Phishingarekin, botnetekin, iruzurrezko transakzioekin eta hacker talde kriminalekin lotutako kasuak ikertzen, Group-IB adituek urte asko daramatzate grafikoen analisiak erabiltzen hainbat konexio mota identifikatzeko. Kasu ezberdinek beren datu multzoak dituzte, konexioak identifikatzeko algoritmoak eta zeregin zehatzetarako egokitutako interfazeak. Tresna hauek guztiak Group-IBk barnean garatu zituen eta gure langileentzat bakarrik zeuden eskuragarri.
Sare-azpiegituren analisi grafikoa (sare grafikoa) konpainiaren produktu publiko guztietan txertatu genuen barne-tresna bihurtu zen. Gure sareko grafikoa sortu aurretik, merkatuan izandako antzeko garapen asko aztertu genituen eta ez genuen gure beharrak asetzen zituen produktu bakar bat aurkitu. Artikulu honetan sare grafikoa nola sortu dugun, nola erabiltzen dugun eta zein zailtasun aurkitu ditugun hitz egingo dugu.
Dmitri Volkov, CTO Group-IB eta ziber adimenaren arduraduna
Zer egin dezake Group-IB sare grafikoak?
Ikerketak
2003an Group-IB sortu zenetik gaur egunera arte, ziberkriminalak identifikatzea, kargugabetzea eta justiziaren aurrean ekartzea izan da gure lanean lehentasuna. Zibererasoen ikerketa bakar bat ere ez zen osatu erasotzaileen sare-azpiegiturak aztertu gabe. Gure ibilbidearen hasieran, βeskuzko lanβ nahiko neketsua izan zen gaizkileak identifikatzen lagun dezaketen harremanak bilatzea: domeinu-izenei buruzko informazioa, IP helbideak, zerbitzarien hatz-markak digitalak, etab.
Erasotzaile gehienak sarean ahalik eta modu anonimoenean jokatzen saiatzen dira. Hala ere, pertsona guztiek bezala, akatsak egiten dituzte. Azterketa horren helburu nagusia ikertzen ari garen uneko gertakarian erabilitako azpiegitura gaiztoarekin elkarguneak dituzten erasotzaileen proiektu historiko βzuriakβ edo βgrisakβ aurkitzea da. "Proiektu zuriak" hautematea posible bada, erasotzailea aurkitzea, normalean, zeregin hutsala bihurtzen da. "Grisen" kasuan, bilaketak denbora eta esfortzu gehiago eskatzen du, jabeak erregistro-datuak anonimatu edo ezkutatzen saiatzen baitira, baina aukerak nahiko handiak izaten jarraitzen dute. Oro har, beren jarduera kriminalen hasieran, erasotzaileek arreta gutxiago jartzen diote beren segurtasunari eta akats gehiago egiten dituzte, beraz, zenbat eta sakonago sartu istorioan, orduan eta aukera handiagoak izango dira ikerketa arrakastatsua izateko. Horregatik, historia ona duen sare-grafikoa oso garrantzitsua da ikerketa baten elementu garrantzitsua. Besterik gabe, zenbat eta datu historiko sakonagoak izan, orduan eta grafiko hobea izango du. Demagun 5 urteko historia batek 1 delitutik 2-10 konpontzen lagun dezakeela baldintzapean, eta 15 urteko historiak hamarrak konpontzeko aukera ematen duela.
Phishing eta iruzurra hautematea
Phishing, iruzurrezko edo piratatutako baliabide baterako esteka susmagarri bat jasotzen dugun bakoitzean, automatikoki erlazionatutako sareko baliabideen grafiko bat eraikitzen dugu eta aurkitutako ostalari guztiek antzeko edukia duten egiaztatzen dugu. Horri esker, aktibo baina ezezagunak ziren phishing gune zaharrak aurki ditzakezu, baita etorkizuneko erasoetarako prestatuta dauden baina oraindik erabiltzen ez diren guztiz berriak ere. Sarritan gertatzen den oinarrizko adibide bat: phishing gune bat aurkitu dugu 5 gune baino ez dituen zerbitzari batean. Horietako bakoitza egiaztatuz, beste gune batzuetan phishing edukia aurkitzen dugu, hau da, 5 blokeatu ditzakegula 1 beharrean.
