Bei der Untersuchung von Fällen im Zusammenhang mit Phishing, Botnetzen, betrügerischen Transaktionen und kriminellen Hackergruppen nutzen Experten der Group-IB seit vielen Jahren die Diagrammanalyse, um verschiedene Arten von Zusammenhängen zu identifizieren. Verschiedene Fälle verfügen über eigene Datensätze, eigene Algorithmen zur Identifizierung von Zusammenhängen und auf bestimmte Aufgaben zugeschnittene Schnittstellen. Alle diese Tools wurden intern von Group-IB entwickelt und standen nur unseren Mitarbeitern zur Verfügung.

Diagrammanalyse der Netzwerkinfrastruktur (Netzwerkdiagramm) war das erste interne Tool, das wir in alle öffentlichen Produkte des Unternehmens integriert haben. Vor der Erstellung unseres Netzwerkdiagramms haben wir viele ähnliche Entwicklungen auf dem Markt analysiert und konnten kein einziges Produkt finden, das unseren eigenen Bedürfnissen entsprach. In diesem Artikel werden wir darüber sprechen, wie wir das Netzwerkdiagramm erstellt haben, wie wir es verwenden und auf welche Schwierigkeiten wir gestoßen sind.

Dmitri Wolkow, CTO Group-IB und Leiter Cyber ​​Intelligence

Was kann der Group-IB-Netzwerkgraph tun?

Untersuchungen

Seit der Gründung der Group-IB im Jahr 2003 bis heute hat die Identifizierung, Entlarvung und Strafverfolgung von Cyberkriminellen für uns oberste Priorität. Keine einzige Cyberangriffsuntersuchung war vollständig, ohne die Netzwerkinfrastruktur der Angreifer zu analysieren. Ganz am Anfang unserer Reise war es eine ziemlich mühsame „Handarbeit“, nach Beziehungen zu suchen, die bei der Identifizierung von Kriminellen helfen könnten: Informationen über Domainnamen, IP-Adressen, digitale Fingerabdrücke von Servern usw.

Die meisten Angreifer versuchen, möglichst anonym im Netzwerk zu agieren. Allerdings machen sie, wie alle Menschen, Fehler. Das Hauptziel einer solchen Analyse besteht darin, „weiße“ oder „graue“ historische Projekte von Angreifern zu finden, die Überschneidungen mit der bösartigen Infrastruktur haben, die bei dem aktuellen Vorfall, den wir untersuchen, verwendet wird. Gelingt es, „weiße Projekte“ zu erkennen, ist die Suche nach dem Angreifer in der Regel eine triviale Aufgabe. Bei „grauen“ Modellen ist die Suche zeitaufwändiger und aufwändiger, da deren Besitzer versuchen, Registrierungsdaten zu anonymisieren oder zu verbergen, aber die Chancen bleiben recht hoch. In der Regel achten Angreifer zu Beginn ihrer kriminellen Aktivitäten weniger auf ihre eigene Sicherheit und machen mehr Fehler. Je tiefer wir also in die Geschichte eintauchen, desto höher sind die Chancen auf eine erfolgreiche Untersuchung. Deshalb ist ein Netzwerkgraph mit einer guten Historie ein äußerst wichtiges Element einer solchen Untersuchung. Einfach ausgedrückt: Je tiefer die historischen Daten eines Unternehmens sind, desto besser ist sein Diagramm. Nehmen wir an, eine 5-jährige Vorgeschichte kann unter bestimmten Bedingungen zur Aufklärung von 1-2 von 10 Verbrechen beitragen, und eine 15-jährige Vorgeschichte bietet eine Chance, alle zehn aufzuklären.

Phishing- und Betrugserkennung

Jedes Mal, wenn wir einen verdächtigen Link zu einer Phishing-, betrügerischen oder raubkopierten Ressource erhalten, erstellen wir automatisch ein Diagramm der zugehörigen Netzwerkressourcen und überprüfen alle gefundenen Hosts auf ähnliche Inhalte. Damit lassen sich sowohl alte Phishing-Seiten finden, die aktiv, aber unbekannt waren, als auch völlig neue, die auf zukünftige Angriffe vorbereitet, aber noch nicht genutzt werden. Ein elementares Beispiel, das recht häufig vorkommt: Wir haben eine Phishing-Site auf einem Server mit nur 5 Sites gefunden. Indem wir jede einzelne davon überprüfen, finden wir Phishing-Inhalte auf anderen Websites, was bedeutet, dass wir fünf statt einer blockieren können.

