Διερευνώντας υποθέσεις που σχετίζονται με phishing, botnets, δόλιες συναλλαγές και εγκληματικές ομάδες χάκερ, οι ειδικοί του Group-IB χρησιμοποιούν ανάλυση γραφημάτων εδώ και πολλά χρόνια για να εντοπίσουν διάφορα είδη συνδέσεων. Διαφορετικές περιπτώσεις έχουν τα δικά τους σύνολα δεδομένων, τους δικούς τους αλγόριθμους για τον εντοπισμό συνδέσεων και διεπαφές προσαρμοσμένες για συγκεκριμένες εργασίες. Όλα αυτά τα εργαλεία αναπτύχθηκαν εσωτερικά από την Group-IB και ήταν διαθέσιμα μόνο στους υπαλλήλους μας.

Ανάλυση γραφήματος της υποδομής δικτύου (γράφημα δικτύου) έγινε το πρώτο εσωτερικό εργαλείο που ενσωματώσαμε σε όλα τα δημόσια προϊόντα της εταιρείας. Πριν δημιουργήσουμε το γράφημα δικτύου μας, αναλύσαμε πολλές παρόμοιες εξελίξεις στην αγορά και δεν βρήκαμε ούτε ένα προϊόν που να ικανοποιεί τις δικές μας ανάγκες. Σε αυτό το άρθρο θα μιλήσουμε για το πώς δημιουργήσαμε το γράφημα δικτύου, πώς το χρησιμοποιούμε και ποιες δυσκολίες συναντήσαμε.

Ντμίτρι Βολκόφ, CTO Group-IB και επικεφαλής του τμήματος πληροφοριών στον κυβερνοχώρο

Τι μπορεί να κάνει το γράφημα δικτύου Group-IB;

Έρευνες

Από την ίδρυση του Group-IB το 2003 μέχρι σήμερα, ο εντοπισμός, η αποκήρυξη και η προσαγωγή των εγκληματιών του κυβερνοχώρου στη δικαιοσύνη αποτελεί κορυφαία προτεραιότητα στο έργο μας. Ούτε μια έρευνα για κυβερνοεπίθεση δεν ολοκληρώθηκε χωρίς να αναλυθεί η δικτυακή υποδομή των εισβολέων. Στην αρχή του ταξιδιού μας, ήταν μια αρκετά επίπονη «χειροκίνητη εργασία» η αναζήτηση σχέσεων που θα μπορούσαν να βοηθήσουν στον εντοπισμό εγκληματιών: πληροφορίες σχετικά με ονόματα τομέα, διευθύνσεις IP, ψηφιακά δακτυλικά αποτυπώματα διακομιστών κ.λπ.

Οι περισσότεροι εισβολείς προσπαθούν να ενεργήσουν όσο το δυνατόν πιο ανώνυμα στο δίκτυο. Ωστόσο, όπως όλοι οι άνθρωποι, κάνουν λάθη. Ο κύριος στόχος μιας τέτοιας ανάλυσης είναι να βρει «λευκά» ή «γκρίζα» ιστορικά έργα επιτιθέμενων που έχουν διασταυρώσεις με την κακόβουλη υποδομή που χρησιμοποιείται στο τρέχον περιστατικό που ερευνούμε. Εάν είναι δυνατό να εντοπιστούν "λευκά έργα", τότε η εύρεση του εισβολέα, κατά κανόνα, γίνεται μια ασήμαντη εργασία. Στην περίπτωση των «γκρίζων», η αναζήτηση απαιτεί περισσότερο χρόνο και προσπάθεια, καθώς οι ιδιοκτήτες τους προσπαθούν να ανωνυμοποιήσουν ή να αποκρύψουν τα δεδομένα εγγραφής, αλλά οι πιθανότητες παραμένουν αρκετά υψηλές. Κατά κανόνα, στην αρχή των εγκληματικών δραστηριοτήτων τους, οι επιτιθέμενοι δίνουν λιγότερη προσοχή στη δική τους ασφάλεια και κάνουν περισσότερα λάθη, επομένως όσο πιο βαθιά μπορούμε να βουτήξουμε στην ιστορία, τόσο μεγαλύτερες είναι οι πιθανότητες για μια επιτυχημένη έρευνα. Αυτός είναι ο λόγος για τον οποίο ένα γράφημα δικτύου με καλό ιστορικό είναι ένα εξαιρετικά σημαντικό στοιχείο μιας τέτοιας έρευνας. Με απλά λόγια, όσο πιο βαθιά ιστορικά δεδομένα έχει μια εταιρεία, τόσο καλύτερο το γράφημά της. Ας πούμε ότι ένα ιστορικό 5 ετών μπορεί να βοηθήσει στην επίλυση, υπό όρους, 1-2 στα 10 εγκλήματα, και ένα ιστορικό 15 ετών δίνει την ευκαιρία να λυθούν και τα δέκα.

