کارشناسان Group-IB با بررسی پرونده‌های مربوط به فیشینگ، بات‌نت، تراکنش‌های جعلی و گروه‌های هکر مجرمانه، سال‌هاست که از تجزیه و تحلیل نمودار برای شناسایی انواع مختلف اتصالات استفاده می‌کنند. کیس های مختلف مجموعه داده های خاص خود را دارند، الگوریتم های خاص خود را برای شناسایی اتصالات و واسط هایی دارند که برای وظایف خاص طراحی شده اند. همه این ابزارها به صورت داخلی توسط Group-IB توسعه داده شده و فقط برای کارمندان ما در دسترس بود.

تجزیه و تحلیل نموداری زیرساخت شبکه (نمودار شبکه) اولین ابزار داخلی است که ما در تمام محصولات عمومی شرکت ایجاد کردیم. قبل از ایجاد نمودار شبکه خود، بسیاری از پیشرفت‌های مشابه در بازار را تجزیه و تحلیل کردیم و محصول واحدی را پیدا نکردیم که نیازهای خودمان را برآورده کند. در این مقاله در مورد نحوه ایجاد نمودار شبکه، نحوه استفاده از آن و با چه مشکلاتی صحبت خواهیم کرد.

دیمیتری ولکوف، CTO Group-IB و رئیس اطلاعات سایبری

گراف شبکه Group-IB چه کاری می تواند انجام دهد؟

بررسی ها

از زمان تأسیس Group-IB در سال 2003 تا به امروز، شناسایی، محکوم کردن و محاکمه مجرمان سایبری در اولویت کار ما بوده است. حتی یک تحقیق درباره حمله سایبری بدون تجزیه و تحلیل زیرساخت شبکه مهاجمان کامل نشد. در همان ابتدای سفر ما، جستجوی روابطی بود که می توانست به شناسایی مجرمان کمک کند: اطلاعاتی در مورد نام دامنه، آدرس IP، اثر انگشت دیجیتال سرورها و غیره.

اکثر مهاجمان سعی می کنند تا حد امکان ناشناس در شبکه عمل کنند. با این حال، مانند همه مردم، آنها اشتباه می کنند. هدف اصلی چنین تحلیلی یافتن پروژه‌های تاریخی «سفید» یا «خاکستری» مهاجمان است که با زیرساخت‌های مخرب مورد استفاده در حادثه فعلی که در حال بررسی آن هستیم، تقاطع دارند. اگر امکان شناسایی "پروژه های سفید" وجود داشته باشد، پیدا کردن مهاجم، به عنوان یک قاعده، به یک کار بی اهمیت تبدیل می شود. در مورد موارد "خاکستری"، جستجو زمان و تلاش بیشتری را می طلبد، زیرا صاحبان آنها سعی می کنند اطلاعات ثبت نام را ناشناس یا پنهان کنند، اما شانس بسیار بالا باقی می ماند. به عنوان یک قاعده، مهاجمان در ابتدای فعالیت‌های مجرمانه خود کمتر به ایمنی خود توجه می‌کنند و اشتباهات بیشتری مرتکب می‌شوند، بنابراین هر چه عمیق‌تر در داستان غوطه‌ور شویم، شانس یک تحقیق موفق بیشتر می‌شود. به همین دلیل است که یک نمودار شبکه با سابقه خوب یک عنصر بسیار مهم در چنین تحقیقاتی است. به بیان ساده، هرچه یک شرکت داده های تاریخی عمیق تری داشته باشد، نمودار آن بهتر است. فرض کنید که یک سابقه 5 ساله می تواند به حل مشروط 1-2 جرم از 10 جرم کمک کند و یک سابقه 15 ساله فرصتی برای حل هر ده جرم می دهد.

