Esplorante kazojn rilatajn al fiŝado, botretoj, fraŭdaj transakcioj kaj krimaj retpirataj grupoj, la fakuloj de Group-IB jam de multaj jaroj uzas grafanalizon por identigi diversajn specojn de konektoj. Malsamaj kazoj havas siajn proprajn datumarojn, siajn proprajn algoritmojn por identigi konektojn kaj interfacojn adaptitajn al specifaj taskoj. Ĉiuj ĉi tiuj iloj estis interne evoluigitaj de Group-IB kaj estis haveblaj nur al niaj dungitoj.
Grafa analizo de retinfrastrukturo (retgrafo) fariĝis la unua interna ilo, kiun ni enkonstruis en ĉiujn publikajn produktojn de la kompanio. Antaŭ ol krei nian retan grafeon, ni analizis multajn similajn evoluojn sur la merkato kaj ne trovis eĉ unu produkton, kiu kontentigus niajn proprajn bezonojn. En ĉi tiu artikolo, ni rakontos al vi kiel ni kreis la retan grafeon, kiel ni uzas ĝin kaj kiajn malfacilaĵojn ni renkontis.
Dmitrij Volkov, Ĉefoficisto de Grupo-IB kaj Ĉefo de Ciberinteligenteco
Kion povas fari Group-IB-retgrafo?
Enketoj
Ekde la fondiĝo de Group-IB en 2003 kaj ĝis hodiaŭ, identigi, malanonimigi kaj alporti ciberkrimulojn al justeco estis la ĉefa prioritato de nia laboro. Neniu esploro pri ciberatako estis kompleta sen analizo de la retinfrastrukturo de la atakantoj. Ĉe la komenco mem de nia vojaĝo, ĉi tio estis sufiĉe peniga "mana laboro" por trovi konektojn, kiuj povus helpi identigi la krimulojn: informojn pri domajnaj nomoj, IP-adresoj, ciferecaj fingrospuroj de serviloj, ktp.
Plej multaj atakantoj provas agi kiel eble plej anonime interrete. Tamen, kiel ĉiuj homoj, ili faras erarojn. La ĉefa celo de tia analizo estas trovi "blankajn" aŭ "grizajn" historiajn projektojn de atakantoj, kiuj intersekcas kun la malica infrastrukturo uzita en la nuna okazaĵo, kiun ni esploras. Se ni sukcesas trovi "blankajn" projektojn, tiam trovi la atakanton, kutime, fariĝas bagatela tasko. Ĉe "grizaj", la serĉado postulas pli da tempo kaj peno, ĉar iliaj posedantoj provas anonimigi aŭ kaŝi registrajn datumojn, sed la ŝancoj restas sufiĉe altaj. Kutime, komence de sia krima agado, atakantoj malpli atentas sian propran sekurecon kaj faras pli da eraroj, do ju pli profunde ni povas plonĝi en la historion, des pli altaj estas la ŝancoj de sukcesa esploro. Tial retgrafo kun bona historio estas ekstreme grava elemento de tia esploro. Simple dirite, ju pli profundajn historiajn datumojn kompanio havas, des pli bona estas ĝia grafikaĵo. Ni supozu, ke 5-jara historio povas helpi solvi, ekzemple, 1-2 el 10 krimoj, kaj 15-jara historio donas ŝancon solvi ĉiujn dek.
Detektado de Fiŝkaptado kaj Fraŭdo
Ĉiufoje kiam ni ricevas suspektindan ligilon al fiŝkapta, fraŭda aŭ piratkopiita rimedo, ni aŭtomate konstruas grafeon de rilataj retaj rimedoj kaj kontrolas ĉiujn trovitajn gastigantojn por simila enhavo. Tio permesas al ni trovi kaj malnovajn fiŝkaptajn retejojn, kiuj estis aktivaj sed nekonataj, kaj tute novajn, kiuj estas pretaj por estontaj atakoj sed ankoraŭ ne uzataj. Elementa ekzemplo, kiu okazas sufiĉe ofte: ni trovis fiŝkaptan retejon sur servilo kun nur 5 retejoj. Kontrolante ĉiun el ili, ni trovas fiŝkaptan enhavon sur la aliaj retejoj, kio signifas, ke ni povas bloki 5 anstataŭ 1.