Suche nach Backends

Dieser Vorgang ist notwendig, um festzustellen, wo sich der Schadserver tatsächlich befindet.
99 % der Kartenshops, Hacker-Foren, viele Phishing-Ressourcen und andere bösartige Server verbergen sich sowohl hinter ihren eigenen Proxy-Servern als auch hinter Proxys legitimer Dienste, zum Beispiel Cloudflare. Für Ermittlungen ist die Kenntnis des echten Backends sehr wichtig: Es wird bekannt, bei welchem ​​Hosting-Anbieter der Server beschlagnahmt werden kann, und es können Verbindungen zu anderen Schadprojekten aufgebaut werden.

Sie haben beispielsweise eine Phishing-Site zum Sammeln von Bankkartendaten, die zur IP-Adresse 11.11.11.11 aufgelöst wird, und eine Cardshop-Adresse, die zur IP-Adresse 22.22.22.22 aufgelöst wird. Bei der Analyse kann sich herausstellen, dass sowohl die Phishing-Seite als auch der Cardshop eine gemeinsame Backend-IP-Adresse haben, zum Beispiel 33.33.33.33. Dieses Wissen ermöglicht es uns, einen Zusammenhang zwischen Phishing-Angriffen und einem Kartenshop herzustellen, in dem möglicherweise Bankkartendaten verkauft werden.

Ereigniskorrelation

Wenn Sie zwei unterschiedliche Auslöser haben (z. B. auf einem IDS) mit unterschiedlicher Malware und unterschiedlichen Servern zur Kontrolle des Angriffs, behandeln Sie diese als zwei unabhängige Ereignisse. Wenn jedoch eine gute Verbindung zwischen bösartigen Infrastrukturen besteht, wird deutlich, dass es sich nicht um verschiedene Angriffe handelt, sondern um Phasen eines komplexeren mehrstufigen Angriffs. Und wenn eines der Ereignisse bereits einer Gruppe von Angreifern zugeordnet werden kann, kann auch das zweite Ereignis derselben Gruppe zugeordnet werden. Natürlich ist der Attributionsprozess viel komplexer, also betrachten Sie dies als einfaches Beispiel.

Indikatorenanreicherung

Wir werden dem nicht viel Aufmerksamkeit schenken, da dies das häufigste Szenario für die Verwendung von Diagrammen in der Cybersicherheit ist: Sie geben einen Indikator als Eingabe ein und als Ausgabe erhalten Sie eine Reihe verwandter Indikatoren.

Muster erkennen

Das Erkennen von Mustern ist für eine effektive Jagd unerlässlich. Mithilfe von Diagrammen können Sie nicht nur verwandte Elemente finden, sondern auch gemeinsame Eigenschaften identifizieren, die für eine bestimmte Hackergruppe charakteristisch sind. Die Kenntnis solcher einzigartigen Merkmale ermöglicht es Ihnen, die Infrastruktur des Angreifers bereits in der Vorbereitungsphase und ohne Beweise, die den Angriff bestätigen, wie z. B. Phishing-E-Mails oder Malware, zu erkennen.

Warum haben wir unser eigenes Netzwerkdiagramm erstellt?

Auch hier haben wir uns Lösungen verschiedener Anbieter angesehen, bevor wir zu dem Schluss kamen, dass wir ein eigenes Tool entwickeln müssen, das etwas kann, was kein bestehendes Produkt kann. Die Erstellung dauerte mehrere Jahre, in denen wir es mehrmals komplett veränderten. Trotz der langen Entwicklungszeit haben wir jedoch noch kein einziges Analogon gefunden, das unseren Anforderungen gerecht wird. Mit unserem eigenen Produkt konnten wir schließlich fast alle Probleme lösen, die wir in vorhandenen Netzwerkdiagrammen entdeckten. Im Folgenden werden wir diese Probleme im Detail betrachten:

