Esplorante kazojn ligitajn al phishing, botnets, fraŭdaj transakcioj kaj krimaj hacker-grupoj, Group-IB-fakuloj uzas grafikan analizon dum multaj jaroj por identigi diversajn specojn de konektoj. Malsamaj kazoj havas siajn proprajn datumseriojn, siajn proprajn algoritmojn por identigi ligojn, kaj interfacojn adaptitajn por specifaj taskoj. Ĉiuj ĉi tiuj iloj estis interne evoluigitaj de Group-IB kaj estis disponeblaj nur por niaj dungitoj.
Grafika analizo de retinfrastrukturo (reto grafiko) fariĝis la unua interna ilo, kiun ni konstruis en ĉiujn publikajn produktojn de la kompanio. Antaŭ krei nian retan grafikon, ni analizis multajn similajn evoluojn sur la merkato kaj ne trovis ununuran produkton, kiu kontentigis niajn proprajn bezonojn. En ĉi tiu artikolo ni parolos pri kiel ni kreis la retan grafeon, kiel ni uzas ĝin kaj kiajn malfacilaĵojn ni renkontis.
Dmitrij Volkov, CTO Group-IB kaj estro de ciberinteligenteco
Kion povas fari la retografiko de Group-IB?
Esploroj
Ekde la fondo de Group-IB en 2003 ĝis nun, identigi, deanonigi kaj alporti ciberkrimulojn al justeco estis ĉefprioritato en nia laboro. Eĉ ne unu ciberataka esploro estis kompleta sen analizi la retan infrastrukturon de la atakantoj. Je la komenco de nia vojaĝo, estis sufiĉe peniga "mana laboro" serĉi rilatojn, kiuj povus helpi identigi krimulojn: informoj pri domajnaj nomoj, IP-adresoj, ciferecaj fingrospuroj de serviloj, ktp.
Plej multaj atakantoj provas agi kiel eble plej anonime en la reto. Tamen, kiel ĉiuj homoj, ili faras erarojn. La ĉefa celo de tia analizo estas trovi "blankajn" aŭ "grizajn" historiajn projektojn de atakantoj, kiuj havas intersekcojn kun la malica infrastrukturo uzata en la nuna okazaĵo, kiun ni esploras. Se eblas detekti "blankajn projektojn", tiam trovi la atakanton, kiel regulo, fariĝas bagatela tasko. En la kazo de "grizaj", la serĉo postulas pli da tempo kaj peno, ĉar iliaj posedantoj provas anonimigi aŭ kaŝi registrajn datumojn, sed la ŝancoj restas sufiĉe altaj. Ĝenerale, komence de siaj krimaj agadoj, atakantoj malpli atentas sian propran sekurecon kaj faras pli da eraroj, do ju pli ni povas plonĝi en la rakonton, des pli altas la ŝancoj de sukcesa esploro. Tial retgrafeo kun bona historio estas ege grava elemento de tia esploro. Simple dirite, ju pli profundaj historiaj datumoj havas kompanio, des pli bona estas ĝia grafikaĵo. Ni diru, ke 5-jara historio povas helpi solvi, kondiĉe, 1-2 el 10 krimoj, kaj 15-jara historio donas ŝancon solvi ĉiujn dek.
Phishing kaj Fraŭdo-Detekto
Ĉiufoje kiam ni ricevas suspektindan ligon al phishing, fraŭda aŭ pirata rimedo, ni aŭtomate konstruas grafikaĵon de rilataj retaj rimedoj kaj kontrolas ĉiujn trovitajn gastigantojn por simila enhavo. Ĉi tio ebligas al vi trovi kaj malnovajn phishing-ejojn, kiuj estis aktivaj sed nekonataj, kaj ankaŭ tute novajn, kiuj estas pretaj por estontaj atakoj, sed ankoraŭ ne uzataj. Elementa ekzemplo, kiu okazas sufiĉe ofte: ni trovis phishing-ejon en servilo kun nur 5 retejoj. Kontrolante ĉiun el ili, ni trovas phishing-enhavon en aliaj retejoj, kio signifas, ke ni povas bloki 5 anstataŭ 1.