Bilatu backendak
Prozesu hau beharrezkoa da zerbitzari gaiztoa benetan non dagoen zehazteko.
Txartel denden, hacker foroen, phishing-baliabide asko eta beste zerbitzari gaiztoen % 99 proxy zerbitzarien eta legezko zerbitzuen proxyen atzean ezkutatzen dira, adibidez, Cloudflare. Benetako backend-ari buruzko ezagutza oso garrantzitsua da ikerketetarako: zerbitzaria bahitu daitekeen ostalaritza hornitzailea ezagutzen da, eta beste proiektu gaizto batzuekin konexioak eraikitzea posible egiten da.
Esaterako, 11.11.11.11 IP helbidera konpontzen den banku-txartelen datuak biltzeko phishing gune bat duzu eta 22.22.22.22 IP helbidera konpontzen den txarteldendako helbide bat. Azterketan zehar, gerta daiteke bai phishing guneak bai txarteldendak backend IP helbide komun bat dutela, adibidez, 33.33.33.33. Ezagutza horri esker, phishing-erasoen eta banku-txartelen datuak saldu daitezkeen txartelen denda baten arteko konexioa eraikitzen dugu.
Gertaeren korrelazioa
Erasoa kontrolatzeko malware eta zerbitzari ezberdinekin bi abiarazle desberdin dituzunean (demagun IDS batean), bi gertaera independente gisa tratatuko dituzu. Baina azpiegitura gaiztoen artean konexio ona badago, argi geratzen da hauek ez direla eraso desberdinak, fase anitzeko eraso konplexuago baten faseak baizik. Eta gertaeraren bat dagoeneko erasotzaile talde bati egozten bazaio, bigarrena ere talde berari egotzi ahal izango zaio. Jakina, esleipen-prozesua askoz konplexuagoa da, beraz, trata ezazu hau adibide sinple gisa.
Adierazleen aberastea
Ez diogu kasu handirik emango honi, hau baita zibersegurtasunean grafikoak erabiltzeko eszenatokirik ohikoena: adierazle bat ematen duzu sarrera gisa, eta irteera gisa erlazionatutako adierazle sorta bat lortzen duzu.
Ereduak identifikatzea
Ereduak identifikatzea ezinbestekoa da ehiza eraginkorra izateko. Grafikoek erlazionatutako elementuak aurkitzeaz gain, hacker talde jakin baten ezaugarriak diren propietate komunak identifikatzeko aukera ematen dute. Ezaugarri bereziak ezagutzeak erasotzailearen azpiegitura antzemateko aukera ematen du prestaketa fasean ere eta erasoa berresten duen frogarik gabe, hala nola phishing-mezu elektronikoak edo malwarea.
Zergatik sortu dugu gure sare grafikoa?
Berriz ere, saltzaile ezberdinen irtenbideak aztertu genituen gure tresna propioa garatu behar genuela, lehendik dagoen produkturik ez zuen zerbait egin zezakeela ondorioztatu aurretik. Hainbat urte behar izan ziren sortzeko, eta horietan zehar hainbat aldiz aldatu genuen. Baina, garapen aldi luzea izan arren, oraindik ez dugu gure eskakizunak aseko dituen analogo bakar bat aurkitu. Gure produktua erabiliz, azkenean lehendik zeuden sare grafikoetan aurkitu genituen ia arazo guztiak ebatzi ahal izan genituen. Jarraian arazo hauek zehatz-mehatz aztertuko ditugu:
arazoa
Erabaki
Datu-bilduma desberdinak dituen hornitzailerik eza: domeinuak, DNS pasiboa, SSL pasiboa, DNS erregistroak, portu irekiak, portuetan zerbitzuak exekutatzen, domeinu-izenekin eta IP helbideekin elkarreraginean dauden fitxategiak. Azalpena. Normalean, hornitzaileek datu mota bereiziak ematen dituzte, eta argazki osoa lortzeko, denen harpidetzak erosi behar dituzu. Hala eta guztiz ere, ez da beti posible datu guztiak eskuratzea: SSL hornitzaile pasibo batzuek CA fidagarriek emandako ziurtagiriei buruzko datuak soilik ematen dituzte, eta autosinatutako ziurtagirien estaldura oso eskasa da. Beste batzuek, gainera, autosinatutako ziurtagiriak erabiliz ematen dituzte datuak, baina portu estandarretatik soilik biltzen dituzte.