Ψάρεμα και ανίχνευση απάτης

Κάθε φορά που λαμβάνουμε έναν ύποπτο σύνδεσμο προς έναν πόρο ηλεκτρονικού ψαρέματος (phishing), δόλιο ή πειρατικό πόρο, δημιουργούμε αυτόματα ένα γράφημα σχετικών πόρων δικτύου και ελέγχουμε όλους τους κεντρικούς υπολογιστές που βρέθηκαν για παρόμοιο περιεχόμενο. Αυτό σας επιτρέπει να βρείτε τόσο παλιούς ιστότοπους phishing που ήταν ενεργοί αλλά άγνωστοι, όσο και εντελώς νέους που είναι προετοιμασμένοι για μελλοντικές επιθέσεις, αλλά δεν έχουν χρησιμοποιηθεί ακόμη. Ένα βασικό παράδειγμα που εμφανίζεται αρκετά συχνά: βρήκαμε έναν ιστότοπο phishing σε έναν διακομιστή με μόνο 5 τοποθεσίες. Ελέγχοντας καθένα από αυτά, βρίσκουμε περιεχόμενο phishing σε άλλους ιστότοπους, πράγμα που σημαίνει ότι μπορούμε να αποκλείσουμε 5 αντί για 1.

Αναζήτηση για backends

Αυτή η διαδικασία είναι απαραίτητη για να προσδιοριστεί πού βρίσκεται πραγματικά ο κακόβουλος διακομιστής.
Το 99% των καταστημάτων καρτών, των φόρουμ χάκερ, πολλών πόρων ηλεκτρονικού ψαρέματος και άλλων κακόβουλων διακομιστών κρύβονται τόσο πίσω από τους δικούς τους διακομιστές μεσολάβησης όσο και από τους διακομιστές μεσολάβησης νόμιμων υπηρεσιών, για παράδειγμα, το Cloudflare. Η γνώση σχετικά με το πραγματικό backend είναι πολύ σημαντική για τις έρευνες: ο πάροχος φιλοξενίας από τον οποίο μπορεί να γίνει κατάσχεση του διακομιστή γίνεται γνωστός και καθίσταται δυνατή η δημιουργία συνδέσεων με άλλα κακόβουλα έργα.

Για παράδειγμα, έχετε έναν ιστότοπο ηλεκτρονικού ψαρέματος (phishing) για τη συλλογή δεδομένων τραπεζικής κάρτας που επιλύεται στη διεύθυνση IP 11.11.11.11 και μια διεύθυνση καταστήματος καρτών που οδηγεί στη διεύθυνση IP 22.22.22.22. Κατά τη διάρκεια της ανάλυσης, μπορεί να αποδειχθεί ότι τόσο ο ιστότοπος phishing όσο και το κατάστημα καρτών έχουν μια κοινή διεύθυνση IP υποστήριξης, για παράδειγμα, 33.33.33.33. Αυτή η γνώση μας επιτρέπει να δημιουργήσουμε μια σύνδεση μεταξύ των επιθέσεων phishing και ενός καταστήματος καρτών όπου μπορούν να πωληθούν δεδομένα τραπεζικών καρτών.

Συσχέτιση γεγονότων

Όταν έχετε δύο διαφορετικούς κανόνες ενεργοποίησης (ας πούμε σε ένα IDS) με διαφορετικό κακόβουλο λογισμικό και διαφορετικούς διακομιστές για τον έλεγχο της επίθεσης, θα τους αντιμετωπίζετε ως δύο ανεξάρτητα συμβάντα. Αλλά εάν υπάρχει καλή σύνδεση μεταξύ κακόβουλων υποδομών, τότε γίνεται προφανές ότι δεν πρόκειται για διαφορετικές επιθέσεις, αλλά για στάδια μιας, πιο περίπλοκης επίθεσης πολλαπλών σταδίων. Και αν ένα από τα γεγονότα αποδίδεται ήδη σε οποιαδήποτε ομάδα επιτιθέμενων, τότε το δεύτερο μπορεί επίσης να αποδοθεί στην ίδια ομάδα. Φυσικά, η διαδικασία απόδοσης είναι πολύ πιο περίπλοκη, επομένως αντιμετωπίστε το ως ένα απλό παράδειγμα.

Εμπλουτισμός δείκτη

Δεν θα δώσουμε ιδιαίτερη προσοχή σε αυτό, καθώς αυτό είναι το πιο συνηθισμένο σενάριο για τη χρήση γραφημάτων στην ασφάλεια στον κυβερνοχώρο: δίνετε έναν δείκτη ως είσοδο και ως έξοδο λαμβάνετε μια σειρά από σχετικούς δείκτες.

Αναγνώριση προτύπων

Ο εντοπισμός προτύπων είναι απαραίτητος για αποτελεσματικό κυνήγι. Τα γραφήματα σάς επιτρέπουν όχι μόνο να βρείτε σχετικά στοιχεία, αλλά και να προσδιορίσετε κοινές ιδιότητες που είναι χαρακτηριστικές μιας συγκεκριμένης ομάδας χάκερ. Η γνώση τέτοιων μοναδικών χαρακτηριστικών σάς επιτρέπει να αναγνωρίζετε την υποδομή του εισβολέα ακόμη και στο στάδιο της προετοιμασίας και χωρίς στοιχεία που επιβεβαιώνουν την επίθεση, όπως μηνύματα ηλεκτρονικού ψαρέματος ή κακόβουλο λογισμικό.