Serĉu backends
Ĉi tiu procezo estas necesa por determini kie la malica servilo fakte loĝas.
99% de kartbutikoj, retpirataj forumoj, multaj phishing-rimedoj kaj aliaj malicaj serviloj estas kaŝitaj malantaŭ siaj propraj prokuraj serviloj kaj prokuriloj de legitimaj servoj, ekzemple Cloudflare. Scio pri la vera backend estas tre grava por esploroj: la gastiga provizanto de kiu la servilo povas esti kaptita iĝas konata, kaj iĝas eble konstrui ligojn kun aliaj malicaj projektoj.
Ekzemple, vi havas phishing-ejon por kolekti bankkartajn datumojn, kiu solvas al la IP-adreso 11.11.11.11, kaj kartvendeja adreso, kiu solvas al la IP-adreso 22.22.22.22. Dum la analizo, povas rezulti, ke kaj la phishing-ejo kaj la kartbutiko havas komunan malantaŭan IP-adreson, ekzemple 33.33.33.33. Ĉi tiu scio permesas al ni konstrui ligon inter phishing-atakoj kaj kartbutiko kie bankkartdatenoj povas esti vendataj.
Eventa korelacio
Kiam vi havas du malsamajn ellasilon (ni diru sur IDS) kun malsamaj malware kaj malsamaj serviloj por kontroli la atakon, vi traktos ilin kiel du sendependaj eventoj. Sed se estas bona rilato inter malicaj infrastrukturoj, tiam evidentiĝas, ke ĉi tiuj ne estas malsamaj atakoj, sed stadioj de unu, pli kompleksa plurfaza atako. Kaj se unu el la eventoj jam estas atribuita al iu grupo de atakantoj, tiam la dua ankaŭ povas esti atribuita al la sama grupo. Kompreneble, la atribua procezo estas multe pli kompleksa, do traktu ĉi tion kiel simplan ekzemplon.
Riĉigo de indikiloj
Ni ne multe atentos ĉi tion, ĉar ĉi tio estas la plej ofta scenaro por uzi grafikaĵojn en cibersekureco: vi donas unu indikilon kiel enigaĵon, kaj kiel eligo vi ricevas aron da rilataj indikiloj.
Identigo de ŝablonoj
Identigi ŝablonojn estas esenca por efika ĉasado. Grafeoj permesas vin ne nur trovi rilatajn elementojn, sed ankaŭ identigi komunajn trajtojn, kiuj estas karakterizaj por aparta grupo de hackers. Scio pri tiaj unikaj karakterizaĵoj permesas vin rekoni la infrastrukturon de la atakanto eĉ en la prepara stadio kaj sen indico konfirmanta la atakon, kiel phishing retpoŝtoj aŭ malware.
Kial ni kreis nian propran retan grafeon?
Denove, ni rigardis solvojn de malsamaj vendistoj antaŭ ol ni venis al la konkludo, ke ni bezonas evoluigi nian propran ilon, kiu povus fari ion, kion neniu ekzistanta produkto povus fari. Necesis pluraj jaroj por krei ĝin, dum kiuj ni tute ŝanĝis ĝin plurfoje. Sed, malgraŭ la longa evoluperiodo, ni ankoraŭ ne trovis ununuran analogon, kiu kontentigus niajn postulojn. Uzante nian propran produkton, ni finfine povis solvi preskaŭ ĉiujn problemojn, kiujn ni malkovris en ekzistantaj retaj grafikaĵoj. Malsupre ni konsideros ĉi tiujn problemojn detale:
problemo
decido
Manko de provizanto kun malsamaj kolektoj de datumoj: domajnoj, pasiva DNS, pasiva SSL, DNS-rekordoj, malfermitaj havenoj, funkciado de servoj en havenoj, dosieroj interagaj kun domajnaj nomoj kaj IP-adresoj. Klarigo. Tipe, provizantoj provizas apartajn tipojn de datumoj, kaj por akiri la plenan bildon, vi devas aĉeti abonojn de ĉiuj. Eĉ tiel, ne ĉiam eblas akiri ĉiujn datumojn: iuj pasivaj SSL-provizantoj provizas datumojn nur pri atestiloj eldonitaj de fidindaj CA-oj, kaj ilia kovrado de memsubskribitaj atestiloj estas ekstreme malbona. Aliaj ankaŭ provizas datumojn per memsubskribitaj atestiloj, sed kolektas ĝin nur el normaj havenoj.