فیشینگ و کشف تقلب

هر بار که پیوند مشکوکی به یک منبع فیشینگ، جعلی یا دزدی را دریافت می‌کنیم، به‌طور خودکار نموداری از منابع شبکه مرتبط می‌سازیم و همه میزبان‌های پیدا شده را برای محتوای مشابه بررسی می‌کنیم. این به شما امکان می‌دهد هم سایت‌های فیشینگ قدیمی را که فعال اما ناشناخته بودند و هم سایت‌های کاملاً جدیدی را که برای حملات آینده آماده شده‌اند، اما هنوز استفاده نشده‌اند، پیدا کنید. یک مثال ابتدایی که اغلب اتفاق می افتد: ما یک سایت فیشینگ را در سروری با تنها 5 سایت پیدا کردیم. با بررسی هر یک از آنها، محتوای فیشینگ را در سایت های دیگر پیدا می کنیم، به این معنی که می توانیم به جای 5، 1 را مسدود کنیم.

جستجو برای backends

این فرآیند برای تعیین محل واقعی سرور مخرب ضروری است.
99 درصد فروشگاه‌های کارت، انجمن‌های هکرها، بسیاری از منابع فیشینگ و سایر سرورهای مخرب، هم پشت سرورهای پراکسی خودشان و هم در پشت پراکسی‌های سرویس‌های قانونی، به عنوان مثال، Cloudflare پنهان هستند. دانش در مورد باطن واقعی برای تحقیقات بسیار مهم است: ارائه دهنده میزبانی که می توان سرور را از آن توقیف کرد، شناخته می شود، و امکان ایجاد ارتباط با پروژه های مخرب دیگر فراهم می شود.

به عنوان مثال، شما یک سایت فیشینگ برای جمع آوری داده های کارت بانکی دارید که به آدرس IP 11.11.11.11 حل می شود و یک آدرس cardshop که به آدرس IP 22.22.22.22 حل می شود. در طول تجزیه و تحلیل، ممکن است معلوم شود که هم سایت فیشینگ و هم کارگاه دارای یک آدرس IP مشترک هستند، به عنوان مثال، 33.33.33.33. این دانش به ما اجازه می دهد تا ارتباطی بین حملات فیشینگ و فروشگاه کارتی ایجاد کنیم که ممکن است داده های کارت بانکی در آن فروخته شود.

همبستگی رویداد

هنگامی که شما دو محرک مختلف (مثلاً در یک IDS) با بدافزارهای مختلف و سرورهای مختلف برای کنترل حمله دارید، آنها را به عنوان دو رویداد مستقل در نظر خواهید گرفت. اما اگر ارتباط خوبی بین زیرساخت‌های مخرب وجود داشته باشد، مشخص می‌شود که این حملات متفاوت نیستند، بلکه مراحل یک حمله چند مرحله‌ای پیچیده‌تر هستند. و اگر یکی از رویدادها قبلاً به هر گروهی از مهاجمان نسبت داده شده باشد، می توان رویداد دوم را نیز به همان گروه نسبت داد. البته، فرآیند انتساب بسیار پیچیده‌تر است، بنابراین این را به عنوان یک مثال ساده در نظر بگیرید.

غنی سازی شاخص

ما به این موضوع توجه زیادی نخواهیم کرد، زیرا این رایج‌ترین سناریو برای استفاده از نمودارها در امنیت سایبری است: شما یک شاخص را به عنوان ورودی می‌دهید، و به عنوان خروجی مجموعه‌ای از شاخص‌های مرتبط را دریافت می‌کنید.

شناسایی الگوها

شناسایی الگوها برای شکار موثر ضروری است. نمودارها به شما این امکان را می دهند که نه تنها عناصر مرتبط را پیدا کنید، بلکه ویژگی های مشترکی را که مشخصه گروه خاصی از هکرها هستند نیز شناسایی کنید. آگاهی از چنین ویژگی‌های منحصربه‌فردی به شما این امکان را می‌دهد که زیرساخت مهاجم را حتی در مرحله آماده‌سازی و بدون شواهدی که حمله را تأیید می‌کند، مانند ایمیل‌های فیشینگ یا بدافزار شناسایی کنید.