Aurreko bilduma guztiak guk geuk bildu ditugu. Esate baterako, SSL ziurtagiriei buruzko datuak biltzeko, gure zerbitzu propioa idatzi dugu, bai CA fidagarrietatik bai IPv4 espazio osoa eskaneatuz. Ziurtagiriak IPtik ez ezik, gure datu-baseko domeinu eta azpidomeinu guztietatik ere bildu ziren: adibide.com domeinua eta bere azpidomeinua badituzu. eta guztiak IP 1.1.1.1 ebazten dira, gero IP, domeinu eta bere azpidomeinuko 443 ataka SSL ziurtagiria lortzen saiatzen zarenean, hiru emaitza ezberdin lor ditzakezu. Portu irekiei eta exekutatzen ari diren zerbitzuei buruzko datuak biltzeko, gure banatutako eskaneaketa sistema propioa sortu behar izan dugu, beste zerbitzu batzuek sarritan eskaneatzeko zerbitzarien IP helbideak "zerrenda beltzetan" zeudelako. Gure eskaneatzeko zerbitzariek ere zerrenda beltzean amaitzen dute, baina behar ditugun zerbitzuak detektatzeko emaitza ahalik eta portu gehien eskaneatu eta datu horietarako sarbidea saltzen dutenena baino handiagoa da.
Erregistro historikoen datu-base osorako sarbide eza. Azalpena. Hornitzaile arrunt guztiek historia metatu ona dute, baina arrazoi naturalengatik, bezero gisa, ezin izan dugu datu historiko guztietarako sarbidea lortu. Horiek. Erregistro bakar baten historia osoa lor dezakezu, adibidez, domeinuaren edo IP helbidearen arabera, baina ezin duzu guztiaren historia ikusi, eta hori gabe ezin duzu argazki osoa ikusi.
Domeinuetan ahalik eta erregistro historiko gehien biltzeko, hainbat datu-base erosi, historia hori zuten baliabide ireki asko analizatu ditugu (ona da horietako asko egotea) eta domeinu-izen erregistratzaileekin negoziatu. Gure bilduma propioen eguneratze guztiak berrikuspen historia osoarekin gordetzen dira noski.
Dauden soluzio guztiek eskuz grafiko bat eraikitzeko aukera ematen dute. Azalpena. Demagun harpidetza asko erosi dituzula datu-hornitzaile posible guztiengandik (normalean "aberaste" deitzen zaie). Grafiko bat eraiki behar duzunean, "eskuek" nahi duzun konexio-elementutik eraikitzeko agindua ematen dute, ondoren agertzen diren elementuetatik beharrezkoak hautatu eta haietatik konexioak osatzeko komandoa ematen dute, eta abar. Kasu honetan, grafikoa zein ondo eraikiko den pertsonaren ardura da erabat.
Grafikoen eraikuntza automatikoa egin dugu. Horiek. grafiko bat eraiki behar baduzu, lehenengo elementuko konexioak automatikoki eraikitzen dira, gero ondorengo guztietatik ere. Espezialistak grafikoa eraiki behar den sakonera baino ez du adierazten. Grafikoak automatikoki osatzeko prozesua erraza da, baina beste saltzaile batzuek ez dute inplementatzen, garrantzirik gabeko emaitza ugari sortzen dituelako, eta eragozpen hori ere kontuan hartu behar izan dugu (ikus behean).