Ni mem kolektis ĉiujn ĉi-suprajn kolektojn. Ekzemple, por kolekti datumojn pri SSL-atestiloj, ni skribis nian propran servon, kiu kolektas ilin ambaŭ de fidindaj CA-oj kaj skanante la tutan IPv4-spacon. Atestiloj estis kolektitaj ne nur de IP, sed ankaŭ de ĉiuj domajnoj kaj subdomajnoj de nia datumbazo: se vi havas la domajnon example.com kaj ĝian subdomajnon kaj ili ĉiuj solvas al IP 1.1.1.1, tiam kiam vi provas akiri SSL-atestilon de haveno 443 sur IP, domajno kaj ĝia subdomajno, vi povas akiri tri malsamajn rezultojn. Por kolekti datumojn pri malfermaj havenoj kaj kurantaj servoj, ni devis krei nian propran distribuitan skansistemon, ĉar aliaj servoj ofte havis la IP-adresojn de siaj skanaj serviloj en "nigraj listoj". Niaj skanaj serviloj ankaŭ finiĝas en nigraj listoj, sed la rezulto de detektado de la servoj, kiujn ni bezonas, estas pli alta ol tiu de tiuj, kiuj simple skanas kiel eble plej multajn pordojn kaj vendas aliron al ĉi tiuj datumoj.
Manko de aliro al la tuta datumbazo de historiaj rekordoj. Klarigo. Ĉiu normala provizanto havas bonan akumulitan historion, sed pro naturaj kialoj ni, kiel kliento, ne povis akiri aliron al ĉiuj historiaj datumoj. Tiuj. Vi povas akiri la tutan historion por ununura registro, ekzemple per domajno aŭ IP-adreso, sed vi ne povas vidi la historion de ĉio - kaj sen tio vi ne povas vidi la plenan bildon.
Por kolekti kiel eble plej multajn historiajn rekordojn pri domajnoj, ni aĉetis diversajn datumbazojn, analizis multajn malfermajn rimedojn, kiuj havis ĉi tiun historion (estas bone, ke estis multaj), kaj negocis kun domajnaj nomoj-registristoj. Ĉiuj ĝisdatigoj de niaj propraj kolektoj estas kompreneble konservitaj kun plena revizia historio.
Ĉiuj ekzistantaj solvoj permesas vin konstrui grafikaĵon permane. Klarigo. Ni diru, ke vi aĉetis multajn abonojn de ĉiuj eblaj datumprovizantoj (kutime nomataj "riĉigiloj"). Kiam vi bezonas konstrui grafeon, vi "manoj" donas la komandon por konstrui el la dezirata koneksa elemento, tiam elektu la necesajn el la elementoj, kiuj aperas kaj donas la komandon por kompletigi la konektojn el ili, ktp. En ĉi tiu kazo, la respondeco pri kiom bone la grafeo estos konstruita kuŝas tute kun la persono.
Ni faris aŭtomatan konstruadon de grafikaĵoj. Tiuj. se vi bezonas konstrui grafeon, tiam ligoj de la unua elemento estas konstruitaj aŭtomate, tiam ankaŭ de ĉiuj postaj. La specialisto nur indikas la profundon, je kiu la grafikaĵo devas esti konstruita. La procezo de aŭtomate kompletigado de grafikaĵoj estas simpla, sed aliaj vendistoj ne efektivigas ĝin ĉar ĝi produktas grandegan nombron da senrilataj rezultoj, kaj ni ankaŭ devis konsideri ĉi tiun malavantaĝon (vidu sube).