چرا گراف شبکه خودمان را ایجاد کردیم؟

مجدداً، قبل از اینکه به این نتیجه برسیم که باید ابزار خود را توسعه دهیم که بتواند کاری را انجام دهد که هیچ محصول موجود نمی تواند انجام دهد، به راه حل های فروشندگان مختلف نگاه کردیم. چندین سال طول کشید تا آن را ایجاد کنیم، که در طی آن چندین بار آن را به طور کامل تغییر دادیم. اما، با وجود دوره طولانی توسعه، ما هنوز یک آنالوگ واحد پیدا نکرده ایم که نیازهای ما را برآورده کند. با استفاده از محصول خودمان، در نهایت توانستیم تقریباً تمام مشکلاتی را که در نمودارهای شبکه موجود کشف کرده بودیم، حل کنیم. در زیر این مشکلات را به تفصیل بررسی خواهیم کرد:

مشکل
تصمیم

عدم وجود ارائه‌دهنده با مجموعه‌های مختلف داده‌ها: دامنه‌ها، DNS غیرفعال، SSL غیرفعال، رکوردهای DNS، پورت‌های باز، سرویس‌های در حال اجرا بر روی پورت‌ها، فایل‌های در تعامل با نام دامنه و آدرس‌های IP. توضیح. به طور معمول، ارائه دهندگان انواع جداگانه ای از داده ها را ارائه می دهند، و برای دریافت تصویر کامل، باید از همه اشتراک بخرید. با وجود این، همیشه امکان به دست آوردن همه داده ها وجود ندارد: برخی از ارائه دهندگان SSL غیرفعال فقط در مورد گواهی های صادر شده توسط CA مورد اعتماد اطلاعات ارائه می دهند، و پوشش گواهی نامه های خود امضا شده بسیار ضعیف است. برخی دیگر نیز داده‌ها را با استفاده از گواهی‌های خودامضا ارائه می‌کنند، اما آن‌ها را فقط از پورت‌های استاندارد جمع‌آوری می‌کنند.
تمام مجموعه های بالا را خودمان جمع آوری کردیم. به عنوان مثال، برای جمع‌آوری داده‌های مربوط به گواهی‌های SSL، ما سرویس خودمان را نوشتیم که آنها را هم از CAهای قابل اعتماد و هم با اسکن کل فضای IPv4 جمع‌آوری می‌کند. گواهینامه ها نه تنها از IP، بلکه از همه دامنه ها و زیر دامنه ها از پایگاه داده ما جمع آوری شده است: اگر دامنه example.com و زیر دامنه آن را دارید www.example.com و همه آنها به IP 1.1.1.1 حل می شوند، سپس هنگامی که سعی می کنید گواهی SSL را از پورت 443 در یک IP، دامنه و زیر دامنه آن دریافت کنید، می توانید سه نتیجه متفاوت دریافت کنید. برای جمع‌آوری داده‌ها در پورت‌های باز و سرویس‌های در حال اجرا، باید سیستم اسکن توزیع‌شده خود را ایجاد می‌کردیم، زیرا سایر سرویس‌ها اغلب آدرس‌های IP سرورهای اسکن خود را در «لیست‌های سیاه» داشتند. سرورهای اسکن ما نیز در لیست سیاه قرار می گیرند، اما نتیجه شناسایی خدمات مورد نیاز ما بالاتر از آنهایی است که به سادگی هرچه بیشتر پورت ها را اسکن می کنند و دسترسی به این داده ها را می فروشند.

