yn gweithio y tu mewn i bob un o'n systemau ac yn ein galluogi i adnabod bygythiadau o unrhyw fath yn well. Mae'r rhyngwyneb ar gyfer dadansoddi graffiau â llaw wedi'i ymgorffori ym mhob cynnyrch Grŵp-IB ac mae'n ehangu'n sylweddol y galluoedd ar gyfer hela seiberdroseddu. Cadarnheir hyn gan adolygiadau dadansoddwyr gan ein cleientiaid. Ac rydym ni, yn ein tro, yn parhau i gyfoethogi'r graff gyda data a gweithio ar algorithmau newydd gan ddefnyddio deallusrwydd artiffisial i greu'r graff rhwydwaith mwyaf cywir.
Ffynhonnell: hab.com