Multaj sensignivaj rezultoj estas problemo kun ĉiuj retelementaj grafikaĵoj. Klarigo. Ekzemple, "malbona domajno" (partoprenita en atako) estas asociita kun servilo, kiu havas 10 aliajn domajnojn asociitajn kun ĝi dum la lastaj 500 jaroj. Mane aldonante aŭ aŭtomate konstruante grafeon, ĉiuj ĉi tiuj 500 domajnoj ankaŭ devus aperi sur la grafikaĵo, kvankam ili ne rilatas al la atako. Aŭ, ekzemple, vi kontrolas la IP-indikilon el la sekureca raporto de la vendisto. Tipe, tiaj raportoj estas publikigitaj kun grava prokrasto kaj ofte daŭras jaron aŭ pli. Plej verŝajne, kiam vi legas la raporton, la servilo kun ĉi tiu IP-adreso jam estas luita al aliaj homoj kun aliaj konektoj, kaj konstrui grafikaĵon denove rezultos, ke vi ricevos negravajn rezultojn.
Ni trejnis la sistemon por identigi negravajn elementojn uzante la saman logikon kiel niaj spertuloj mane faris. Ekzemple, vi kontrolas malbonan domajnon example.com, kiu nun solvas al IP 11.11.11.11, kaj antaŭ unu monato - al IP 22.22.22.22. Krom la domajno example.com, IP 11.11.11.11 ankaŭ estas asociita kun example.ru, kaj IP 22.22.22.22 estas asociita kun 25 mil aliaj domajnoj. La sistemo, kiel homo, komprenas, ke 11.11.11.11 plej verŝajne estas dediĉita servilo, kaj ĉar la domajno example.ru estas simila literumante al example.com, tiam, kun alta probableco, ili estas konektitaj kaj devus esti sur la grafeo; sed IP 22.22.22.22 apartenas al komuna gastigado, do ĉiuj ĝiaj domajnoj ne bezonas esti inkluditaj en la grafeo krom se ekzistas aliaj konektoj montrantaj, ke unu el ĉi tiuj 25 mil domajnoj ankaŭ devas esti inkluzivita (ekzemple, example.net) . Antaŭ ol la sistemo komprenas, ke ligoj devas esti rompitaj kaj iuj elementoj ne movitaj al la grafeo, ĝi konsideras multajn ecojn de la elementoj kaj aretoj en kiuj ĉi tiuj elementoj estas kombinitaj, same kiel la forton de la nunaj ligoj. Ekzemple, se ni havas malgrandan areton (50 elementoj) sur la grafikaĵo, kiu inkluzivas malbonan domajnon, kaj alian grandan areton (5 mil elementoj) kaj ambaŭ aretoj estas konektitaj per konekto (linio) kun tre malalta forto (pezo) , tiam tia konekto estos rompita kaj elementoj de la granda areto estos forigitaj. Sed se estas multaj ligoj inter malgrandaj kaj grandaj aretoj kaj ilia forto iom post iom pliiĝas, tiam en ĉi tiu kazo la ligo ne estos rompita kaj la necesaj elementoj de ambaŭ aretoj restos sur la grafikaĵo.
La servilo kaj domajna poseda intervalo ne estas konsiderata. Klarigo. "Malbonaj domajnoj" pli aŭ malpli frue eksvalidiĝos kaj estos aĉetitaj denove por malicaj aŭ legitimaj celoj. Eĉ kuglorezistaj gastigaj serviloj estas luitaj al malsamaj piratoj, do estas grave scii kaj konsideri la intervalon kiam aparta domajno/servilo estis sub la kontrolo de unu posedanto. Ni ofte renkontas situacion, kie servilo kun IP 11.11.11.11 nun estas uzata kiel C&C por banka bot, kaj antaŭ 2 monatoj ĝi estis kontrolita de Ransomware. Se ni konstruas konekton sen konsideri posedintervalojn, ĝi aspektos kvazaŭ estas rilato inter la posedantoj de la banka botneto kaj la ransomware, kvankam fakte ne ekzistas. En nia laboro, tia eraro estas kritika.