عدم دسترسی به کل پایگاه داده های اسناد تاریخی. توضیح. هر تامین کننده معمولی تاریخچه انباشته خوبی دارد، اما به دلایل طبیعی ما به عنوان مشتری نتوانستیم به تمام داده های تاریخی دسترسی داشته باشیم. آن ها شما می توانید کل تاریخچه را برای یک رکورد واحد دریافت کنید، به عنوان مثال، با دامنه یا آدرس IP، اما نمی توانید تاریخچه همه چیز را ببینید - و بدون این نمی توانید تصویر کامل را ببینید.
برای جمع‌آوری هرچه بیشتر سوابق تاریخی در دامنه‌ها، پایگاه‌های اطلاعاتی مختلفی را خریدیم، بسیاری از منابع باز را که این سابقه را داشتند، تجزیه کردیم (خوب است که تعداد زیادی از آنها وجود داشت)، و با ثبت‌کنندگان نام دامنه مذاکره کردیم. همه به‌روزرسانی‌های مجموعه‌های خودمان البته با یک تاریخچه بازبینی کامل نگهداری می‌شوند.

تمام راه حل های موجود به شما امکان می دهد یک نمودار را به صورت دستی بسازید. توضیح. فرض کنید اشتراک های زیادی را از همه ارائه دهندگان داده ممکن خریداری کرده اید (معمولاً به آنها "غنی کننده" گفته می شود. هنگامی که شما نیاز به ساخت یک نمودار دارید، "دست ها" دستور ساخت از عنصر اتصال مورد نظر را می دهید، سپس موارد ضروری را از عناصر ظاهر شده انتخاب می کنید و دستور تکمیل اتصالات را از آنها می دهید و غیره. در این مورد، مسئولیت چگونگی ساخت نمودار کاملاً بر عهده شخص است.
ما ساخت خودکار نمودارها را ساختیم. آن ها اگر نیاز به ساخت یک نمودار دارید، اتصالات از عنصر اول به طور خودکار ساخته می شوند، سپس از همه موارد بعدی نیز. متخصص فقط عمقی را که نمودار باید در آن ساخته شود را نشان می دهد. فرآیند تکمیل خودکار نمودارها ساده است، اما سایر فروشندگان آن را پیاده سازی نمی کنند زیرا تعداد زیادی از نتایج نامربوط را ایجاد می کند، و ما مجبور شدیم این اشکال را نیز در نظر بگیریم (به زیر مراجعه کنید).

بسیاری از نتایج نامربوط با همه نمودارهای عناصر شبکه مشکل دارند. توضیح. به عنوان مثال، یک "دامنه بد" (شرکت در یک حمله) با سروری مرتبط است که در 10 سال گذشته 500 دامنه دیگر با آن مرتبط است. هنگام افزودن یا ساخت خودکار نمودار به صورت دستی، همه این 500 دامنه نیز باید روی نمودار ظاهر شوند، اگرچه مربوط به حمله نیستند. یا مثلاً نشانگر IP را از گزارش امنیتی فروشنده بررسی کنید. به طور معمول، چنین گزارش هایی با تاخیر قابل توجهی منتشر می شوند و اغلب یک سال یا بیشتر طول می کشند. به احتمال زیاد، در زمانی که گزارش را می خوانید، سرور با این آدرس IP قبلاً به افراد دیگری با اتصالات دیگر اجاره داده شده است و ایجاد یک نمودار دوباره منجر به دریافت نتایج نامربوط می شود.
ما سیستم را آموزش دادیم تا عناصر نامربوط را با همان منطقی که کارشناسان ما به صورت دستی انجام دادند شناسایی کند. به عنوان مثال، شما در حال بررسی یک دامنه بد example.com هستید که اکنون به IP 11.11.11.11 و یک ماه پیش به IP 22.22.22.22 تغییر می کند. علاوه بر دامنه example.com، IP 11.11.11.11 نیز با example.ru و IP 22.22.22.22 با 25 هزار دامنه دیگر مرتبط است. سیستم، مانند یک شخص، می داند که 11.11.11.11 به احتمال زیاد یک سرور اختصاصی است، و از آنجایی که دامنه example.ru از نظر املای مشابه example.com است، پس با احتمال زیاد، آنها متصل هستند و باید در نمودار اما IP 22.22.22.22 متعلق به هاست اشتراکی است، بنابراین لازم نیست همه دامنه های آن در نمودار گنجانده شوند، مگر اینکه اتصالات دیگری وجود داشته باشد که نشان دهد یکی از این 25 هزار دامنه نیز باید گنجانده شود (به عنوان مثال، example.net) . قبل از اینکه سیستم بفهمد که اتصالات باید قطع شوند و برخی از عناصر به نمودار منتقل نشوند، بسیاری از ویژگی‌های عناصر و خوشه‌هایی را که این عناصر در آنها ترکیب شده‌اند و همچنین قدرت اتصالات فعلی را در نظر می‌گیرد. به عنوان مثال، اگر یک خوشه کوچک (50 عنصر) روی نمودار داشته باشیم که شامل یک دامنه بد است و یک خوشه بزرگ دیگر (5 هزار عنصر) و هر دو خوشه با یک اتصال (خط) با قدرت (وزن) بسیار کم به هم متصل شوند. ، سپس چنین اتصالی قطع می شود و عناصر از خوشه بزرگ حذف می شوند. اما اگر اتصالات زیادی بین خوشه های کوچک و بزرگ وجود داشته باشد و استحکام آنها به تدریج افزایش یابد، در این صورت ارتباط قطع نمی شود و عناصر لازم از هر دو خوشه روی نمودار باقی می مانند.