Serĉi internajn servojn
Ĉi tiu procezo estas necesa por konstati kie la malica servilo efektive troviĝas.
99% de kartvendejoj, retpirataj forumoj, multaj fiŝkaptaj rimedoj kaj aliaj malicaj serviloj estas kaŝitaj kaj malantaŭ siaj propraj prokuriloj kaj malantaŭ prokuriloj de legitimaj servoj, kiel ekzemple Cloudflare. Scio pri la vera malantaŭa reto estas tre grava por esploroj: la retprovizanto, de kiu la servilo povas esti kaptita, fariĝas konata, kaj fariĝas eble konstrui konektojn kun aliaj malicaj projektoj.
Ekzemple, vi havas fiŝkaptan retejon por kolekti bankkartajn datumojn, kiu rezultas en la IP-adreso 11.11.11.11, kaj kartvendejan adreson, kiu rezultas en la IP-adreso 22.22.22.22. Dum la analizo, povas montriĝi, ke kaj la fiŝkapta retejo kaj la kartvendejo havas komunan IP-adreson, ekzemple, 33.33.33.33. Ĉi tiu scio permesas al vi konstrui ligon inter fiŝkaptaj atakoj kaj la kartvendejo, kiu eble vendas bankkartajn datumojn.
Korelacio de eventoj
Kiam vi havas du malsamajn ellasilojn (ekzemple, sur IDS) kun malsama malica programaro kaj malsamaj atak-administradaj serviloj, vi traktos ilin kiel du sendependajn okazaĵojn. Sed se ekzistas bona konekto inter la malicaj infrastrukturoj, tiam fariĝas evidente, ke ĉi tiuj ne estas malsamaj atakoj, sed stadioj de unu, pli kompleksa plurŝtupa atako. Kaj se unu el la okazaĵoj jam estis atribuita al grupo de atakantoj, tiam la dua ankaŭ povas esti atribuita al la sama grupo. Kompreneble, la atribua procezo estas multe pli kompleksa, do traktu tion, kio estas skribita, kiel simplan ekzemplon.
Riĉigo de indikiloj
Ni ne multe atentos tion, ĉar ĉi tiu estas la plej ofta scenaro por uzi grafeojn en cibersekureco: vi donas unu indikilon kiel enigaĵon, kaj ĉe la eligo vi ricevas aron da rilataj indikiloj.
Identigante ŝablonojn
Detekto de ŝablonoj estas esenca por efika ĉasado. Grafeoj ne nur permesas trovi rilatajn elementojn, sed ankaŭ identigi komunajn ecojn, kiuj estas enecaj al certa grupo de retpiratoj. Scii tiajn unikajn trajtojn permesas rekoni la infrastrukturon de la atakantoj en la prepara stadio kaj sen pruvoj konfirmantaj la atakon, kiel ekzemple fiŝkaptaj retpoŝtoj aŭ malica programaro.
Kial ni kreis nian propran retgrafon?
Permesu al mi ripeti, ke ni konsideris solvojn de diversaj vendistoj antaŭ ol ni konkludis, ke ni bezonas disvolvi propran ilon, kiu povus fari ion, kion neniu ekzistanta produkto povis. Ĝi bezonis plurajn jarojn por krei ĝin, dum kiuj ni tute ŝanĝis ĝin pli ol unufoje. Sed malgraŭ la longa disvolva periodo, ni ankoraŭ ne trovis eĉ unu analogon, kiu plenumus niajn postulojn. Per nia propra produkto, ni fine sukcesis solvi preskaŭ ĉiujn problemojn, kiujn ni trovis en ekzistantaj retgrafoj. Sube ni detale konsideros ĉi tiujn problemojn:
problemo
decido
Manko de provizanto kun malsamaj datenkolektoj: domajnoj, pasiva DNS, pasiva SSL, DNS-rekordoj, malfermitaj pordoj, servoj funkciantaj per pordoj, dosieroj interagantaj kun domajnaj nomoj kaj IP-adresoj. Klarigo: Kutime, provizantoj provizas apartajn specojn de datumoj, kaj por kolekti la plenan bildon, oni devas aĉeti abonojn de ĉiuj el ili. Sed eĉ tiam, ne ĉiam eblas akiri ĉiujn datumojn: iuj pasivaj SSL-provizantoj provizas datumojn nur pri atestiloj eldonitaj de fidindaj CA-oj, kaj ilia kovrado de memsubskribitaj atestiloj estas ekstreme malbona. Aliaj provizas datumojn pri memsubskribitaj atestiloj, sed kolektas ilin nur de normaj pordoj.
