Tietojenkalasteluun, botneteihin, vilpillisiin liiketoimiin ja rikollisiin hakkeriryhmiin liittyviä tapauksia tutkiessaan Group-IB:n asiantuntijat ovat käyttäneet graafianalyysiä useiden vuosien ajan erilaisten yhteyksien tunnistamiseen. Eri tapauksilla on omat tietojoukot, omat algoritminsa yhteyksien tunnistamiseen sekä tiettyihin tehtäviin räätälöidyt rajapinnat. Kaikki nämä työkalut ovat Group-IB:n sisäisesti kehittämiä, ja ne olivat vain työntekijöidemme käytettävissä.

Verkkoinfrastruktuurin graafinen analyysi (verkkokaavio) tuli ensimmäinen sisäinen työkalu, jonka rakensimme kaikkiin yrityksen julkisiin tuotteisiin. Ennen verkkokaavion luomista analysoimme monia vastaavia markkinoiden kehityssuuntia, emmekä löytäneet yhtään tuotetta, joka vastaisi omia tarpeitamme. Tässä artikkelissa puhumme siitä, kuinka loimme verkkokaavion, kuinka käytämme sitä ja mitä vaikeuksia kohtasimme.

Dmitri Volkov, CTO Group-IB ja kybertiedustelun johtaja

Mitä Group-IB-verkkokaavio voi tehdä?

Tutkimukset

Group-IB:n perustamisesta vuonna 2003 tähän päivään asti kyberrikollisten tunnistaminen, selvittäminen ja saattaminen oikeuden eteen on ollut työmme etusijalla. Yksikään kyberhyökkäystutkimus ei ollut valmis ilman hyökkääjien verkkoinfrastruktuurin analysointia. Matkamme alussa oli melko vaivalloista ”manuaalista työtä” etsiä suhteita, jotka voisivat auttaa rikollisten tunnistamisessa: tietoa verkkotunnuksista, IP-osoitteista, palvelimien digitaalisista sormenjäljeistä jne.

Useimmat hyökkääjät yrittävät toimia verkossa mahdollisimman anonyymisti. Kuitenkin, kuten kaikki ihmiset, he tekevät virheitä. Tällaisen analyysin päätavoite on löytää "valkoisia" tai "harmaita" historiallisia hyökkääjien projekteja, jotka ovat risteyksessä nykyisessä tutkimassamme tapahtumassa käytetyn haitallisen infrastruktuurin kanssa. Jos on mahdollista havaita "valkoiset projektit", hyökkääjän löytämisestä tulee yleensä triviaali tehtävä. "Harmaan" tapauksessa haku vie enemmän aikaa ja vaivaa, koska niiden omistajat yrittävät anonymisoida tai piilottaa rekisteröintitiedot, mutta mahdollisuudet ovat edelleen melko korkeat. Pääsääntöisesti hyökkääjät kiinnittävät rikollisen toimintansa alussa vähemmän huomiota omaan turvallisuuteensa ja tekevät enemmän virheitä, joten mitä syvemmälle voimme sukeltaa tarinaan, sitä suuremmat ovat onnistuneen tutkinnan mahdollisuudet. Siksi verkkokaavio, jolla on hyvä historia, on erittäin tärkeä osa tällaista tutkimusta. Yksinkertaisesti sanottuna, mitä syvempiä historiallisia tietoja yrityksellä on, sitä parempi on sen kaavio. Oletetaan, että 5 vuoden historia voi auttaa ratkaisemaan ehdollisesti 1-2 rikosta 10:stä ja 15 vuoden historia antaa mahdollisuuden ratkaista kaikki kymmenen.

Tietojenkalastelun ja petosten havaitseminen

Joka kerta kun saamme epäilyttävän linkin tietojenkalastelu-, vilpilliseen tai laittomaan resurssiin, luomme automaattisesti kaavion asiaan liittyvistä verkkoresursseista ja tarkistamme kaikki löydetyt isännät samanlaisen sisällön varalta. Tämän avulla voit löytää sekä vanhoja tietokalastelusivustoja, jotka olivat aktiivisia mutta tuntemattomia, että täysin uusia, jotka ovat valmiita tulevia hyökkäyksiä varten, mutta joita ei vielä käytetä. Perusesimerkki, joka esiintyy melko usein: löysimme phishing-sivuston palvelimelta, jossa on vain 5 sivustoa. Tarkistamalla jokainen niistä löydämme tietojenkalastelusisällön muilta sivustoilta, mikä tarkoittaa, että voimme estää 5:n yhden sijasta.