فاصله مالکیت سرور و دامنه در نظر گرفته نشده است. توضیح. "دامنه های بد" دیر یا زود منقضی می شوند و دوباره برای اهداف مخرب یا قانونی خریداری می شوند. حتی سرورهای میزبان ضد گلوله نیز به هکرهای مختلف اجاره داده می‌شوند، بنابراین بسیار مهم است که فاصله زمانی که یک دامنه/سرور خاص تحت کنترل یک مالک بوده است را بدانید و در نظر بگیرید. ما اغلب با شرایطی مواجه می شویم که سروری با IP 11.11.11.11 اکنون به عنوان C&C برای یک ربات بانکی استفاده می شود و 2 ماه پیش توسط Ransomware کنترل می شد. اگر بدون در نظر گرفتن فواصل مالکیت ارتباطی ایجاد کنیم، به نظر می رسد که بین صاحبان بات نت بانکی و باج افزار ارتباطی وجود دارد، اگرچه در واقع هیچ ارتباطی وجود ندارد. در کار ما، چنین خطایی بسیار مهم است.
ما به سیستم آموزش دادیم که فواصل مالکیت را تعیین کند. برای دامنه‌ها، این کار نسبتاً ساده است، زیرا whois اغلب شامل تاریخ شروع و انقضای ثبت نام است و زمانی که تاریخچه کاملی از تغییرات whois وجود دارد، تعیین فواصل زمانی آسان است. زمانی که ثبت دامنه منقضی نشده باشد، اما مدیریت آن به صاحبان دیگر منتقل شده باشد، می توان آن را نیز پیگیری کرد. برای گواهینامه های SSL چنین مشکلی وجود ندارد، زیرا یک بار صادر می شود و تمدید یا انتقال نمی یابد. اما با گواهینامه های خودامضا نمی توانید به تاریخ های مشخص شده در دوره اعتبار گواهی اعتماد کنید، زیرا می توانید امروز یک گواهی SSL ایجاد کنید و تاریخ شروع گواهی را از سال 2010 مشخص کنید. سخت ترین کار تعیین فواصل مالکیت برای سرورها است، زیرا فقط ارائه دهندگان هاست دارای تاریخ و دوره های اجاره هستند. برای تعیین دوره مالکیت سرور، شروع به استفاده از نتایج اسکن پورت و ایجاد اثر انگشت خدمات در حال اجرا روی پورت ها کردیم. با استفاده از این اطلاعات، می‌توانیم به طور کاملاً دقیق بگوییم که مالک سرور چه زمانی تغییر کرده است.