Garrantzirik gabeko emaitza asko sareko elementu grafiko guztien arazoa dira. Azalpena. Adibidez, "domeinu txarra" (eraso batean parte hartu duena) azken 10 urteetan harekin lotutako beste 500 domeinu dituen zerbitzari batekin lotzen da. Grafiko bat eskuz gehitzean edo automatikoki eraikitzean, 500 domeinu horiek guztiak ere grafikoan agertu beharko lirateke, erasoarekin zerikusirik ez duten arren. Edo, adibidez, IP adierazlea egiaztatzen duzu saltzailearen segurtasun-txostenean. Normalean, horrelako txostenak atzerapen handiarekin kaleratzen dira eta askotan urtebete edo gehiago hartzen dituzte. Seguruenik, txostena irakurtzen duzun unean, IP helbide hau duen zerbitzaria dagoeneko beste konexio batzuk dituzten beste pertsonei alokatuta egotea, eta grafiko bat egiteak berriro garrantzirik gabeko emaitzak lortuko dituzu.
Sistema garrantzitsuak ez diren elementuak identifikatzeko entrenatu dugu gure adituek eskuz egindako logika bera erabiliz. Adibidez, example.com domeinu txar bat egiaztatzen ari zara, orain 11.11.11.11 IP-ra ebazten dena, eta duela hilabete bat 22.22.22.22 IP-ra. example.com domeinuaz gain, IP 11.11.11.11 example.ru-rekin ere lotuta dago, eta IP 22.22.22.22 beste 25 mila domeinurekin lotuta dago. Sistemak, pertsona batek bezala, ulertzen du ziurrenik 11.11.11.11 zerbitzari dedikatu bat dela, eta example.ru domeinua example.com ortografiaren antzekoa denez, orduan, probabilitate handiarekin, konektatuta daude eta egon beharko lukete. grafikoa; baina IP 22.22.22.22 ostalaritza partekatuari dagokio, beraz, bere domeinu guztiak ez dira grafikoan sartu beharrik 25 mila domeinu horietako bat ere sartu behar dela erakusten duten beste konexiorik ez badago (adibidez, example.net) . Sistemak konexioak hautsi behar direla eta elementu batzuk grafikora eraman ez direla ulertu aurretik, elementu horiek konbinatzen diren elementuen eta multzoen propietate asko hartzen ditu kontuan, baita egungo konexioen indarra ere. Adibidez, grafikoan kluster txiki bat (50 elementu) badaukagu, domeinu txar bat barne hartzen duena, eta beste kluster handi bat (5 mila elementu) eta bi klusterrak oso indar (pisu) baxuko konexio (lerro) baten bidez konektatzen badira. , orduan horrelako konexioa hautsiko da eta kluster handiko elementuak kenduko dira. Baina kluster txikien eta handien artean lotura asko baldin badaude eta haien indarra pixkanaka handitzen joango bada, kasu honetan konexioa ez da hautsiko eta bi multzoetako beharrezko elementuak grafikoan geratuko dira.
Zerbitzariaren eta domeinuaren jabetza tartea ez da kontuan hartzen. Azalpena. "Domeinu txarrak" lehenago edo beranduago iraungiko dira eta berriro erosiko dira helburu gaizto edo legitimoetarako. Balen aurkako ostalaritza zerbitzariak ere hacker desberdinei alokatzen zaizkie, beraz, funtsezkoa da domeinu/zerbitzari jakin bat jabe baten kontrolpean zegoeneko tartea jakitea eta kontuan hartzea. Sarritan aurkitzen dugu 11.11.11.11 IP duen zerbitzari bat banku-bot baten C&C gisa erabiltzen den eta duela 2 hilabete Ransomware-k kontrolatzen zuen. Konexio bat eraikitzen badugu jabetza-tarteak kontuan hartu gabe, banku-botnet-aren jabeen eta ransomwarearen arteko konexioa dagoela dirudi, nahiz eta egia esan ez dagoen. Gure lanean, horrelako akats bat kritikoa da.