Etsi taustaohjelmia

Tämä prosessi on tarpeen haitallisen palvelimen todellisen sijainnin määrittämiseksi.
99 % korttikaupoista, hakkerifoorumeista, monista tietojenkalasteluresursseista ja muista haitallisista palvelimista on piilotettu sekä omien välityspalvelinten että laillisten palveluiden, esimerkiksi Cloudflaren, välityspalvelinten takana. Tieto todellisesta taustajärjestelmästä on erittäin tärkeää tutkimuksissa: isännöintipalveluntarjoaja, jolta palvelin voidaan takavarikoida, tulee tiedoksi ja on mahdollista rakentaa yhteyksiä muihin haitallisiin projekteihin.

Sinulla on esimerkiksi phishing-sivusto pankkikorttitietojen keräämiseen, joka ratkaisee IP-osoitteen 11.11.11.11, ja cardshop-osoite, joka ratkaisee IP-osoitteen 22.22.22.22. Analyysin aikana voi käydä ilmi, että sekä phishing-sivustolla että korttikaupalla on yhteinen tausta-IP-osoite, esimerkiksi 33.33.33.33. Tämän tiedon avulla voimme rakentaa yhteyden phishing-hyökkäysten ja korttikaupan välille, jossa pankkikorttitietoja voidaan myydä.

Tapahtuman korrelaatio

Kun sinulla on kaksi erilaista triggeriä (sanotaan IDS:ssä) eri haittaohjelmilla ja eri palvelimilla hyökkäyksen hallitsemiseksi, käsittelet niitä kahtena itsenäisenä tapahtumana. Mutta jos haitallisten infrastruktuurien välillä on hyvä yhteys, käy ilmi, että kyseessä ei ole eri hyökkäyksiä, vaan yhden, monimutkaisemman monivaiheisen hyökkäyksen vaiheita. Ja jos yksi tapahtumista on jo liitetty johonkin hyökkääjäryhmään, niin toinen voidaan myös liittää samaan ryhmään. Attribuutioprosessi on tietysti paljon monimutkaisempi, joten pidä tätä yksinkertaisena esimerkkinä.

Indikaattorin rikastus

Emme kiinnitä tähän paljon huomiota, koska tämä on yleisin skenaario kaavioiden käyttämiselle kyberturvallisuudessa: annat yhden indikaattorin syötteeksi ja tulosteena saat joukon siihen liittyviä indikaattoreita.

Kuvioiden tunnistaminen

Kuvioiden tunnistaminen on välttämätöntä tehokkaan metsästyksen kannalta. Kaavioiden avulla voit paitsi löytää toisiinsa liittyviä elementtejä, myös tunnistaa yhteisiä ominaisuuksia, jotka ovat ominaisia ​​tietylle hakkeriryhmälle. Tällaisten ainutlaatuisten ominaisuuksien tunteminen mahdollistaa hyökkääjän infrastruktuurin tunnistamisen jo valmisteluvaiheessa ilman todisteita, jotka vahvistavat hyökkäyksen, kuten tietojenkalasteluviestit tai haittaohjelmat.

Miksi loimme oman verkkokaavion?

Tarkastelimme jälleen eri valmistajien ratkaisuja ennen kuin tulimme siihen tulokseen, että meidän on kehitettävä oma työkalumme, joka voisi tehdä jotain, mitä mikään olemassa oleva tuote ei pystyisi tekemään. Sen luominen kesti useita vuosia, jonka aikana muutimme sen kokonaan useita kertoja. Mutta pitkästä kehitysjaksosta huolimatta emme ole vielä löytäneet yhtään analogia, joka täyttäisi vaatimuksiamme. Oman tuotteemme avulla pystyimme lopulta ratkaisemaan lähes kaikki olemassa olevista verkkokaavioista löytämämme ongelmat. Alla tarkastelemme näitä ongelmia yksityiskohtaisesti:

ongelma
päätös

Palveluntarjoajan puute, jolla on erilaisia ​​tietokokoelmia: verkkotunnukset, passiivinen DNS, passiivinen SSL, DNS-tietueet, avoimet portit, palveluiden suorittaminen porteissa, tiedostot, jotka ovat vuorovaikutuksessa verkkotunnusten ja IP-osoitteiden kanssa. Selitys. Yleensä palveluntarjoajat tarjoavat erityyppisiä tietoja, ja saadaksesi täydellisen kuvan sinun on ostettava tilauksia kaikilta. Kaikkea tietoa ei kuitenkaan aina ole mahdollista saada: jotkin passiiviset SSL-palveluntarjoajat tarjoavat tietoja vain luotettujen CA:iden myöntämistä varmenteista, ja niiden kattavuus itse allekirjoitettujen sertifikaattien osalta on erittäin heikko. Toiset toimittavat tietoja myös itse allekirjoitetuilla varmenteilla, mutta keräävät ne vain tavallisista porteista.
Keräsimme kaikki yllä olevat kokoelmat itse. Esimerkiksi SSL-varmenteiden tiedon keräämiseksi kirjoitimme oman palvelumme, joka kerää niitä sekä luotetuilta CA:ilta että skannaamalla koko IPv4-tilan. Sertifikaatit kerättiin IP-osoitteen lisäksi kaikilta tietokantamme verkkotunnuksilta ja aliverkkotunnuksilta: jos sinulla on verkkotunnus example.com ja sen aliverkkotunnus www.example.com ja ne kaikki ratkaisevat IP 1.1.1.1:n. Kun yrität hankkia SSL-varmenteen IP:n, toimialueen ja sen aliverkkotunnuksen portista 443, voit saada kolme erilaista tulosta. Tietojen keräämiseksi avoimista porteista ja käynnissä olevista palveluista jouduimme luomaan oman hajautetun skannausjärjestelmän, koska muiden palveluiden skannauspalvelinten IP-osoitteet olivat usein "mustilla listoilla". Myös skannauspalvelimemme päätyvät mustille listoille, mutta tarvitsemiemme palveluiden havaitsemisen tulos on suurempi kuin niillä, jotka vain skannaavat mahdollisimman monta porttia ja myyvät pääsyn näihin tietoihin.

Pääsyn puute koko historiallisten tietueiden tietokantaan. Selitys. Jokaisella normaalilla toimittajalla on hyvä kertynyt historia, mutta luonnollisista syistä emme asiakkaana päässeet käsiksi kaikkiin historiatietoihin. Nuo. Voit saada yhden tietueen koko historian esimerkiksi verkkotunnuksen tai IP-osoitteen mukaan, mutta et voi nähdä kaiken historiaa - ja ilman tätä et näe koko kuvaa.
Kerääksemme mahdollisimman monia historiallisia tietueita verkkotunnuksista ostimme erilaisia ​​tietokantoja, jäsensimme monia avoimia resursseja, joilla oli tämä historia (on hyvä, että niitä oli monia) ja neuvottelimme verkkotunnusten rekisteröijien kanssa. Kaikki omien kokoelmiemme päivitykset säilytetään luonnollisesti täyden versiohistorian kera.

Kaikki olemassa olevat ratkaisut mahdollistavat kaavion luomisen manuaalisesti. Selitys. Oletetaan, että ostit paljon tilauksia kaikilta mahdollisilta tiedontarjoajilta (jota kutsutaan yleensä "rikastajiksi"). Kun sinun on rakennettava graafi, annat "kädet" komennon rakentaa halutusta yhteyselementistä, sitten valitset esiin tulevista elementeistä tarvittavat ja annat komennon suorittaa yhteydet niistä ja niin edelleen. Tässä tapauksessa vastuu siitä, kuinka hyvin kaavio rakennetaan, on täysin henkilöllä.
Teimme kaavioiden automaattisen rakentamisen. Nuo. jos sinun on rakennettava kaavio, yhteydet muodostetaan automaattisesti ensimmäisestä elementistä ja sitten myös kaikista myöhemmistä. Asiantuntija ilmoittaa vain syvyyden, johon kuvaaja on rakennettava. Kaavioiden automaattinen täydennysprosessi on yksinkertainen, mutta muut toimittajat eivät ota sitä käyttöön, koska se tuottaa valtavan määrän epäolennaisia ​​tuloksia, ja meidän oli myös otettava tämä epäkohta huomioon (katso alla).