Problem
Lösung

Fehlen eines Anbieters mit unterschiedlichen Datensammlungen: Domänen, passives DNS, passives SSL, DNS-Einträge, offene Ports, laufende Dienste auf Ports, Dateien, die mit Domänennamen und IP-Adressen interagieren. Erläuterung. In der Regel stellen Anbieter verschiedene Arten von Daten zur Verfügung. Um ein vollständiges Bild zu erhalten, müssen Sie von allen Anbietern Abonnements erwerben. Dennoch ist es nicht immer möglich, alle Daten zu erhalten: Einige passive SSL-Anbieter stellen nur Daten zu Zertifikaten bereit, die von vertrauenswürdigen Zertifizierungsstellen ausgestellt wurden, und ihre Abdeckung selbstsignierter Zertifikate ist äußerst schlecht. Andere stellen Daten ebenfalls über selbstsignierte Zertifikate bereit, sammeln diese jedoch nur über Standardports.
Wir haben alle oben genannten Sammlungen selbst gesammelt. Um beispielsweise Daten über SSL-Zertifikate zu sammeln, haben wir einen eigenen Dienst geschrieben, der diese sowohl von vertrauenswürdigen Zertifizierungsstellen als auch durch Scannen des gesamten IPv4-Bereichs sammelt. Zertifikate wurden nicht nur von IP, sondern auch von allen Domains und Subdomains aus unserer Datenbank gesammelt: wenn Sie die Domain example.com und ihre Subdomain haben www.example.com und sie werden alle in IP 1.1.1.1 aufgelöst. Wenn Sie dann versuchen, ein SSL-Zertifikat von Port 443 für eine IP, eine Domäne und deren Subdomäne zu erhalten, können Sie drei verschiedene Ergebnisse erhalten. Um Daten über offene Ports und laufende Dienste zu sammeln, mussten wir unser eigenes verteiltes Scansystem erstellen, da die IP-Adressen ihrer Scanserver bei anderen Diensten häufig auf „schwarzen Listen“ standen. Auch unsere Scan-Server landen auf Blacklists, aber das Ergebnis der Erkennung der von uns benötigten Dienste ist höher als das derjenigen, die einfach so viele Ports wie möglich scannen und den Zugriff auf diese Daten verkaufen.

Fehlender Zugriff auf die gesamte Datenbank historischer Aufzeichnungen. Erläuterung. Jeder normale Lieferant verfügt über eine gute gesammelte Historie, aber aus natürlichen Gründen konnten wir als Kunde nicht auf alle historischen Daten zugreifen. Diese. Sie können den gesamten Verlauf für einen einzelnen Datensatz abrufen, beispielsweise nach Domäne oder IP-Adresse, aber Sie können nicht den Verlauf von allem sehen – und ohne dies können Sie nicht das vollständige Bild sehen.
Um so viele historische Datensätze zu Domains wie möglich zu sammeln, haben wir verschiedene Datenbanken gekauft, viele offene Ressourcen analysiert, die diesen Verlauf hatten (gut, dass es viele davon gab) und mit Domainnamen-Registraren verhandelt. Alle Aktualisierungen unserer eigenen Kollektionen werden selbstverständlich mit einer vollständigen Revisionshistorie aufbewahrt.

Alle vorhandenen Lösungen ermöglichen die manuelle Erstellung eines Diagramms. Erläuterung. Nehmen wir an, Sie haben viele Abonnements von allen möglichen Datenanbietern (normalerweise „Enricher“ genannt) gekauft. Wenn Sie ein Diagramm erstellen müssen, geben Sie „mit den Händen“ den Befehl zum Erstellen aus dem gewünschten Verbindungselement, wählen dann die erforderlichen Elemente aus den angezeigten Elementen aus und geben den Befehl, die Verbindungen daraus zu vervollständigen, und so weiter. In diesem Fall liegt die Verantwortung dafür, wie gut das Diagramm erstellt wird, vollständig bei der Person.
Wir haben die automatische Erstellung von Diagrammen durchgeführt. Diese. Wenn Sie ein Diagramm erstellen müssen, werden automatisch Verbindungen vom ersten Element erstellt, dann auch von allen folgenden. Der Spezialist gibt lediglich die Tiefe an, in der das Diagramm erstellt werden muss. Der Prozess der automatischen Vervollständigung von Diagrammen ist einfach, andere Anbieter implementieren ihn jedoch nicht, da er eine große Anzahl irrelevanter Ergebnisse liefert, und wir mussten auch diesen Nachteil berücksichtigen (siehe unten).