Ni instruis la sistemon por determini posedintervalojn. Por domajnoj ĉi tio estas relative simpla, ĉar whois ofte enhavas registrajn komencajn kaj limdatojn kaj, kiam ekzistas kompleta historio de whois-ŝanĝoj, estas facile determini la intervalojn. Kiam la registrado de domajno ne eksvalidiĝis, sed ĝia administrado estis transdonita al aliaj posedantoj, ĝi ankaŭ povas esti spurita. Ne ekzistas tia problemo por SSL-atestiloj, ĉar ili estas eldonitaj unufoje kaj ne estas renovigitaj aŭ translokigitaj. Sed kun memsubskribitaj atestiloj, vi ne povas fidi la datojn specifitajn en la valideca periodo de la atestilo, ĉar vi povas generi SSL-atestilon hodiaŭ, kaj specifi la komencdaton de la atestilo de 2010. La plej malfacila afero estas determini la posedintervalojn por serviloj, ĉar nur gastigaj provizantoj havas ludatojn kaj periodojn. Por determini la servilan posedperiodon, ni komencis uzi la rezultojn de haveno-skanado kaj kreado de fingrospuroj de funkciado de servoj en havenoj. Uzante ĉi tiujn informojn, ni povas sufiĉe precize diri kiam la posedanto de la servilo ŝanĝiĝis.
Malmultaj rilatoj. Klarigo. Nuntempe eĉ ne estas problemo akiri senpagan liston de domajnoj, kies whois enhavas specifan retadreson, aŭ ekscii ĉiujn domajnojn, kiuj estis asociitaj kun specifa IP-adreso. Sed se temas pri retpiratoj, kiuj faras sian eblon por esti malfacile spureblaj, ni bezonas pliajn lertaĵojn por trovi novajn ecojn kaj konstrui novajn konektojn.
Ni pasigis multan tempon esplorante kiel ni povus ĉerpi datumojn, kiuj ne estis disponeblaj laŭ konvencia maniero. Ni ne povas priskribi ĉi tie kiel ĝi funkcias pro evidentaj kialoj, sed en certaj cirkonstancoj, piratoj, kiam ili registras domajnojn aŭ luas kaj agordas servilojn, faras erarojn, kiuj ebligas al ili ekscii retpoŝtadresojn, hacker-aliasojn kaj backend-adresojn. Ju pli da ligoj vi ĉerpas, des pli precizaj grafikaĵoj vi povas konstrui.
Kiel funkcias nia grafiko
Por komenci uzi la retan grafikaĵon, vi devas enigi la domajnon, IP-adreson, retpoŝton aŭ SSL-atestilon fingrospuron en la serĉbreton. Estas tri kondiĉoj, kiujn la analizisto povas kontroli: tempo, paŝoprofundo kaj malplenigo.
Время
Tempo - dato aŭ intervalo, kiam la serĉita elemento estis uzata por malicaj celoj. Se vi ne specifas ĉi tiun parametron, la sistemo mem determinos la lastan posedintervalon por ĉi tiu rimedo. Ekzemple, la 11-an de julio, Eset publikigis pri kiel Buhtrap uzas la 0-tagan ekspluatadon por ciberspionado. Estas 6 indikiloj ĉe la fino de la raporto. Unu el ili, secure-telemetry[.]net, estis reregistrita la 16-an de julio. Tial, se vi konstruas grafeon post la 16-a de julio, vi ricevos negravajn rezultojn. Sed se vi indikas, ke ĉi tiu domajno estis uzata antaŭ ĉi tiu dato, tiam la grafikaĵo inkluzivas 126 novajn domajnojn, 69 IP-adresojn, kiuj ne estas listigitaj en la raporto Eset:
- ukrfreshnews[.]com
- unian-serĉo[.]com
- vesti-mondo[.]info
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- kaj aliaj.
Krom retaj indikiloj, ni tuj trovas ligojn kun malicaj dosieroj, kiuj havis ligojn kun ĉi tiu infrastrukturo kaj etikedojn, kiuj diras al ni, ke Meterpreter kaj AZORult estis uzataj.