Ni mem kolektis ĉiujn supre menciitajn kolektojn. Ekzemple, por kolekti datumojn pri SSL-atestiloj, ni verkis propran servon, kiu kolektas ilin kaj de fidindaj CA-oj kaj per skanado de la tuta IPv4-spaco. Atestiloj estis kolektitaj ne nur de IP-oj, sed ankaŭ de ĉiuj domajnoj kaj subdomajnoj el nia datumbazo: se vi havas domajnon example.com kaj ĝian subdomajnon kaj ili ĉiuj solviĝas al IP 1.1.1.1, tiam kiam oni provas akiri SSL-atestilon de pordo 443 laŭ IP, domajno kaj ĝia subdomajno, oni povas ricevi tri malsamajn rezultojn. Por kolekti datumojn pri malfermitaj pordoj kaj funkciantaj servoj, ni devis krei nian propran distribuitan skanan sistemon, ĉar aliaj servoj ofte havis IP-adresojn de skanaj serviloj sur "nigraj listoj". Niaj skanaj serviloj ankaŭ aperas sur "nigraj listoj", sed la rezulto de detektado de la servoj, kiujn ni bezonas, estas pli alta ol tiu de tiuj, kiuj simple skanas kiel eble plej multajn pordojn kaj vendas aliron al ĉi tiuj datumoj.
Manko de aliro al la tuta datumbazo de historiaj registroj. Klarigo. Ĉiu normala provizanto havas bonan akumulitan historion, sed pro naturaj kialoj, ni kiel kliento ne povis akiri aliron al ĉiuj historiaj datumoj. Tio estas, vi povas akiri la tutan historion por aparta registro, ekzemple, laŭ domajno aŭ IP-adreso, sed vi ne povas vidi la historion de ĉio - kaj sen tio vi ne povas vidi la plenan bildon.
Por kolekti kiel eble plej multajn historiajn registrojn pri domajnoj, ni aĉetis diversajn datumbazojn, analizis multajn malfermajn rimedojn, kiuj havis ĉi tiun historion (estas bone, ke estis multaj el ili), kaj intertraktis kun domajnaj nomregistristoj. Ĉiuj ĝisdatigoj en niaj propraj kolektoj estas, kompreneble, konservitaj kun plena historio de ŝanĝoj.
Ĉiuj ekzistantaj solvoj permesas al vi konstrui grafeon permane. Klarigo. Ni supozu, ke vi aĉetis multajn abonojn de ĉiuj eblaj datenprovizantoj (kutime nomataj "riĉigiloj"). Kiam vi bezonas konstrui grafeon, vi "mane" donas la komandon fini la konstruadon el la bezonata konektilelemento, poste elektas la bezonatajn elementojn el la aperintaj kaj donas la komandon fini la konstruadon de konektoj el ili, kaj tiel plu. En ĉi tiu kazo, la respondeco pri kiom bone la grafeo estos konstruita kuŝas tute ĉe la persono.
Ni faris aŭtomatan grafkonstruadon. Tio estas, se vi bezonas konstrui grafeon, tiam la ligoj de la unua elemento estas konstruitaj aŭtomate, poste de ĉiuj postaj - ankaŭ. La specialisto nur indikas la profundon, kun kiu la grafeo estu konstruita. La procezo de aŭtomata grafkompletigo mem estas simpla, sed aliaj vendistoj ne efektivigas ĝin, ĉar ĝi donas grandegan nombron da senrilataj rezultoj kaj ni ankaŭ devis konsideri ĉi tiun malavantaĝon (vidu sube).