Viele irrelevante Ergebnisse stellen bei allen Netzwerkelementdiagrammen ein Problem dar. Erläuterung. Beispielsweise ist eine „schlechte Domäne“ (die an einem Angriff beteiligt war) einem Server zugeordnet, mit dem in den letzten 10 Jahren 500 andere Domänen verknüpft waren. Beim manuellen Hinzufügen oder automatischen Erstellen eines Diagramms sollten alle diese 500 Domänen auch im Diagramm erscheinen, obwohl sie nicht mit dem Angriff in Zusammenhang stehen. Oder Sie überprüfen beispielsweise den IP-Indikator aus dem Sicherheitsbericht des Anbieters. Typischerweise werden solche Berichte mit erheblicher Verzögerung veröffentlicht und erstrecken sich oft über ein Jahr oder länger. Höchstwahrscheinlich ist der Server mit dieser IP-Adresse zum Zeitpunkt des Lesens des Berichts bereits an andere Personen mit anderen Verbindungen vermietet, und die Erstellung eines Diagramms führt wiederum dazu, dass Sie irrelevante Ergebnisse erhalten.
Wir haben das System darauf trainiert, irrelevante Elemente mithilfe der gleichen Logik zu identifizieren, wie es unsere Experten manuell getan haben. Sie überprüfen beispielsweise eine fehlerhafte Domain example.com, die jetzt auf IP 11.11.11.11 und vor einem Monat auf IP 22.22.22.22 aufgelöst wird. Neben der Domain example.com ist IP 11.11.11.11 auch mit example.ru verknüpft, und IP 22.22.22.22 ist mit 25 anderen Domains verknüpft. Das System versteht wie eine Person, dass 11.11.11.11 höchstwahrscheinlich ein dedizierter Server ist, und da die Domäne example.ru in der Schreibweise example.com ähnelt, sind sie mit hoher Wahrscheinlichkeit verbunden und sollten sich auf dem befinden Graph; aber IP 22.22.22.22 gehört zum Shared Hosting, daher müssen nicht alle seine Domänen in die Grafik einbezogen werden, es sei denn, es gibt andere Verbindungen, die zeigen, dass auch eine dieser 25 Domänen einbezogen werden muss (z. B. example.net). . Bevor das System versteht, dass Verbindungen unterbrochen und einige Elemente nicht in das Diagramm verschoben werden müssen, berücksichtigt es viele Eigenschaften der Elemente und Cluster, zu denen diese Elemente kombiniert werden, sowie die Stärke der aktuellen Verbindungen. Wenn wir beispielsweise einen kleinen Cluster (50 Elemente) im Diagramm haben, der eine fehlerhafte Domäne enthält, und einen weiteren großen Cluster (5 Elemente) und beide Cluster durch eine Verbindung (Linie) mit sehr geringer Stärke (Gewicht) verbunden sind , dann wird eine solche Verbindung unterbrochen und Elemente aus dem großen Cluster werden entfernt. Wenn jedoch viele Verbindungen zwischen kleinen und großen Clustern bestehen und deren Stärke allmählich zunimmt, wird die Verbindung in diesem Fall nicht unterbrochen und die erforderlichen Elemente beider Cluster bleiben in der Grafik erhalten.