اتصالات کم توضیح. امروزه حتی به‌دست آوردن یک لیست رایگان از دامنه‌هایی که whois حاوی آدرس ایمیل خاصی است، یا پیدا کردن همه دامنه‌هایی که با یک آدرس IP خاص مرتبط هستند، مشکلی نیست. اما وقتی صحبت از هکرهایی می شود که تمام تلاش خود را می کنند تا ردیابی آنها سخت باشد، ما به ترفندهای اضافی برای یافتن ویژگی های جدید و ایجاد ارتباطات جدید نیاز داریم.
ما زمان زیادی را صرف تحقیق کردیم که چگونه می‌توانیم داده‌هایی را استخراج کنیم که به روشی معمولی در دسترس نبودند. به دلایل واضح نمی‌توانیم در اینجا توضیح دهیم که چگونه کار می‌کند، اما تحت شرایط خاص، هکرها هنگام ثبت دامنه یا اجاره و راه‌اندازی سرورها، اشتباهاتی مرتکب می‌شوند که به آنها اجازه می‌دهد آدرس‌های ایمیل، نام مستعار هکرها و آدرس‌های Backend را پیدا کنند. هرچه اتصالات بیشتری استخراج کنید، نمودارهای دقیق تری می توانید بسازید.

نمودار ما چگونه کار می کند

برای شروع استفاده از نمودار شبکه، باید دامنه، آدرس IP، ایمیل یا اثر انگشت گواهی SSL را در نوار جستجو وارد کنید. سه شرط وجود دارد که تحلیلگر می تواند کنترل کند: زمان، عمق گام و پاکسازی.

زمان

زمان - تاریخ یا فاصله زمانی که عنصر جستجو شده برای اهداف مخرب استفاده شده است. اگر این پارامتر را مشخص نکنید، خود سیستم آخرین بازه مالکیت را برای این منبع تعیین می کند. به عنوان مثال، در 11 جولای، Eset منتشر کرد گزارش درباره نحوه استفاده بوهتراپ از سوء استفاده 0 روزه برای جاسوسی سایبری. در پایان گزارش 6 شاخص وجود دارد. یکی از آنها، امن-تله متری[.] نت، در 16 جولای دوباره ثبت شد. بنابراین، اگر بعد از 16 جولای یک نمودار بسازید، نتایج نامربوطی دریافت خواهید کرد. اما اگر نشان دهید که این دامنه قبل از این تاریخ استفاده شده است، نمودار شامل 126 دامنه جدید، 69 آدرس IP است که در گزارش Eset فهرست نشده اند:

• ukrfreshnews[.]com
• unian-search[.]com
• اطلاعات vesti-world[.]
• runewsmeta[.]com
• foxnewsmeta[.]biz
• اطلاعات sobesednik-meta[.]
• rian-ua[.]net
• غیره

علاوه بر نشانگرهای شبکه، بلافاصله با فایل‌های مخربی که با این زیرساخت ارتباط داشتند و برچسب‌هایی که به ما می‌گویند Meterpreter و AZORult استفاده شده‌اند، ارتباط پیدا می‌کنیم.

نکته مهم این است که شما این نتیجه را در عرض یک ثانیه به دست می آورید و دیگر نیازی نیست روزها را صرف تجزیه و تحلیل داده ها کنید. البته گاهی اوقات این رویکرد زمان تحقیقات را به میزان قابل توجهی کاهش می دهد که اغلب بسیار حیاتی است.

تعداد مراحل یا عمق بازگشتی که نمودار با آن ساخته می شود

به طور پیش فرض، عمق 3 است. این بدان معنی است که تمام عناصر مرتبط مستقیم از عنصر مورد نظر پیدا می شوند، سپس اتصالات جدید از هر عنصر جدید به عناصر دیگر ساخته می شود و عناصر جدید از عناصر جدید از آخرین عناصر ایجاد می شوند. گام.