La bonega afero estas, ke vi ricevas ĉi tiun rezulton ene de unu sekundo kaj vi ne plu bezonas pasigi tagojn analizante la datumojn. Kompreneble, ĉi tiu aliro foje signife reduktas la tempon por esploroj, kio ofte estas kritika.
La nombro da paŝoj aŭ rekursia profundo kun kiu la grafeo estos konstruita
Defaŭlte, la profundo estas 3. Ĉi tio signifas, ke ĉiuj rekte rilataj elementoj estos trovitaj de la dezirata elemento, tiam novaj ligoj estos konstruitaj de ĉiu nova elemento al aliaj elementoj, kaj novaj elementoj estos kreitaj de la novaj elementoj de la lasta. paŝo.
Ni prenu ekzemplon ne rilatan al APT kaj 0-tagaj ekspluatoj. Lastatempe, interesa kazo de fraŭdo rilata al kriptaj moneroj estis priskribita sur Habré. La raporto mencias la domajnon themcx[.]co, uzatan de skamistoj por gastigi retejon, kiu pretendas esti Miner Coin Exchange kaj telefon-serĉo[.]xyz por allogi trafikon.
Estas klare de la priskribo, ke la skemo postulas sufiĉe grandan infrastrukturon por altiri trafikon al fraŭdaj rimedoj. Ni decidis rigardi ĉi tiun infrastrukturon konstruante grafeon en 4 paŝoj. La eligo estis grafikaĵo kun 230 domajnoj kaj 39 IP-adresoj. Poste, ni dividas domajnojn en 2 kategoriojn: tiuj, kiuj similas al servoj por labori kun kriptaj moneroj kaj tiuj, kiuj celas stiri trafikon per telefonaj konfirmaj servoj:
Rilata al kripta monero
Asociite kun telefonaj truado-servoj
mongardisto[.]cc
alvokanto-rekordo[.]retejo.
mcxwallet[.]co
telefonaj registroj[.]spaco
btcnoise[.]com
fone-malkovro[.]xyz
cryptominer[.]watch
nombro-malkovro[.]info
Очистка
Defaŭlte, la opcio "Grafa Purigado" estas ebligita kaj ĉiuj palaj elementoj estos forigitaj de la grafikaĵo. Cetere, ĝi estis uzata en ĉiuj antaŭaj ekzemploj. Mi antaŭvidas naturan demandon: kiel ni povas certigi, ke io grava ne estas forigita? Mi respondos: por analizistoj, kiuj ŝatas konstrui grafikaĵojn permane, aŭtomatigita purigado povas esti malŝaltita kaj la nombro da paŝoj estas elektebla = 1. Poste, la analizisto povos kompletigi la grafikaĵon el la elementoj, kiujn li bezonas kaj forigi elementojn de la grafeo kiuj estas senrilataj al la tasko.
Jam sur la grafikaĵo, la historio de ŝanĝoj en whois, DNS, same kiel malfermitaj havenoj kaj servoj kurantaj sur ili fariĝas disponebla por la analizisto.
Financa phishing
Ni esploris la agadojn de unu APT-grupo, kiu dum pluraj jaroj faris phishing atakojn kontraŭ klientoj de diversaj bankoj en malsamaj regionoj. Karakteriza trajto de ĉi tiu grupo estis la registrado de domajnoj tre similaj al la nomoj de realaj bankoj, kaj la plej multaj el la phishing-ejoj havis la saman dezajnon, la nuraj diferencoj estante en la nomoj de la bankoj kaj iliaj emblemoj.
En ĉi tiu kazo, aŭtomatigita grafika analizo multe helpis nin. Prenante unu el iliaj domajnoj - lloydsbnk-uk[.]com, en kelkaj sekundoj ni konstruis grafeon kun profundo de 3 paŝoj, kiu identigis pli ol 250 malicajn domajnojn, kiuj estas uzataj de ĉi tiu grupo ekde 2015 kaj daŭre estas uzataj. . Iuj el ĉi tiuj domajnoj jam estis aĉetitaj de bankoj, sed historiaj registroj montras, ke ili antaŭe estis registritaj al atakantoj.