Das Server- und Domänenbesitzintervall wird nicht berücksichtigt. Erläuterung. „Schlechte Domains“ werden früher oder später ablaufen und für böswillige oder legitime Zwecke erneut erworben. Sogar Bulletproof-Hosting-Server werden an verschiedene Hacker vermietet. Daher ist es wichtig, den Zeitraum zu kennen und zu berücksichtigen, in dem eine bestimmte Domain/ein bestimmter Server unter der Kontrolle eines Eigentümers stand. Wir stoßen oft auf die Situation, dass ein Server mit der IP 11.11.11.11 jetzt als C&C für einen Banking-Bot verwendet wird und vor zwei Monaten von Ransomware kontrolliert wurde. Wenn wir eine Verbindung aufbauen, ohne die Eigentümerintervalle zu berücksichtigen, sieht es so aus, als gäbe es eine Verbindung zwischen den Eigentümern des Banking-Botnetzes und der Ransomware, obwohl es in Wirklichkeit keine gibt. In unserer Arbeit ist ein solcher Fehler kritisch.
Wir haben dem System beigebracht, Eigentumsintervalle zu bestimmen. Bei Domains ist dies relativ einfach, da Whois häufig Start- und Ablaufdaten für die Registrierung enthält und wenn eine vollständige Historie der Whois-Änderungen vorliegt, können die Intervalle leicht ermittelt werden. Wenn die Registrierung einer Domain nicht abgelaufen ist, sondern ihre Verwaltung auf andere Eigentümer übertragen wurde, kann sie auch nachverfolgt werden. Bei SSL-Zertifikaten besteht dieses Problem nicht, da sie einmalig ausgestellt und nicht erneuert oder übertragen werden. Bei selbstsignierten Zertifikaten können Sie jedoch nicht auf die in der Gültigkeitsdauer des Zertifikats angegebenen Daten vertrauen, da Sie heute ein SSL-Zertifikat erstellen und das Startdatum des Zertifikats ab 2010 angeben können. Am schwierigsten ist es, die Besitzintervalle für Server zu bestimmen, da nur Hosting-Anbieter Termine und Mietdauern haben. Um die Serverbesitzdauer zu bestimmen, begannen wir, die Ergebnisse des Port-Scans zu nutzen und Fingerabdrücke laufender Dienste auf Ports zu erstellen. Anhand dieser Informationen können wir ziemlich genau sagen, wann der Besitzer des Servers gewechselt hat.

Wenige Verbindungen. Erläuterung. Heutzutage ist es nicht einmal ein Problem, eine kostenlose Liste von Domains zu erhalten, deren Whois eine bestimmte E-Mail-Adresse enthält, oder alle Domains herauszufinden, die mit einer bestimmten IP-Adresse verknüpft waren. Aber wenn es um Hacker geht, die ihr Bestes geben, um schwer aufspürbar zu sein, brauchen wir zusätzliche Tricks, um neue Eigenschaften zu finden und neue Verbindungen aufzubauen.
Wir haben viel Zeit damit verbracht, zu erforschen, wie wir Daten extrahieren können, die auf herkömmliche Weise nicht verfügbar waren. Wir können hier aus offensichtlichen Gründen nicht beschreiben, wie es funktioniert, aber unter bestimmten Umständen machen Hacker bei der Registrierung von Domains oder der Anmietung und Einrichtung von Servern Fehler, die es ihnen ermöglichen, E-Mail-Adressen, Hacker-Aliase und Backend-Adressen herauszufinden. Je mehr Verbindungen Sie extrahieren, desto genauere Diagramme können Sie erstellen.

So funktioniert unser Diagramm

Um das Netzwerkdiagramm verwenden zu können, müssen Sie die Domäne, die IP-Adresse, die E-Mail-Adresse oder den Fingerabdruck des SSL-Zertifikats in die Suchleiste eingeben. Es gibt drei Bedingungen, die der Analytiker steuern kann: Zeit, Schritttiefe und Clearing.

Zeit

Zeit – Datum oder Intervall, in dem das gesuchte Element für böswillige Zwecke verwendet wurde. Wenn Sie diesen Parameter nicht angeben, bestimmt das System selbst das letzte Besitzintervall für diese Ressource. Beispielsweise veröffentlichte Eset am 11. Juli berichten darüber, wie Buhtrap den 0-Day-Exploit für Cyberspionage nutzt. Am Ende des Berichts befinden sich 6 Indikatoren. Eines davon, secure-telemetry[.]net, wurde am 16. Juli erneut registriert. Wenn Sie also nach dem 16. Juli ein Diagramm erstellen, erhalten Sie irrelevante Ergebnisse. Wenn Sie jedoch angeben, dass diese Domain vor diesem Datum verwendet wurde, enthält die Grafik 126 neue Domains und 69 IP-Adressen, die nicht im Eset-Bericht aufgeführt sind:

• ukrfreshnews[.]com
• unian-search[.]com
• Vesti-Welt[.]info
• Runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]info
• rian-ua[.]net
• usw.

Neben Netzwerkindikatoren finden wir sofort Verbindungen zu Schaddateien, die Verbindungen zu dieser Infrastruktur hatten, sowie Tags, die uns mitteilen, dass Meterpreter und AZORult verwendet wurden.