Γιατί δημιουργήσαμε το δικό μας γράφημα δικτύου;

Και πάλι, εξετάσαμε λύσεις από διαφορετικούς προμηθευτές προτού καταλήξουμε στο συμπέρασμα ότι έπρεπε να αναπτύξουμε το δικό μας εργαλείο που θα μπορούσε να κάνει κάτι που κανένα υπάρχον προϊόν δεν θα μπορούσε να κάνει. Χρειάστηκαν αρκετά χρόνια για τη δημιουργία του, κατά τη διάρκεια των οποίων το αλλάξαμε εντελώς αρκετές φορές. Όμως, παρά τη μακρά περίοδο ανάπτυξης, δεν έχουμε βρει ακόμη ένα ανάλογο που να ικανοποιεί τις απαιτήσεις μας. Χρησιμοποιώντας το δικό μας προϊόν, μπορέσαμε τελικά να λύσουμε σχεδόν όλα τα προβλήματα που ανακαλύψαμε στα υπάρχοντα γραφήματα δικτύου. Παρακάτω θα εξετάσουμε αναλυτικά αυτά τα προβλήματα:

πρόβλημα
Λύση

Έλλειψη παρόχου με διαφορετικές συλλογές δεδομένων: τομείς, παθητικό DNS, παθητικό SSL, εγγραφές DNS, ανοιχτές θύρες, υπηρεσίες που εκτελούνται σε θύρες, αρχεία που αλληλεπιδρούν με ονόματα τομέα και διευθύνσεις IP. Εξήγηση. Συνήθως, οι πάροχοι παρέχουν ξεχωριστούς τύπους δεδομένων και για να έχετε την πλήρη εικόνα, πρέπει να αγοράσετε συνδρομές από όλους. Παρόλα αυτά, δεν είναι πάντα δυνατή η απόκτηση όλων των δεδομένων: ορισμένοι πάροχοι παθητικών SSL παρέχουν δεδομένα μόνο για πιστοποιητικά που εκδίδονται από αξιόπιστες ΑΠ και η κάλυψη των πιστοποιητικών που έχουν υπογραφεί από τους ίδιους είναι εξαιρετικά φτωχή. Άλλοι παρέχουν επίσης δεδομένα χρησιμοποιώντας αυτο-υπογεγραμμένα πιστοποιητικά, αλλά τα συλλέγουν μόνο από τυπικές θύρες.
Συγκεντρώσαμε μόνοι μας όλες τις παραπάνω συλλογές. Για παράδειγμα, για τη συλλογή δεδομένων σχετικά με πιστοποιητικά SSL, γράψαμε τη δική μας υπηρεσία που τα συλλέγει τόσο από αξιόπιστες CA όσο και σαρώνοντας ολόκληρο τον χώρο IPv4. Τα πιστοποιητικά συλλέχθηκαν όχι μόνο από IP, αλλά και από όλους τους τομείς και τους υποτομείς από τη βάση δεδομένων μας: εάν έχετε τον τομέα example.com και τον υποτομέα του www.example.com και όλα επιλύονται στην IP 1.1.1.1, τότε όταν προσπαθείτε να αποκτήσετε ένα πιστοποιητικό SSL από τη θύρα 443 σε μια IP, έναν τομέα και τον υποτομέα του, μπορείτε να λάβετε τρία διαφορετικά αποτελέσματα. Για να συλλέξουμε δεδομένα για ανοιχτές θύρες και υπηρεσίες που εκτελούνται, έπρεπε να δημιουργήσουμε το δικό μας κατανεμημένο σύστημα σάρωσης, επειδή άλλες υπηρεσίες είχαν συχνά τις διευθύνσεις IP των διακομιστών σάρωσης σε «μαύρες λίστες». Οι διακομιστές σάρωσης μας καταλήγουν επίσης σε μαύρες λίστες, αλλά το αποτέλεσμα του εντοπισμού των υπηρεσιών που χρειαζόμαστε είναι υψηλότερο από εκείνους που απλώς σαρώνουν όσο το δυνατόν περισσότερες θύρες και πωλούν πρόσβαση σε αυτά τα δεδομένα.

Έλλειψη πρόσβασης σε ολόκληρη τη βάση δεδομένων των ιστορικών αρχείων. Εξήγηση. Κάθε κανονικός προμηθευτής έχει ένα καλό συσσωρευμένο ιστορικό, αλλά για φυσικούς λόγους εμείς, ως πελάτης, δεν μπορέσαμε να αποκτήσουμε πρόσβαση σε όλα τα ιστορικά δεδομένα. Εκείνοι. Μπορείτε να λάβετε ολόκληρο το ιστορικό για μία μόνο εγγραφή, για παράδειγμα, ανά τομέα ή διεύθυνση IP, αλλά δεν μπορείτε να δείτε το ιστορικό όλων - και χωρίς αυτό δεν μπορείτε να δείτε την πλήρη εικόνα.
Για να συλλέξουμε όσο το δυνατόν περισσότερα ιστορικά αρχεία σε τομείς, αγοράσαμε διάφορες βάσεις δεδομένων, αναλύσαμε πολλούς ανοιχτούς πόρους που είχαν αυτό το ιστορικό (είναι καλό που υπήρχαν πολλοί από αυτούς) και διαπραγματευτήκαμε με καταχωρητές ονομάτων τομέα. Όλες οι ενημερώσεις στις δικές μας συλλογές διατηρούνται φυσικά με πλήρες ιστορικό αναθεωρήσεων.