Multaj senrilataj rezultoj estas problemo kun ĉiuj grafeoj de retaj elementoj. Klarigo: Ekzemple, "malbona domajno" (partopreninta en atako) estas asociita kun servilo, kiu estis asociita kun 10 aliaj domajnoj dum la pasintaj 500 jaroj. Kiam oni permane aldonas aŭ aŭtomate konstruas grafeon, ĉiuj 500 el ĉi tiuj domajnoj ankaŭ devus aperi sur la grafeo, eĉ se ili ne rilatas al la atako. Aŭ, ekzemple, vi kontrolas IP-indikilon el la sekureca raporto de vendisto. Tipe, tiaj raportoj estas publikigitaj kun signifa prokrasto kaj ofte kovras jaron aŭ pli. Plej verŝajne, kiam vi legas la raporton, la servilo kun ĉi tiu IP-adreso jam estis luita al aliaj homoj kun malsamaj konektoj, kaj la konstruado de la grafeo kondukos al tio, ke vi denove ricevos senrilatajn rezultojn.
Ni trejnis la sistemon por detekti nerelevantajn elementojn uzante la saman logikon kiel niaj fakuloj faris permane. Ekzemple, vi kontrolas malbonan domajnon example.com, kiu nun solviĝas al IP 11.11.11.11, kaj antaŭ monato — al IP 22.22.22.22. IP 11.11.11.11, krom la domajno example.com, estas ankaŭ asociita kun example.ru, kaj IP 22.22.22.22 estas asociita kun 25 mil aliaj domajnoj. La sistemo, kiel homo, komprenas, ke 11.11.11.11 plej verŝajne estas dediĉita servilo, kaj ĉar la domajno example.ru estas simila laŭ literumo al example.com, tiam, kun alta probableco, ili estas konektitaj kaj devus esti sur la grafikaĵo; sed IP 22.22.22.22 apartenas al komuna gastigado, do ne necesas meti ĉiujn ĝiajn domajnojn sur la grafeon, krom se ekzistas aliaj ligiloj montrantaj, ke unu el ĉi tiuj 25 mil domajnoj ankaŭ devas esti metita sur la grafeon (ekzemple, example.net). Antaŭ ol la sistemo komprenas, ke la ligiloj devas esti rompitaj kaj iuj elementoj ne devas esti metitaj sur la grafeon, ĝi konsideras multajn ecojn de la elementoj kaj aretoj, en kiujn ĉi tiuj elementoj estas unuigitaj, same kiel la forton de la nunaj ligiloj. Ekzemple, se ni havas malgrandan areton (50 elementojn) sur la grafeo, kiu inkluzivas malbonan domajnon, kaj alian grandan areton (5 mil elementojn), kaj ambaŭ aretoj estas konektitaj per ligo (linio) kun tre malalta forto (pezo), tiam tia ligo estos rompita kaj elementoj el la granda areto estos forigitaj. Sed se ekzistas multaj ligiloj inter la malgranda kaj granda aretoj kaj ilia forto iom post iom pliiĝas, tiam en ĉi tiu kazo la ligo ne estos rompita kaj la necesaj elementoj el ambaŭ aretoj restos sur la grafeo.
La posedperiodo de la servilo aŭ domajno ne estas konsiderata. Klarigo. La registra periodo de "malbonaj domajnoj" pli frue aŭ pli malfrue eksvalidiĝas, kaj ili estas reaĉetataj por malicaj aŭ legitimaj celoj. Eĉ kuglorezistaj gastigaj servoj luas servilojn al malsamaj retpiratoj, do estas grave scii kaj konsideri la intervalon, kiam specifa domajno/servilo estis sub la kontrolo de unu posedanto. Ni ofte renkontas situacion, kiam servilo kun IP-adreso 11.11.11.11 nun estas uzata kiel C&C por banka roboto, kaj antaŭ 2 monatoj elaĉetprogramo estis kontrolita de ĝi. Se vi konstruas konekton sen konsideri la posedintervalojn, ŝajnos, ke ekzistas konekto inter la posedantoj de la banka robotreto kaj la ĉantaĝistoj, kvankam fakte ne ekzistas. En nia laboro, tia eraro estas kritika.