Jabetza tarteak zehazten irakatsi genion sistemari. Domeinuetarako hau nahiko erraza da, whois-ak sarritan erregistroaren hasiera- eta iraungitze-datak dituelako eta, whois-en aldaketen historia osoa dagoenean, erraza da tarteak zehaztea. Domeinu baten erregistroa iraungi ez denean, baina haren kudeaketa beste jabe batzuei transferitu zaienean, haren jarraipena ere egin daiteke. SSL ziurtagirietan ez dago horrelako arazorik, behin jaulkitzen direlako eta ez direlako berritu edo transferitzen. Baina norberak sinatutako ziurtagiriekin, ezin zara fidatu ziurtagiriaren balio-aldian zehaztutako datetan, SSL ziurtagiria gaur sor dezakezulako eta ziurtagiriaren hasiera data 2010etik aurrera zehaztu. Zailena zerbitzarien jabetza-tarteak zehaztea da, ostalaritza-hornitzaileek soilik baitituzte datak eta alokairu epeak. Zerbitzariaren jabetza-epea zehazteko, portuak eskanearen emaitzak erabiltzen hasi ginen eta portuetan exekutatzen ari diren zerbitzuen hatz-markak sortzen. Informazio hori erabiliz, zerbitzariaren jabea noiz aldatu den nahiko zehatz esan dezakegu.
Konexio gutxi. Azalpena. Gaur egun, ez da arazo bat ere doako domeinuen zerrenda bat eskuratzea zeinen whois-ak helbide elektroniko zehatz bat duen, edo IP helbide zehatz batekin erlazionatuta zeuden domeinu guztiak ezagutzea. Baina jarraipena zaila izateko ahal duten guztia egiten duten hackerrei dagokienez, trikimailu osagarriak behar ditugu propietate berriak aurkitzeko eta konexio berriak eraikitzeko.
Denbora asko eman genuen modu konbentzionalean erabilgarri ez zeuden datuak nola atera genitzakeen ikertzen. Hemen ezin dugu deskribatu nola funtzionatzen duen arrazoi agerikoengatik, baina egoera jakin batzuetan, hackerrek, domeinuak erregistratzean edo zerbitzariak alokatu eta konfiguratzean, akatsak egiten dituzte helbide elektronikoak, hackerren aliasak eta backend helbideak aurkitzeko. Zenbat eta konexio gehiago atera, orduan eta grafiko zehatzagoak eraiki ditzakezu.
Gure grafikoak nola funtzionatzen duen
Sare grafikoa erabiltzen hasteko, domeinua, IP helbidea, posta elektronikoa edo SSL ziurtagiriaren hatz-marka sartu behar duzu bilaketa-barran. Analistak kontrola ditzakeen hiru baldintza daude: denbora, urratsen sakonera eta garbiketa.
Denbora
Ordua: bilatutako elementua helburu maltzurrekin erabili zeneko data edo tartea. Ez baduzu parametro hori zehazten, sistemak berak zehaztuko du baliabide honen azken jabetza-tartea. Esaterako, uztailaren 11n argitaratu zuen Esatek Buhtrapek 0 eguneko ustiapena nola erabiltzen duen ziber-espioitzarako. Txostenaren amaieran 6 adierazle daude. Horietako bat, secure-telemetry[.]net, berriro erregistratu zen uztailaren 16an. Beraz, uztailaren 16tik aurrera grafiko bat eraikitzen baduzu, garrantzirik gabeko emaitzak lortuko dituzu. Baina domeinu hau data hori baino lehen erabili zela adierazten baduzu, grafikoak 126 domeinu berri eta 69 IP helbide biltzen ditu Eset txostenean zerrendatuta ez daudenak:
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-mundu[.]info
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- eta abar.
Sare-adierazleez gain, berehala aurkitzen ditugu azpiegitura honekin konexioak zituzten fitxategi maltzurrekin konexioak eta Meterpreter eta AZORult erabili zirela esaten diguten etiketak.