Όλες οι υπάρχουσες λύσεις σάς επιτρέπουν να δημιουργήσετε ένα γράφημα με μη αυτόματο τρόπο. Εξήγηση. Ας υποθέσουμε ότι αγοράσατε πολλές συνδρομές από όλους τους πιθανούς παρόχους δεδομένων (που συνήθως ονομάζονται "εμπλουτιστές"). Όταν χρειάζεται να δημιουργήσετε ένα γράφημα, «χέρια» δίνετε την εντολή δημιουργίας από το επιθυμητό στοιχείο σύνδεσης, μετά επιλέγετε τα απαραίτητα από τα στοιχεία που εμφανίζονται και δίνετε την εντολή να ολοκληρώσετε τις συνδέσεις από αυτά κ.ο.κ. Σε αυτή την περίπτωση, η ευθύνη για το πόσο καλά θα κατασκευαστεί το γράφημα βαρύνει αποκλειστικά το άτομο.
Κάναμε αυτόματη κατασκευή γραφημάτων. Εκείνοι. εάν χρειάζεται να δημιουργήσετε ένα γράφημα, τότε οι συνδέσεις από το πρώτο στοιχείο δημιουργούνται αυτόματα, στη συνέχεια και από όλα τα επόμενα. Ο ειδικός υποδεικνύει μόνο το βάθος στο οποίο πρέπει να κατασκευαστεί το γράφημα. Η διαδικασία αυτόματης συμπλήρωσης γραφημάτων είναι απλή, αλλά άλλοι προμηθευτές δεν την εφαρμόζουν επειδή παράγει έναν τεράστιο αριθμό άσχετων αποτελεσμάτων και έπρεπε επίσης να λάβουμε υπόψη αυτό το μειονέκτημα (δείτε παρακάτω).

Πολλά άσχετα αποτελέσματα αποτελούν πρόβλημα με όλα τα γραφήματα στοιχείων δικτύου. Εξήγηση. Για παράδειγμα, ένας "κακός τομέας" (που συμμετείχε σε μια επίθεση) συσχετίζεται με έναν διακομιστή που έχει 10 άλλους τομείς που σχετίζονται με αυτόν τα τελευταία 500 χρόνια. Κατά την μη αυτόματη προσθήκη ή αυτόματη κατασκευή ενός γραφήματος, και οι 500 τομείς θα πρέπει επίσης να εμφανίζονται στο γράφημα, αν και δεν σχετίζονται με την επίθεση. Ή, για παράδειγμα, ελέγχετε την ένδειξη IP από την αναφορά ασφαλείας του προμηθευτή. Συνήθως, τέτοιες αναφορές δημοσιεύονται με σημαντική καθυστέρηση και συχνά καλύπτουν ένα έτος ή περισσότερο. Πιθανότατα, τη στιγμή που διαβάζετε την αναφορά, ο διακομιστής με αυτήν τη διεύθυνση IP έχει ήδη νοικιαστεί σε άλλα άτομα με άλλες συνδέσεις και η δημιουργία γραφήματος θα έχει και πάλι ως αποτέλεσμα να λαμβάνετε άσχετα αποτελέσματα.
Εκπαιδεύσαμε το σύστημα να εντοπίζει άσχετα στοιχεία χρησιμοποιώντας την ίδια λογική που έκαναν οι ειδικοί μας με μη αυτόματο τρόπο. Για παράδειγμα, ελέγχετε έναν κακό τομέα example.com, ο οποίος τώρα επιλύεται σε IP 11.11.11.11 και πριν από ένα μήνα - σε IP 22.22.22.22. Εκτός από τον τομέα example.com, το IP 11.11.11.11 σχετίζεται επίσης με το example.ru και το IP 22.22.22.22 σχετίζεται με 25 χιλιάδες άλλους τομείς. Το σύστημα, όπως ένα άτομο, κατανοεί ότι ο 11.11.11.11 είναι πιθανότατα ένας αποκλειστικός διακομιστής και επειδή ο τομέας example.ru είναι παρόμοιος στην ορθογραφία με το example.com, τότε, με μεγάλη πιθανότητα, συνδέονται και θα πρέπει να βρίσκονται στο γραφική παράσταση; αλλά η IP 22.22.22.22 ανήκει στην κοινόχρηστη φιλοξενία, επομένως όλοι οι τομείς της δεν χρειάζεται να περιλαμβάνονται στο γράφημα, εκτός εάν υπάρχουν άλλες συνδέσεις που δείχνουν ότι ένας από αυτούς τους 25 χιλιάδες τομείς πρέπει επίσης να συμπεριληφθεί (για παράδειγμα, example.net) . Προτού το σύστημα καταλάβει ότι οι συνδέσεις πρέπει να διακοπούν και ορισμένα στοιχεία να μην μετακινηθούν στο γράφημα, λαμβάνει υπόψη πολλές ιδιότητες των στοιχείων και των συμπλεγμάτων στα οποία συνδυάζονται αυτά τα στοιχεία, καθώς και την ισχύ των τρεχουσών συνδέσεων. Για παράδειγμα, εάν έχουμε ένα μικρό σύμπλεγμα (50 στοιχεία) στο γράφημα, το οποίο περιλαμβάνει έναν κακό τομέα και ένα άλλο μεγάλο σύμπλεγμα (5 χιλιάδες στοιχεία) και τα δύο συμπλέγματα συνδέονται με μια σύνδεση (γραμμή) με πολύ χαμηλή αντοχή (βάρος) , τότε μια τέτοια σύνδεση θα σπάσει και στοιχεία από το μεγάλο σύμπλεγμα θα αφαιρεθούν. Αλλά αν υπάρχουν πολλές συνδέσεις μεταξύ μικρών και μεγάλων συστάδων και η δύναμή τους σταδιακά αυξάνεται, τότε σε αυτήν την περίπτωση η σύνδεση δεν θα σπάσει και τα απαραίτητα στοιχεία και από τα δύο συμπλέγματα θα παραμείνουν στο γράφημα.