Ni instruis la sistemon determini posedintervalojn. Por domajnoj, tio estas relative simpla, ĉar whois ofte specifas la komencajn kaj finajn datojn de registrado, kaj kiam ekzistas plena historio de whois-ŝanĝoj, estas facile determini la intervalojn. Kiam domajno ne eksvalidiĝis, sed ĝia administrado estis transdonita al aliaj posedantoj, tio ankaŭ povas esti spurita. Ne ekzistas tia problemo por SSL-atestiloj, ĉar ili estas eldonitaj unufoje, ne estas renovigitaj kaj ne estas transdonitaj. Sed por mem-subskribitaj atestiloj, vi ne povas fidi la datojn specifitajn en la atestilaj validecperiodoj, ĉar vi povas generi SSL-atestilon hodiaŭ, kaj specifi la komencan daton de la atestilo ekde 2010. La plej malfacila afero estas determini posedintervalojn por serviloj, ĉar nur retprovizantoj havas lizkontraktdatojn kaj periodojn. Por determini la posedperiodon de la servilo, ni komencis uzi la rezultojn de pordoskanado kaj kreado de fingrospuroj de funkciantaj servoj sur pordoj. Surbaze de ĉi tiu informo, ni povas diri kun sufiĉa precizeco kiam la servila posedanto ŝanĝiĝis.
Malmultaj konektoj. Klarigo: Nuntempe, ne estas problemo eĉ ricevi senpagan liston de domajnoj, kiuj havas certan retpoŝtadreson listigitan en sia whois, aŭ trovi ĉiujn domajnojn, kiuj estis ligitaj al certa IP-adreso. Sed kiam temas pri retpiratoj, kiuj faras ĉion eblan por malfaciligi spuradon, necesas pliaj "trukoj" por trovi novajn ecojn kaj konstrui novajn konektojn.
Ni pasigis multan tempon esplorante kiel ĉerpi datumojn, kiuj ne estas haveblaj laŭ la kutima maniero. Ni ne povas priskribi kiel ĝi funkcias ĉi tie pro evidentaj kialoj, sed sub certaj cirkonstancoj retpiratoj faras erarojn dum registrado de domajnoj aŭ luado kaj starigado de serviloj, kiuj permesas al vi trovi retpoŝtadresojn, retpiratajn kaŝnomojn, kaj fonajn adresojn. Ju pli da konektoj vi ĉerpas, des pli precize vi povas konstrui grafeojn.
Kiel nia grafikaĵo funkcias
Por komenci uzi la retgrafon, vi devas enigi domajnon, IP-adreson, retpoŝtadreson aŭ SSL-atestilon en la serĉobreton. Estas tri kondiĉoj, kiujn la analizisto povas kontroli: tempo, paŝoprofundo kaj purigo.
Время
Tempo – la dato aŭ intervalo kiam la koncerna elemento estis uzata por malicaj celoj. Se vi ne specifas ĉi tiun parametron, la sistemo aŭtomate determinos la lastan intervalon de posedo de ĉi tiu rimedo. Ekzemple, la 11-an de julio, Eset publikigis pri kiel Buhtrap uzas 0-tagan ekspluaton por ciberspionado. Ĉe la fino de la raporto estas 6 indikiloj. Unu el ili, secure-telemetry[.]net, estis re-registrita la 16-an de julio. Do se vi konstruas grafeon post la 16-a de julio, vi ricevos senrilatajn rezultojn. Sed se vi specifas, ke ĉi tiu domajno estis uzata antaŭ ĉi tiu dato, tiam la grafeo inkluzivas 126 novajn domajnojn, 69 IP-adresojn, kiuj ne estas listigitaj en la Eset-raporto:
- ukrfreshnews[.]com
- unian-serĉo[.]com
- vesti-mondo[.]info
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- kaj aliaj.
Aldone al retindikiloj, ni tuj trovas ligilojn al malicaj dosieroj, kiuj havis ligojn al ĉi tiu infrastrukturo, kaj etikedojn, kiuj diras al ni, ke Meterpreter kaj AZORult estis uzitaj.