Gauza bikaina da emaitza hau segundo batean lortzen duzula eta jada ez duzula egunik eman behar datuak aztertzen. Jakina, ikuspegi honek batzuetan nabarmen murrizten du ikerketak egiteko denbora, eta hori askotan kritikoa da.
Grafikoa eraikiko den urrats-kopurua edo errekurtsio-sakonera
Lehenespenez, sakonera 3 da. Horrek esan nahi du nahi den elementutik zuzenean erlazionatutako elementu guztiak aurkituko direla, gero lotura berriak eraikiko dira elementu berri bakoitzetik beste elementu batzuekin, eta elementu berriak sortuko dira azkeneko elementu berrietatik. urratsa.
Har dezagun APT eta 0 eguneko ustiapenekin erlazionatuta ez dagoen adibide bat. Duela gutxi, HabrΓ©-n kriptografiako monetaekin lotutako iruzur kasu interesgarri bat deskribatu zen. Txostenak themcx[.]co domeinua aipatzen du, iruzurgileek Miner Coin Exchange eta telefono-bilaketa[.]xyz trafikoa erakartzeko webgune bat ostatatzeko erabiltzen dutena.
Deskribapenetik argi dago eskemak nahiko azpiegitura handia behar duela trafikoa iruzurrezko baliabideetara erakartzeko. Azpiegitura hau aztertzea erabaki genuen 4 urratsetan grafiko bat eraikiz. Irteera 230 domeinu eta 39 IP helbide dituen grafiko bat izan da. Ondoren, 2 kategoriatan banatzen ditugu domeinuak: kriptografia-monetaekin lan egiteko zerbitzuen antzekoak eta telefonoaren egiaztapen-zerbitzuen bidez trafikoa bideratzeko xedea dutenak:
Kriptomonetarekin lotuta
Telefonoa zulaketa zerbitzuekin lotuta
txanpongilea[.]cc
deitzaile-erregistro[.]gune.
mcxwallet[.]co
telefono-erregistroak[.]espazioa
btcnoise[.]com
fone-deskubritu[.]xyz
cryptominer[.]erloju
zenbakia-aurkitu[.]info
garbiketa
Lehenespenez, "Grapharen garbiketa" aukera gaituta dago eta garrantzirik gabeko elementu guztiak kenduko dira grafikotik. Bide batez, aurreko adibide guztietan erabili zen. Galdera natural bat aurreikusten dut: nola ziurtatu zerbait garrantzitsua ez dela ezabatzen? Erantzungo dut: grafikoak eskuz eraikitzea gustatzen zaien analistarentzat, garbiketa automatikoa desgaitu daiteke eta urrats kopurua hauta daiteke = 1. Ondoren, analistak grafikoa behar dituen elementuetatik osatu eta elementuak kendu ahal izango ditu. atazarako garrantzirik ez duten grafikoak.
Dagoeneko grafikoan, whois-en, DNS-en eta horietan exekutatzen diren portu irekien eta zerbitzuen aldaketen historia eskuragarri jartzen du analistak.
Finantza phishing
APT talde baten jarduera ikertu genuen, hainbat urtez eskualde ezberdinetako hainbat bankutako bezeroen aurkako phishing-erasoak egin zituena. Talde honen ezaugarri bat benetako bankuen izenen oso antzekoak diren domeinuen erregistroa zen, eta phishing gune gehienek diseinu bera zuten, desberdintasun bakarrak bankuen izenetan eta haien logoetan zeuden.
Kasu honetan, grafikoen analisi automatikoak asko lagundu digu. Euren domeinuetako bat - lloydsbnk-uk[.]com hartuta, segundo gutxitan 3 urratseko sakonera duen grafiko bat eraiki genuen, 250etik talde honek erabiltzen dituen eta erabiltzen jarraitzen duten 2015 domeinu gaizto baino gehiago identifikatu zituena. . Domeinu horietako batzuk bankuek erosi dituzte dagoeneko, baina erregistro historikoek erakusten dute aurretik erasotzaileei erregistratuta zeudela.