Το διάστημα ιδιοκτησίας διακομιστή και τομέα δεν λαμβάνεται υπόψη. Εξήγηση. Οι "κακοί τομείς" αργά ή γρήγορα θα λήξουν και θα αγοραστούν ξανά για κακόβουλους ή νόμιμους σκοπούς. Ακόμη και οι αλεξίσφαιροι διακομιστές φιλοξενίας ενοικιάζονται σε διαφορετικούς χάκερ, επομένως είναι σημαντικό να γνωρίζετε και να λαμβάνετε υπόψη το διάστημα κατά το οποίο ένας συγκεκριμένος τομέας/διακομιστής ήταν υπό τον έλεγχο ενός ιδιοκτήτη. Συχνά αντιμετωπίζουμε μια κατάσταση όπου ένας διακομιστής με IP 11.11.11.11 χρησιμοποιείται πλέον ως C&C για ένα τραπεζικό bot και πριν από 2 μήνες ελέγχονταν από το Ransomware. Εάν δημιουργήσουμε μια σύνδεση χωρίς να λάβουμε υπόψη τα διαστήματα ιδιοκτησίας, θα φαίνεται ότι υπάρχει σύνδεση μεταξύ των κατόχων του τραπεζικού botnet και του ransomware, αν και στην πραγματικότητα δεν υπάρχει. Στη δουλειά μας, ένα τέτοιο σφάλμα είναι κρίσιμο.
Διδάξαμε στο σύστημα να προσδιορίζει τα διαστήματα ιδιοκτησίας. Για τομείς αυτό είναι σχετικά απλό, επειδή το whois συχνά περιέχει ημερομηνίες έναρξης και λήξης εγγραφής και, όταν υπάρχει πλήρες ιστορικό αλλαγών whois, είναι εύκολο να προσδιοριστούν τα διαστήματα. Όταν η εγγραφή ενός domain δεν έχει λήξει, αλλά η διαχείρισή του έχει μεταβιβαστεί σε άλλους κατόχους, μπορεί επίσης να παρακολουθηθεί. Δεν υπάρχει τέτοιο πρόβλημα για τα πιστοποιητικά SSL, γιατί εκδίδονται μία φορά και δεν ανανεώνονται ή μεταβιβάζονται. Αλλά με τα αυτο-υπογεγραμμένα πιστοποιητικά, δεν μπορείτε να εμπιστευτείτε τις ημερομηνίες που καθορίζονται στην περίοδο ισχύος του πιστοποιητικού, επειδή μπορείτε να δημιουργήσετε ένα πιστοποιητικό SSL σήμερα και να καθορίσετε την ημερομηνία έναρξης του πιστοποιητικού από το 2010. Το πιο δύσκολο πράγμα είναι να καθορίσετε τα διαστήματα ιδιοκτησίας για διακομιστές, επειδή μόνο οι πάροχοι φιλοξενίας έχουν ημερομηνίες και περιόδους ενοικίασης. Για να προσδιορίσουμε την περίοδο ιδιοκτησίας διακομιστή, αρχίσαμε να χρησιμοποιούμε τα αποτελέσματα της σάρωσης θυρών και τη δημιουργία δακτυλικών αποτυπωμάτων από υπηρεσίες που εκτελούνται στις θύρες. Χρησιμοποιώντας αυτές τις πληροφορίες, μπορούμε να πούμε με αρκετή ακρίβεια πότε άλλαξε ο κάτοχος του διακομιστή.