La plej bona afero estas, ke vi ricevas ĉi tiun rezulton ene de unu sekundo kaj vi jam ne bezonas pasigi tagojn analizante la datumojn. Kompreneble, ĉi tiu aliro kelkfoje reduktas la tempon por esploroj plurfoje, kio ofte estas kritika.
La nombro de paŝoj aŭ la profundo de rikuro, kun kiu la grafeo estos konstruita
Defaŭlte, la profundo estas 3. Tio signifas, ke ĉiuj rekte rilataj elementoj estos trovitaj el la serĉata elemento, poste novaj ligiloj al aliaj elementoj estos konstruitaj por ĉiu nova elemento, kaj novaj elementoj estos kreitaj el la novaj elementoj de la antaŭa paŝo.
Ni prenu ekzemplon senrilatan al APT kaj 0-tagaj ekspluatoj. Lastatempe, Habr priskribis interesan kazon de fraŭdo rilata al kriptovalutoj. La raporto mencias domajnon — themcx[.]co, uzatan de trompistoj por gastigi la retejon de la supozebla interŝanĝejo Miner Coin Exchange kaj phone-lookup[.]xyz, por allogi trafikon.
El la priskribo estas klare, ke la skemo postulas sufiĉe grandan infrastrukturon por allogi trafikon al fraŭdaj rimedoj. Ni decidis rigardi ĉi tiun infrastrukturon konstruante grafeon en 4 paŝoj. Ĉe la rezulto ni ricevis grafeon kun 230 domajnoj kaj 39 IP-adresoj. Poste ni dividas la domajnojn en 2 kategoriojn: tiuj, kiuj aspektas kiel kriptomonejaj servoj kaj tiuj, kiuj estas desegnitaj por direkti trafikon per telefonaj konfirmaj servoj:
Rilate al kriptovaluto
Rilate al telefonkontrolaj servoj
monergardanto[.]cc
alvokanto-registro[.]ejo.
mcxwallet[.]co
telefonaj registroj[.]spaco
btcnoise[.]com
fone-malkovru[.]xyz
kriptoministo[.]gardado
nombro-malkaŝu[.]info
Очистка
Defaŭlte, la opcio "Grafika Purigado" estas ebligita kaj ĉiuj senrilataj elementoj estos forigitaj de la grafikaĵo. Cetere, ĝi estis uzata en ĉiuj antaŭaj ekzemploj. Mi antaŭvidas naturan demandon: kiel mi povas certigi, ke io grava ne estas forigita? Mi respondos: por analizistoj, kiuj ŝatas konstrui grafikaĵojn permane, aŭtomata purigado povas esti malŝaltita kaj la nombro de paŝoj povas esti agordita al 1. Tiam la analizisto povos kompletigi la grafikaĵon el la elementoj, kiujn li bezonas, kaj forigi elementojn, kiuj estas senrilataj al la tasko, de la grafikaĵo.
Jam sur la grafikaĵo, la analizisto havas aliron al la historio de ŝanĝoj al whois, DNS, same kiel malfermitaj pordoj kaj servoj funkciantaj sur ili.
Financa fiŝkaptado
Ni esploris la agojn de unu APT-grupo, kiu jam de pluraj jaroj faris fiŝkaptajn atakojn kontraŭ klientoj de diversaj bankoj en diversaj regionoj. Karakteriza trajto de ĉi tiu grupo estis la registrado de domajnoj, kiuj estis tre similaj al la nomoj de realaj bankoj, kaj la plej multaj el la fiŝkaptaj retejoj havis la saman dezajnon, la solaj diferencoj estis en la nomoj de la bankoj kaj iliaj logotipoj.
En ĉi tiu kazo, aŭtomata grafanalizo estis tre helpema. Prenante unu el iliaj domajnoj, lloydsbnk-uk[.]com, en kelkaj sekundoj ni konstruis grafeon kun profundo de 3 paŝoj, kiu rivelis pli ol 250 malicajn domajnojn, kiujn ĉi tiu grupo uzis ekde 2015 kaj daŭre uzas. Kelkaj el ĉi tiuj domajnoj jam estis aĉetitaj de bankoj, sed historiaj registroj montras, ke ili antaŭe estis registritaj al la atakantoj.