Por klareco, la figuro montras grafeon kun profundo de 2 ŝtupoj.
Estas rimarkinde, ke jam en 2019, la atakantoj iom ŝanĝis siajn taktikojn kaj komencis registri ne nur la domajnojn de bankoj por gastigado de retfiŝado, sed ankaŭ la domajnojn de diversaj konsilantaj kompanioj por sendi phishing-retpoŝtojn. Ekzemple, la domajnoj swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Kobalta bando
En decembro 2018, la hacker-grupo Cobalt, specialiĝanta pri celitaj atakoj kontraŭ bankoj, sendis poŝtkampanjon nome de la Nacia Banko de Kazaĥio.
La leteroj enhavis ligilojn al hXXps://nationalbank.bz/Doc/Prikaz.doc. La elŝutita dokumento enhavis makroon kiu lanĉis Powershell, kiu provus ŝargi kaj ekzekuti la dosieron de hXXp://wateroilclub.com/file/dwm.exe en %Temp%einmrmdmy.exe. La dosiero %Temp%einmrmdmy.exe alinome dwm.exe estas CobInt-scenigilo agordita por interagi kun la servilo hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Imagu ne povi ricevi ĉi tiujn retpoŝtojn pri phishing kaj fari plenan analizon de la malicaj dosieroj. La grafikaĵo por la malica domajna nacia banko[.]bz tuj montras konektojn kun aliaj malicaj domajnoj, atribuas ĝin al grupo kaj montras kiuj dosieroj estis uzitaj en la atako.
Ni prenu la IP-adreson 46.173.219[.]152 el ĉi tiu grafikaĵo kaj konstruu grafeon el ĝi per unu paŝo kaj malŝaltu purigadon. Estas 40 domajnoj asociitaj kun ĝi, ekzemple bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
kriptoelips[.]com
Juĝante laŭ la domajnaj nomoj, ŝajnas, ke ili estas uzataj en fraŭdaj skemoj, sed la puriga algoritmo rimarkis, ke ili ne rilatas al ĉi tiu atako kaj ne metis ilin sur la grafikaĵon, kio multe simpligas la procezon de analizo kaj atribuo.
Se vi rekonstruas la grafeon uzante nationalbank[.]bz, sed malŝaltas la grafepurigan algoritmon, tiam ĝi enhavos pli ol 500 elementojn, el kiuj la plimulto havas nenion komunan kun la Kobalta grupo aŭ iliaj atakoj. Ekzemplo de kiel aspektas tia grafeo estas donita malsupre:
konkludo
Post pluraj jaroj da fajnagordado, testado en realaj esploroj, minaco-esplorado kaj ĉasado de atakantoj, ni sukcesis ne nur krei unikan ilon, sed ankaŭ ŝanĝi la sintenon de spertuloj ene de la kompanio pri ĝi. Komence, teknikaj fakuloj volas kompletan kontrolon de la grafika konstruprocezo. Konvinki ilin, ke aŭtomata grafika konstruo povus fari ĉi tion pli bone ol persono kun multjara sperto estis ege malfacila. Ĉio estis decidita per tempo kaj multoblaj "manaj" kontroloj de la rezultoj de tio, kion la grafikaĵo produktis. Nun niaj spertuloj ne nur fidas la sistemon, sed ankaŭ uzas la rezultojn, kiujn ĝi akiras en sia ĉiutaga laboro. Ĉi tiu teknologio funkcias ene de ĉiu el niaj sistemoj kaj permesas al ni pli bone identigi minacojn de ajna tipo. La interfaco por mana grafika analizo estas enkonstruita en ĉiuj Group-IB-produktoj kaj signife vastigas la kapablojn por ciberkrimĉasado. Ĉi tio estas konfirmita de analizistaj recenzoj de niaj klientoj. Kaj ni, siavice, daŭre riĉigas la grafeon per datumoj kaj laboras pri novaj algoritmoj uzante artefaritan inteligentecon por krei la plej precizan retan grafeon.
fonto: www.habr.com