Λίγες συνδέσεις. Εξήγηση. Σήμερα, δεν είναι καν πρόβλημα να αποκτήσετε μια δωρεάν λίστα τομέων των οποίων το whois περιέχει μια συγκεκριμένη διεύθυνση email ή να μάθετε όλους τους τομείς που συσχετίστηκαν με μια συγκεκριμένη διεύθυνση IP. Αλλά όταν πρόκειται για χάκερ που κάνουν ό,τι μπορούν για να είναι δύσκολο να εντοπιστούν, χρειαζόμαστε επιπλέον κόλπα για να βρούμε νέες ιδιότητες και να δημιουργήσουμε νέες συνδέσεις.
Ξοδέψαμε πολύ χρόνο ερευνώντας πώς θα μπορούσαμε να εξαγάγουμε δεδομένα που δεν ήταν διαθέσιμα με συμβατικό τρόπο. Δεν μπορούμε να περιγράψουμε εδώ πώς λειτουργεί για προφανείς λόγους, αλλά υπό ορισμένες συνθήκες, οι χάκερ, κατά την εγγραφή τομέων ή την ενοικίαση και τη ρύθμιση διακομιστών, κάνουν λάθη που τους επιτρέπουν να ανακαλύψουν διευθύνσεις email, ψευδώνυμα χάκερ και διευθύνσεις υποστήριξης. Όσο περισσότερες συνδέσεις εξάγετε, τόσο πιο ακριβή γραφήματα μπορείτε να δημιουργήσετε.

Πώς λειτουργεί το γράφημά μας

Για να ξεκινήσετε να χρησιμοποιείτε το γράφημα δικτύου, πρέπει να εισαγάγετε τον τομέα, τη διεύθυνση IP, το δακτυλικό αποτύπωμα του email ή του πιστοποιητικού SSL στη γραμμή αναζήτησης. Υπάρχουν τρεις συνθήκες που μπορεί να ελέγξει ο αναλυτής: χρόνος, βάθος βήματος και εκκαθάριση.

ώρα

Ώρα – ημερομηνία ή διάστημα κατά το οποίο το στοιχείο που αναζητήθηκε χρησιμοποιήθηκε για κακόβουλους σκοπούς. Εάν δεν καθορίσετε αυτήν την παράμετρο, το ίδιο το σύστημα θα καθορίσει το τελευταίο διάστημα ιδιοκτησίας για αυτόν τον πόρο. Για παράδειγμα, στις 11 Ιουλίου, το Eset δημοσίευσε την έκθεση για το πώς ο Buhtrap χρησιμοποιεί την εκμετάλλευση των 0 ημερών για κατασκοπεία στον κυβερνοχώρο. Υπάρχουν 6 δείκτες στο τέλος της αναφοράς. Ένα από αυτά, το safe-telemetry[.]net, καταχωρήθηκε εκ νέου στις 16 Ιουλίου. Επομένως, εάν δημιουργήσετε ένα γράφημα μετά τις 16 Ιουλίου, θα έχετε άσχετα αποτελέσματα. Ωστόσο, εάν υποδείξετε ότι αυτός ο τομέας χρησιμοποιήθηκε πριν από αυτήν την ημερομηνία, τότε το γράφημα περιλαμβάνει 126 νέους τομείς, 69 διευθύνσεις IP που δεν αναφέρονται στην αναφορά Eset:

ukrfreshnews[.]com
unian-search[.]com
vesti-world[.]πληροφορίες
runewsmeta[.]com
foxnewsmeta[.]biz
sobesednik-meta[.]πληροφορίες
rian-ua[.]net
κλπ.

Εκτός από τους δείκτες δικτύου, βρίσκουμε αμέσως συνδέσεις με κακόβουλα αρχεία που είχαν συνδέσεις με αυτήν την υποδομή και ετικέτες που μας λένε ότι χρησιμοποιήθηκαν το Meterpreter και το AZORult.

Το υπέροχο είναι ότι παίρνετε αυτό το αποτέλεσμα μέσα σε ένα δευτερόλεπτο και δεν χρειάζεται πλέον να ξοδεύετε μέρες αναλύοντας τα δεδομένα. Φυσικά, αυτή η προσέγγιση μερικές φορές μειώνει σημαντικά τον χρόνο για έρευνες, ο οποίος είναι συχνά κρίσιμος.

Ο αριθμός των βημάτων ή το βάθος αναδρομής με το οποίο θα κατασκευαστεί το γράφημα

Από προεπιλογή, το βάθος είναι 3. Αυτό σημαίνει ότι όλα τα άμεσα συνδεδεμένα στοιχεία θα βρεθούν από το επιθυμητό στοιχείο, στη συνέχεια θα δημιουργηθούν νέες συνδέσεις από κάθε νέο στοιχείο σε άλλα στοιχεία και νέα στοιχεία θα δημιουργηθούν από τα νέα στοιχεία από το τελευταίο βήμα.