Das Tolle daran ist, dass Sie dieses Ergebnis innerhalb einer Sekunde erhalten und nicht mehr tagelang die Daten analysieren müssen. Natürlich verkürzt sich durch dieses Vorgehen mitunter die Zeit für Untersuchungen erheblich, was oft kritisch ist.

Die Anzahl der Schritte oder Rekursionstiefe, mit der das Diagramm erstellt wird

Standardmäßig beträgt die Tiefe 3. Dies bedeutet, dass alle direkt verwandten Elemente vom gewünschten Element aus gefunden werden, dann von jedem neuen Element neue Verbindungen zu anderen Elementen erstellt werden und aus den neuen Elementen des letzten neue Elemente erstellt werden Schritt.

Nehmen wir ein Beispiel, das nichts mit APT- und 0-Day-Exploits zu tun hat. Kürzlich wurde auf Habré ein interessanter Betrugsfall im Zusammenhang mit Kryptowährungen beschrieben. Der Bericht erwähnt die Domain themcx[.]co, die von Betrügern zum Hosten einer Website verwendet wird, die angeblich eine Miner-Coin-Börse und phone-lookup[.]xyz ist, um Traffic anzulocken.

Aus der Beschreibung geht klar hervor, dass das System eine ziemlich große Infrastruktur erfordert, um den Verkehr auf betrügerische Ressourcen zu lenken. Wir beschlossen, diese Infrastruktur zu untersuchen, indem wir in vier Schritten ein Diagramm erstellten. Die Ausgabe war ein Diagramm mit 4 Domänen und 230 IP-Adressen. Als nächstes unterteilen wir Domänen in zwei Kategorien: solche, die Diensten für die Arbeit mit Kryptowährungen ähneln, und solche, die den Datenverkehr über Telefonverifizierungsdienste steigern sollen:

Bezogen auf Kryptowährung
Verbunden mit Telefonlochdiensten

Münzhalter[.]cc
Anruferdatensatz[.]site.

mcxwallet[.]co
Telefonaufzeichnungen[.]Speicherplatz

btcnoise[.]com
fone-uncover[.]xyz

cryptominer[.]watch
number-uncover[.]info

Очистка

Standardmäßig ist die Option „Graph Cleanup“ aktiviert und alle irrelevanten Elemente werden aus dem Diagramm entfernt. Es wurde übrigens in allen vorherigen Beispielen verwendet. Ich sehe eine natürliche Frage voraus: Wie können wir sicherstellen, dass etwas Wichtiges nicht gelöscht wird? Ich werde antworten: Für Analysten, die Diagramme gerne manuell erstellen, kann die automatische Bereinigung deaktiviert und die Anzahl der Schritte = 1 ausgewählt werden. Als Nächstes kann der Analyst das Diagramm aus den von ihm benötigten Elementen vervollständigen und Elemente daraus entfernen das Diagramm, das für die Aufgabe irrelevant ist.

Bereits in der Grafik steht dem Analysten der Verlauf der Änderungen in Whois, DNS sowie offenen Ports und darauf laufenden Diensten zur Verfügung.

Finanzielles Phishing

Wir haben die Aktivitäten einer APT-Gruppe untersucht, die mehrere Jahre lang Phishing-Angriffe gegen Kunden verschiedener Banken in verschiedenen Regionen durchgeführt hat. Ein charakteristisches Merkmal dieser Gruppe war die Registrierung von Domains, die den Namen echter Banken sehr ähnlich waren, und die meisten Phishing-Sites hatten das gleiche Design, die einzigen Unterschiede bestanden in den Namen der Banken und ihren Logos.

In diesem Fall hat uns die automatisierte Diagrammanalyse sehr geholfen. Anhand einer ihrer Domänen – lloydsbnk-uk[.]com – erstellten wir in wenigen Sekunden ein Diagramm mit einer Tiefe von 3 Schritten, das mehr als 250 bösartige Domänen identifizierte, die von dieser Gruppe seit 2015 verwendet wurden und weiterhin verwendet werden . Einige dieser Domains wurden bereits von Banken gekauft, historische Aufzeichnungen zeigen jedoch, dass sie zuvor für Angreifer registriert waren.