بیایید مثالی بیاوریم که مربوط به APT و اکسپلویت های 0 روزه نیست. اخیراً یک مورد جالب از کلاهبرداری مربوط به ارزهای دیجیتال در Habré شرح داده شده است. در این گزارش به دامنه themcx[.]co اشاره می‌شود که توسط کلاهبرداران برای میزبانی وب‌سایتی که ظاهراً یک صرافی ماینر کوین و جستجوی تلفن[.]xyz برای جذب ترافیک است، استفاده می‌کند.

از توضیحات واضح است که این طرح به یک زیرساخت نسبتاً بزرگ برای جذب ترافیک به منابع تقلبی نیاز دارد. تصمیم گرفتیم با ساخت یک نمودار در 4 مرحله به این زیرساخت نگاه کنیم. خروجی یک نمودار با 230 دامنه و 39 آدرس IP بود. در مرحله بعد، دامنه‌ها را به دو دسته تقسیم می‌کنیم: دامنه‌هایی که مشابه خدمات کار با ارزهای دیجیتال هستند و دامنه‌هایی که برای هدایت ترافیک از طریق خدمات تأیید تلفن در نظر گرفته شده‌اند:

مربوط به ارزهای دیجیتال
مرتبط با خدمات پانچ تلفن

سکه دار[.] سی سی
سایت ثبت تماس گیرنده[.].

mcxwallet[.]co
رکوردهای تلفن[.]فضا

btcnoise[.]com
fone-uncover[.]xyz

ساعت cryptominer[.]
شماره-کشف[.]اطلاعات

تمیز کردن

به طور پیش‌فرض، گزینه Graph Cleanup فعال است و تمام عناصر نامربوط از نمودار حذف می‌شوند. به هر حال، در تمام نمونه های قبلی استفاده شده است. من یک سوال طبیعی را پیش بینی می کنم: چگونه می توانیم مطمئن شویم که چیزی مهم حذف نشده است؟ من پاسخ خواهم داد: برای تحلیلگرانی که دوست دارند نمودارها را با دست بسازند، تمیز کردن خودکار را می توان غیرفعال کرد و تعداد مراحل را می توان = 1 انتخاب کرد. سپس، تحلیلگر می تواند نمودار را از عناصر مورد نیاز خود تکمیل کند و عناصر را از آنها حذف کند. نموداری که به کار بی ربط است.

در حال حاضر در نمودار، تاریخچه تغییرات در whois، DNS و همچنین پورت‌های باز و سرویس‌های در حال اجرا بر روی آنها در دسترس تحلیلگر قرار می‌گیرد.

فیشینگ مالی

ما فعالیت‌های یک گروه APT را بررسی کردیم که برای چندین سال حملات فیشینگ را علیه مشتریان بانک‌های مختلف در مناطق مختلف انجام می‌داد. از ویژگی های بارز این گروه ثبت دامنه های بسیار شبیه به نام بانک های واقعی بود و اکثر سایت های فیشینگ طراحی یکسانی داشتند و تنها تفاوت در نام بانک ها و لوگوی آنها بود.

در این مورد، تجزیه و تحلیل خودکار نمودار به ما کمک زیادی کرد. با گرفتن یکی از دامنه های آنها - lloydsbnk-uk[.]com، در عرض چند ثانیه نموداری با عمق 3 مرحله ساختیم که بیش از 250 دامنه مخرب را شناسایی کرد که از سال 2015 توسط این گروه استفاده شده و همچنان استفاده می شود. . برخی از این دامنه ها قبلاً توسط بانک ها خریداری شده اند، اما سوابق تاریخی نشان می دهد که قبلاً برای مهاجمان ثبت شده بودند.

برای وضوح، شکل نموداری با عمق 2 مرحله را نشان می دهد.

شایان ذکر است که در سال 2019، مهاجمان تا حدودی تاکتیک خود را تغییر دادند و نه تنها دامنه های بانک ها را برای میزبانی وب فیشینگ، بلکه دامنه های شرکت های مشاوره مختلف برای ارسال ایمیل های فیشینگ را نیز به ثبت رساندند. به عنوان مثال، دامنه های swift-department.com، saudconsultancy.com، vbgrigoryanpartners.com.