Por klareco, la figuro montras grafeon kun profundo de 2 ŝtupoj.
Rimarkinde, jam en 2019, la atakantoj iom ŝanĝis siajn taktikojn kaj komencis registri ne nur bankajn domajnojn por gastigi retfiŝfiŝadon, sed ankaŭ domajnojn de diversaj konsultaj kompanioj por sendi fiŝajn retpoŝtojn. Ekzemple, domajnoj swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Kobalta bando
En decembro 2018, la retpirata grupo Cobalt, kiu specialiĝas pri celitaj atakoj kontraŭ bankoj, sendis retpoŝton nome de la Nacia Banko de Kazaĥio.
La retpoŝtoj enhavis ligilojn al hXXps://nationalbank.bz/Doc/Prikaz.doc. La elŝutita dokumento enhavis makroon kiu lanĉis PowerShell, kiu provis elŝuti kaj ekzekuti dosieron de hXXp://wateroilclub.com/file/dwm.exe al %Temp%einmrmdmy.exe. La %Temp%einmrmdmy.exe, ankaŭ konata kiel dwm.exe, estas CobInt-programilo agordita por interagi kun la servilo hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Imagu, ke vi ne havas la kapablon ricevi ĉi tiujn fiŝkaptajn retpoŝtojn kaj fari plenan analizon de la malicaj dosieroj. La grafikaĵo por la malica domajno nationalbank[.]bz tuj montras konektojn al aliaj malicaj domajnoj, atribuas tion al grupo kaj montras, kiuj dosieroj estis uzitaj en la atako.
Ni prenu la IP-adreson 46.173.219[.]152 el ĉi tiu grafikaĵo kaj konstruu grafikaĵon sur ĝi per unu paŝo kaj malŝaltu purigadon. Estas 40 domajnoj asociitaj kun ĝi, ekzemple, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
kriptoelipso[.]com
La domajnaj nomoj ŝajnas esti uzataj en fraŭdoj, sed la puriga algoritmo rimarkis, ke ili ne rilatas al ĉi tiu atako kaj ne inkluzivis ilin en la grafikaĵo, kio multe faciligas la analizon kaj atribuan procezon.
Se ni rekonstruas la grafeon bazitan sur nationalbank[.]bz, sed malŝaltas la algoritmon por purigi la grafeon, tiam ĝi enhavos pli ol 500 elementojn, el kiuj la plej multaj havas nenion komunan kun la grupo Cobalt aŭ iliaj atakoj. Ekzemplo de kiel aspektas tia grafeo estas donita sube:
konkludo
Post pluraj jaroj da fajnagordado, testado en realaj esploroj, minacesplorado kaj ĉasado de atakantoj, ni sukcesis ne nur krei unikan ilon, sed ankaŭ ŝanĝi la sintenon de fakuloj ene de la kompanio rilate al ĝi. Komence, teknikaj fakuloj volis plenan kontrolon super la procezo de grafkonstruado. Konvinki ilin, ke aŭtomata grafkonstruado povus fari ĝin pli bone ol homo kun multaj jaroj da sperto, estis ekstreme malfacile. Tempo kaj multnombraj "manaj" kontroloj de la rezultoj de tio, kion la grafejo produktis, decidis ĉion. Nun niaj fakuloj ne nur fidas la sistemon, sed ankaŭ uzas la rezultojn, kiujn ĝi ricevas, en sia ĉiutaga laboro. Ĉi tiu teknologio funkcias ene de ĉiu el niaj sistemoj kaj permesas al ni pli bone identigi minacojn de ajna tipo. La interfaco por mana grafanalizo estas enkonstruita en ĉiujn produktojn de Group-IB kaj signife vastigas la eblecojn por ciberkrima ĉasado. Ĉi tion konfirmas la reagoj de analizistoj de niaj klientoj. Kaj ni, siavice, daŭre riĉigas la grafejon per datumoj kaj laboras pri novaj algoritmoj uzante artefaritan inteligentecon por la plej preciza retgrafejo.
fonto: www.habr.com