Der Übersichtlichkeit halber zeigt die Abbildung ein Diagramm mit einer Tiefe von 2 Schritten.

Bemerkenswert ist, dass die Angreifer bereits im Jahr 2019 ihre Taktik etwas änderten und damit begannen, nicht nur die Domains von Banken für das Hosting von Web-Phishing, sondern auch die Domains verschiedener Beratungsunternehmen für den Versand von Phishing-E-Mails zu registrieren. Zum Beispiel die Domänen „swift-department.com“, „saudconsultancy.com“, „vbgrigoryanpartners.com“.

Kobalt-Bande

Im Dezember 2018 verschickte die auf gezielte Angriffe auf Banken spezialisierte Hackergruppe Cobalt im Auftrag der Nationalbank von Kasachstan eine Mailing-Kampagne.

Die Briefe enthielten Links zu hXXps://nationalbank.bz/Doc/Prikaz.doc. Das heruntergeladene Dokument enthielt ein Makro, das Powershell startete und versuchte, die Datei von hXXp://wateroilclub.com/file/dwm.exe in %Temp%einmrmdmy.exe zu laden und auszuführen. Die Datei %Temp%einmrmdmy.exe, auch bekannt als dwm.exe, ist ein CobInt-Staginger, der für die Interaktion mit dem Server hXXp://admvmsopp.com/rilruietguadvtoefmuy konfiguriert ist.

Stellen Sie sich vor, Sie könnten diese Phishing-E-Mails nicht empfangen und keine vollständige Analyse der schädlichen Dateien durchführen. Die Grafik für die Schaddomäne nationalbank[.]bz zeigt sofort Verbindungen zu anderen Schaddomänen, ordnet sie einer Gruppe zu und zeigt, welche Dateien bei dem Angriff verwendet wurden.

Nehmen wir die IP-Adresse 46.173.219[.]152 aus diesem Diagramm, erstellen daraus in einem Durchgang ein Diagramm und schalten die Reinigung aus. Es sind 40 Domänen damit verbunden, zum Beispiel bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

Den Domänennamen nach zu urteilen, scheint es, dass sie in betrügerischen Machenschaften verwendet werden, aber der Reinigungsalgorithmus hat erkannt, dass sie nichts mit diesem Angriff zu tun haben, und hat sie nicht in die Grafik eingetragen, was den Prozess der Analyse und Zuordnung erheblich vereinfacht.

Wenn Sie den Graphen mit nationalbank[.]bz neu erstellen, aber den Graphenbereinigungsalgorithmus deaktivieren, enthält er mehr als 500 Elemente, von denen die meisten nichts mit der Cobalt-Gruppe oder ihren Angriffen zu tun haben. Ein Beispiel dafür, wie ein solches Diagramm aussieht, finden Sie unten:

Abschluss

Nach mehreren Jahren der Feinabstimmung, Tests in realen Untersuchungen, Bedrohungsforschung und der Suche nach Angreifern ist es uns gelungen, nicht nur ein einzigartiges Tool zu schaffen, sondern auch die Einstellung der Experten im Unternehmen dazu zu ändern. Zunächst möchten technische Experten die vollständige Kontrolle über den Graphenerstellungsprozess haben. Es war äußerst schwierig, sie davon zu überzeugen, dass die automatische Graphkonstruktion dies besser kann als eine Person mit langjähriger Erfahrung. Alles wurde durch Zeit und mehrere „manuelle“ Überprüfungen der Ergebnisse der Grafik entschieden. Mittlerweile vertrauen unsere Experten nicht nur dem System, sondern nutzen die erzielten Ergebnisse auch in ihrer täglichen Arbeit. Diese Technologie funktioniert in jedem unserer Systeme und ermöglicht es uns, Bedrohungen jeglicher Art besser zu erkennen. Die Schnittstelle zur manuellen Diagrammanalyse ist in alle Group-IB-Produkte integriert und erweitert die Möglichkeiten zur Cyberkriminalitätsjagd erheblich. Dies wird durch Analystenbewertungen unserer Kunden bestätigt. Und wir wiederum reichern den Graphen weiterhin mit Daten an und arbeiten an neuen Algorithmen, die künstliche Intelligenz nutzen, um den genauesten Netzwerkgraphen zu erstellen.

Source: habr.com