Ας πάρουμε ένα παράδειγμα που δεν σχετίζεται με APT και 0-day exploit. Πρόσφατα, μια ενδιαφέρουσα περίπτωση απάτης που σχετίζεται με κρυπτονομίσματα περιγράφηκε στο Habré. Η αναφορά αναφέρει τον τομέα themcx[.]co, που χρησιμοποιείται από απατεώνες για να φιλοξενήσει έναν ιστότοπο που υποτίθεται ότι είναι ανταλλακτήριο κερμάτων Miner και αναζήτηση τηλεφώνου[.]xyz για να προσελκύσει επισκεψιμότητα.

Είναι σαφές από την περιγραφή ότι το σχέδιο απαιτεί μια αρκετά μεγάλη υποδομή για την προσέλκυση κίνησης σε δόλιες πηγές. Αποφασίσαμε να εξετάσουμε αυτή την υποδομή δημιουργώντας ένα γράφημα σε 4 βήματα. Η έξοδος ήταν ένα γράφημα με 230 τομείς και 39 διευθύνσεις IP. Στη συνέχεια, χωρίζουμε τους τομείς σε 2 κατηγορίες: αυτούς που μοιάζουν με υπηρεσίες για εργασία με κρυπτονομίσματα και εκείνους που προορίζονται να οδηγήσουν την επισκεψιμότητα μέσω υπηρεσιών επαλήθευσης τηλεφώνου:

Σχετίζεται με κρυπτονομίσματα
Σχετίζεται με υπηρεσίες διάτρησης τηλεφώνου

νομισματοποιός[.]cc
καταγραφή καλούντων[.]ιστότοπος.

mcxwallet[.]co
τηλεφωνικά αρχεία[.]χώρος

btcnoise[.]com
fone-αποκαλύπτω[.]xyz

cryptominer[.]ρολόι
αριθμός-αποκάλυψη[.]πληροφορίες

Καθαρισμός

Από προεπιλογή, η επιλογή "Εκκαθάριση γραφήματος" είναι ενεργοποιημένη και όλα τα άσχετα στοιχεία θα αφαιρεθούν από το γράφημα. Παρεμπιπτόντως, χρησιμοποιήθηκε σε όλα τα προηγούμενα παραδείγματα. Προβλέπω ένα φυσικό ερώτημα: πώς μπορούμε να βεβαιωθούμε ότι κάτι σημαντικό δεν διαγράφεται; Θα απαντήσω: για τους αναλυτές που τους αρέσει να δημιουργούν γραφήματα με το χέρι, ο αυτοματοποιημένος καθαρισμός μπορεί να απενεργοποιηθεί και να επιλεγεί ο αριθμός των βημάτων = 1. Στη συνέχεια, ο αναλυτής θα μπορεί να συμπληρώσει το γράφημα από τα στοιχεία που χρειάζεται και να αφαιρέσει στοιχεία από το γράφημα που είναι άσχετο με την εργασία.

Ήδη στο γράφημα, το ιστορικό των αλλαγών στο whois, το DNS, καθώς και οι ανοιχτές θύρες και οι υπηρεσίες που εκτελούνται σε αυτές είναι διαθέσιμο στον αναλυτή.

Οικονομικό ψάρεμα

Ερευνήσαμε τις δραστηριότητες μιας ομάδας APT, η οποία για αρκετά χρόνια διεξήγαγε επιθέσεις phishing εναντίον πελατών διαφόρων τραπεζών σε διαφορετικές περιοχές. Χαρακτηριστικό γνώρισμα αυτής της ομάδας ήταν η κατοχύρωση domain πολύ παρόμοιων με τα ονόματα πραγματικών τραπεζών και οι περισσότεροι ιστότοποι phishing είχαν τον ίδιο σχεδιασμό, με τις μόνες διαφορές να ήταν στα ονόματα των τραπεζών και στα λογότυπά τους.

Σε αυτή την περίπτωση, η αυτοματοποιημένη ανάλυση γραφημάτων μας βοήθησε πολύ. Λαμβάνοντας έναν από τους τομείς τους - lloydsbnk-uk[.]com, μέσα σε λίγα δευτερόλεπτα δημιουργήσαμε ένα γράφημα με βάθος 3 βημάτων, το οποίο εντόπισε περισσότερους από 250 κακόβουλους τομείς που χρησιμοποιούνται από αυτήν την ομάδα από το 2015 και συνεχίζουν να χρησιμοποιούνται . Ορισμένοι από αυτούς τους τομείς έχουν ήδη αγοραστεί από τράπεζες, αλλά ιστορικά αρχεία δείχνουν ότι είχαν καταχωρηθεί στο παρελθόν σε εισβολείς.

Για λόγους σαφήνειας, το σχήμα δείχνει ένα γράφημα με βάθος 2 βημάτων.

Αξιοσημείωτο είναι ότι ήδη από το 2019, οι επιτιθέμενοι άλλαξαν κάπως την τακτική τους και άρχισαν να κατοχυρώνουν όχι μόνο τους τομείς των τραπεζών για τη φιλοξενία web phishing, αλλά και τους τομείς διαφόρων εταιρειών συμβούλων για την αποστολή email phishing. Για παράδειγμα, οι τομείς swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.