Argitasuna lortzeko, irudiak 2 urratseko sakonera duen grafiko bat erakusten du.
Nabarmentzekoa da jada 2019an erasotzaileek beren taktika zertxobait aldatu zutela eta bankuen domeinuak ez ezik web phishing-a ostatatzeko, baita phishing-mezu elektronikoak bidaltzeko aholkularitza-enpresen domeinuak ere erregistratzen hasi zirela. Adibidez, swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com domeinuak.
Kobalto koadrila
2018ko abenduan, bankuei zuzendutako erasoetan espezializatutako Cobalt hacker taldeak posta-kanpaina bat bidali zuen Kazakhstango Banku Nazionalaren izenean.
Gutunek hXXps://nationalbank.bz/Doc/Prikaz.doc-erako estekak zituzten. Deskargatutako dokumentuak Powershell abiarazi zuen makro bat zuen, fitxategia hXXp://wateroilclub.com/file/dwm.exe-tik %Temp%einmrmdmy.exe-n kargatzen eta exekutatzen saiatuko zena. %Temp%einmrmdmy.exe aka dwm.exe fitxategia hXXp://admvmsopp.com/rilruietguadvtoefmuy zerbitzariarekin elkarreragiteko konfiguratuta dagoen CobInt-en etapa bat da.
Imajinatu phishing-mezu elektroniko hauek jaso eta fitxategi maltzurren azterketa osoa egin ezin duzula. Nationalbank[.]bz domeinu gaiztoaren grafikoak berehala erakusten ditu beste domeinu gaizto batzuekiko konexioak, talde bati egozten dio eta erasoan zein fitxategi erabili diren erakusten du.
Har dezagun grafiko honetatik 46.173.219[.]152 IP helbidea eta eraiki dezagun grafiko bat pasabide batean eta desaktibatu garbiketa. 40 domeinu daude lotuta, adibidez, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Domeinu-izenak ikusita, badirudi iruzurrezko eskemetan erabiltzen direla, baina garbiketa-algoritmoa konturatu zen ez zeudela eraso honekin zerikusirik eta ez zituen grafikoan jarri, eta horrek asko errazten du analisi eta atribuzio prozesua.
Grafikoa berreraikitzen baduzu nationalbank[.]bz erabiliz, baina grafikoak garbitzeko algoritmoa desgaituz gero, orduan 500 elementu baino gehiago edukiko ditu, gehienak Cobalt taldearekin edo haien erasoekin zerikusirik ez dutenak. Horrelako grafiko baten itxuraren adibide bat behean ematen da:
Ondorioa
Hainbat urtez sintonizatzen, benetako ikerketetan probatzen, mehatxuen ikerketan eta erasotzaileen ehizan aritu ondoren, tresna paregabea sortzeaz gain, enpresa barruko adituen jarrera aldatzea lortu genuen. Hasieran, aditu teknikoek grafikoen eraikuntza prozesuaren kontrol osoa nahi dute. Grafikoen eraikuntza automatikoak urte askotako esperientzia duen pertsona batek baino hobeto egin zezakeela konbentzitzea oso zaila zen. Dena denborak eta grafikoak sortutako emaitzen "eskuzko" egiaztapen anitzek erabaki zuten. Orain gure adituek sisteman konfiantza izateaz gain, lortzen dituzten emaitzak eguneroko lanean erabiltzen dituzte. Teknologia honek gure sistema bakoitzaren barruan funtzionatzen du eta edozein motatako mehatxuak hobeto identifikatzeko aukera ematen digu. Eskuzko grafikoen analisirako interfazea Group-IB produktu guztietan dago eta ziberdelituen ehizarako gaitasunak nabarmen zabaltzen ditu. Hori baieztatzen dute gure bezeroen analisten iritziek. Eta guk, aldi berean, grafikoa datuekin aberasten eta algoritmo berriak lantzen jarraitzen dugu, adimen artifiziala erabiliz sareko grafikorik zehatzena sortzeko.
Iturria: www.habr.com