باند کبالت

در دسامبر 2018، گروه هکر Cobalt، متخصص در حملات هدفمند به بانک ها، یک کمپین پستی از طرف بانک ملی قزاقستان ارسال کرد.

نامه ها حاوی پیوندهایی به hXXps://nationalbank.bz/Doc/Prikaz.doc بود. سند دانلود شده حاوی یک ماکرو بود که Powershell را راه‌اندازی کرد، که سعی می‌کرد فایل را از hXXp://wateroilclub.com/file/dwm.exe در %Temp%einmrmdmy.exe بارگیری و اجرا کند. فایل %Temp%einmrmdmy.exe با نام مستعار dwm.exe یک استیدر CobInt است که برای تعامل با سرور hXXp://admvmsopp.com/rilruietguadvtoefmuy پیکربندی شده است.

تصور کنید که نمی توانید این ایمیل های فیشینگ را دریافت کنید و یک تجزیه و تحلیل کامل از فایل های مخرب انجام دهید. نمودار دامنه مخرب Nationalbank[.]bz بلافاصله ارتباط با سایر دامنه های مخرب را نشان می دهد، آن را به یک گروه نسبت می دهد و نشان می دهد که کدام فایل ها در حمله استفاده شده اند.

بیایید آدرس IP 46.173.219[.]152 را از این نمودار بگیریم و با یک گذر از آن یک نمودار بسازیم و تمیز کردن را خاموش کنیم. 40 دامنه مرتبط با آن وجود دارد، به عنوان مثال، bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

با قضاوت بر اساس نام های دامنه، به نظر می رسد که از آنها در طرح های کلاهبرداری استفاده می شود، اما الگوریتم پاکسازی متوجه شد که آنها به این حمله مرتبط نیستند و آنها را در نمودار قرار ندادند، که روند تجزیه و تحلیل و نسبت دادن را بسیار ساده می کند.

اگر نمودار را با استفاده از Nationalbank[.]bz دوباره بسازید، اما الگوریتم تمیز کردن نمودار را غیرفعال کنید، آنگاه بیش از 500 عنصر خواهد داشت که اکثر آنها هیچ ارتباطی با گروه Cobalt یا حملات آنها ندارند. نمونه ای از شکل ظاهری چنین نموداری در زیر آورده شده است:

نتیجه

پس از چندین سال تنظیم دقیق، آزمایش در تحقیقات واقعی، تحقیقات تهدید و شکار مهاجمان، ما نه تنها موفق شدیم یک ابزار منحصر به فرد ایجاد کنیم، بلکه نگرش کارشناسان درون شرکت را نسبت به آن تغییر دهیم. در ابتدا، کارشناسان فنی خواهان کنترل کامل بر روند ساخت گراف هستند. متقاعد کردن آنها به اینکه ساخت گراف خودکار می تواند این کار را بهتر از فردی با سال ها تجربه انجام دهد بسیار دشوار بود. همه چیز با زمان و بررسی های متعدد «دستی» نتایج حاصل از نمودار تعیین شد. اکنون کارشناسان ما نه تنها به سیستم اعتماد می کنند، بلکه از نتایجی که به دست می آورد در کارهای روزمره خود نیز استفاده می کنند. این فناوری در داخل هر یک از سیستم‌های ما کار می‌کند و به ما امکان می‌دهد تا هر نوع تهدیدی را بهتر شناسایی کنیم. رابط برای تجزیه و تحلیل نمودار دستی در تمام محصولات Group-IB تعبیه شده است و به طور قابل توجهی قابلیت های شکار جرایم سایبری را گسترش می دهد. این توسط بررسی های تحلیلگران از مشتریان ما تایید شده است. و ما نیز به نوبه خود، به غنی سازی نمودار با داده ها و کار بر روی الگوریتم های جدید با استفاده از هوش مصنوعی برای ایجاد دقیق ترین نمودار شبکه ادامه می دهیم.

منبع: www.habr.com