Συμμορία κοβαλτίου

Τον Δεκέμβριο του 2018, η ομάδα χάκερ Cobalt, που ειδικεύεται σε στοχευμένες επιθέσεις σε τράπεζες, έστειλε μια εκστρατεία αλληλογραφίας για λογαριασμό της Εθνικής Τράπεζας του Καζακστάν.

Οι επιστολές περιείχαν συνδέσμους προς το hXXps://nationalbank.bz/Doc/Prikaz.doc. Το ληφθέν έγγραφο περιείχε μια μακροεντολή που εκκίνησε το Powershell, το οποίο θα επιχειρούσε να φορτώσει και να εκτελέσει το αρχείο από το hXXp://wateroilclub.com/file/dwm.exe στο %Temp%einmrmdmy.exe. Το αρχείο %Temp%einmrmdmy.exe γνωστό και ως dwm.exe είναι ένα πρόγραμμα σταδίου CobInt που έχει ρυθμιστεί να αλληλεπιδρά με τον διακομιστή hXXp://admvmsopp.com/rilruietguadvtoefmuy.

Φανταστείτε να μην μπορείτε να λαμβάνετε αυτά τα μηνύματα ηλεκτρονικού ψαρέματος και να κάνετε πλήρη ανάλυση των κακόβουλων αρχείων. Το γράφημα για τον κακόβουλο τομέα nationalbank[.]bz εμφανίζει αμέσως συνδέσεις με άλλους κακόβουλους τομείς, τον αποδίδει σε μια ομάδα και δείχνει ποια αρχεία χρησιμοποιήθηκαν στην επίθεση.

Ας πάρουμε τη διεύθυνση IP 46.173.219[.]152 από αυτό το γράφημα και ας δημιουργήσουμε ένα γράφημα από αυτό με ένα πέρασμα και απενεργοποιούμε τον καθαρισμό. Υπάρχουν 40 τομείς που σχετίζονται με αυτό, για παράδειγμα, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

Κρίνοντας από τα ονόματα τομέα, φαίνεται ότι χρησιμοποιούνται σε δόλια σχήματα, αλλά ο αλγόριθμος καθαρισμού συνειδητοποίησε ότι δεν σχετίζονταν με αυτήν την επίθεση και δεν τα έβαλε στο γράφημα, γεγονός που απλοποιεί σημαντικά τη διαδικασία ανάλυσης και απόδοσης.

Εάν δημιουργήσετε ξανά το γράφημα χρησιμοποιώντας την Nationalbank[.]bz, αλλά απενεργοποιήσετε τον αλγόριθμο καθαρισμού γραφήματος, τότε θα περιέχει περισσότερα από 500 στοιχεία, τα περισσότερα από τα οποία δεν έχουν καμία σχέση με την ομάδα Cobalt ή τις επιθέσεις τους. Ένα παράδειγμα για το πώς φαίνεται ένα τέτοιο γράφημα δίνεται παρακάτω:

Συμπέρασμα

Μετά από αρκετά χρόνια τελειοποίησης, δοκιμών σε πραγματικές έρευνες, έρευνας απειλών και κυνηγιού επιτιθέμενων, καταφέραμε όχι μόνο να δημιουργήσουμε ένα μοναδικό εργαλείο, αλλά και να αλλάξουμε τη στάση των ειδικών της εταιρείας απέναντί του. Αρχικά, οι τεχνικοί εμπειρογνώμονες θέλουν τον πλήρη έλεγχο της διαδικασίας κατασκευής γραφήματος. Το να τους πείσουμε ότι η αυτόματη κατασκευή γραφήματος θα μπορούσε να το κάνει αυτό καλύτερα από ένα άτομο με πολλά χρόνια εμπειρίας ήταν εξαιρετικά δύσκολο. Όλα αποφασίστηκαν από το χρόνο και τους πολλαπλούς «χειροκίνητους» ελέγχους των αποτελεσμάτων του γραφήματος. Τώρα οι ειδικοί μας όχι μόνο εμπιστεύονται το σύστημα, αλλά χρησιμοποιούν και τα αποτελέσματα που αποκτά στην καθημερινή τους εργασία. Αυτή η τεχνολογία λειτουργεί μέσα σε καθένα από τα συστήματά μας και μας επιτρέπει να εντοπίζουμε καλύτερα τις απειλές οποιουδήποτε τύπου. Η διεπαφή για τη χειροκίνητη ανάλυση γραφημάτων είναι ενσωματωμένη σε όλα τα προϊόντα του Group-IB και επεκτείνει σημαντικά τις δυνατότητες για την καταδίωξη του εγκλήματος στον κυβερνοχώρο. Αυτό επιβεβαιώνεται από κριτικές αναλυτών από πελάτες μας. Και εμείς, με τη σειρά μας, συνεχίζουμε να εμπλουτίζουμε το γράφημα με δεδομένα και εργαζόμαστε σε νέους αλγόριθμους χρησιμοποιώντας τεχνητή νοημοσύνη για να δημιουργήσουμε το πιο ακριβές γράφημα δικτύου.

Πηγή: www.habr.com

Η διέξοδος σας, γράφημα: πώς δεν βρήκαμε ένα καλό γράφημα δικτύου και δημιουργήσαμε το δικό μας