Monet epäolennaiset tulokset ovat ongelma kaikissa verkkoelementtikaavioissa. Selitys. Esimerkiksi "huono verkkotunnus" (osallistui hyökkäykseen) liitetään palvelimeen, johon on liitetty 10 muuta verkkotunnusta viimeisen 500 vuoden aikana. Kun kaavio lisätään manuaalisesti tai muodostetaan automaattisesti, kaikkien näiden 500 verkkotunnuksen pitäisi myös näkyä kaaviossa, vaikka ne eivät liity hyökkäykseen. Tai esimerkiksi tarkistat IP-osoittimen toimittajan tietoturvaraportista. Tyypillisesti tällaiset raportit julkaistaan ​​huomattavalla viiveellä ja kattavat usein vuoden tai kauemmin. Todennäköisimmin raporttia lukiessasi tällä IP-osoitteella varustettu palvelin on jo vuokrattu muille ihmisille, joilla on muita yhteyksiä, ja kaavion rakentaminen johtaa jälleen siihen, että saat merkityksettömiä tuloksia.
Koulutimme järjestelmän tunnistamaan epäolennaiset elementit samalla logiikalla kuin asiantuntijamme tekivät manuaalisesti. Tarkistat esimerkiksi virheellisen verkkotunnuksen example.com, jonka IP-osoite on nyt 11.11.11.11 ja kuukausi sitten IP 22.22.22.22. Verkkotunnuksen example.com lisäksi IP 11.11.11.11 liittyy myös example.ru:iin ja IP 22.22.22.22 25 11.11.11.11 muuhun verkkotunnukseen. Järjestelmä ymmärtää ihmisen tavoin, että 22.22.22.22 on todennäköisimmin oma palvelin, ja koska example.ru-verkkotunnus on oikeinkirjoituksen suhteen samanlainen kuin example.com, ne ovat suurella todennäköisyydellä yhteydessä ja niiden pitäisi olla kaavio; mutta IP 25 kuuluu jaettuun isännöintiin, joten kaikkia sen verkkotunnuksia ei tarvitse sisällyttää kaavioon, ellei ole muita yhteyksiä, jotka osoittavat, että myös yksi näistä 50 tuhannesta verkkotunnuksesta on sisällytettävä (esimerkiksi esimerkki.net) . Ennen kuin järjestelmä ymmärtää, että yhteydet täytyy katkaista ja joitain elementtejä ei siirretä kuvaajaan, se ottaa huomioon monet elementtien ja klustereiden ominaisuudet, joihin nämä elementit yhdistetään, sekä nykyisten yhteyksien vahvuuden. Esimerkiksi, jos meillä on kaaviossa pieni klusteri (5 elementtiä), joka sisältää huonon verkkotunnuksen, ja toinen suuri klusteri (XNUMX tuhatta elementtiä) ja molemmat klusterit on yhdistetty yhteydellä (linjalla), jolla on erittäin pieni vahvuus (paino), , silloin tällainen yhteys katkeaa ja suuren klusterin elementit poistetaan. Mutta jos pienten ja suurten klustereiden välillä on monia yhteyksiä ja niiden vahvuus kasvaa vähitellen, niin yhteys ei tällöin katkea ja tarvittavat elementit molemmista klustereista jäävät kaavioon.

Palvelimen ja verkkotunnuksen omistajuusväliä ei oteta huomioon. Selitys. "Huonot verkkotunnukset" vanhenevat ennemmin tai myöhemmin ja ne ostetaan uudelleen haitallisiin tai laillisiin tarkoituksiin. Jopa luodinkestäviä hosting-palvelimia vuokrataan eri hakkereille, joten on tärkeää tietää ja ottaa huomioon aikaväli, jolloin tietty verkkotunnus/palvelin oli yhden omistajan hallinnassa. Usein kohtaamme tilanteen, jossa palvelinta, jonka IP-osoite on 11.11.11.11, käytetään nyt pankkibotin C&C:nä, ja 2 kuukautta sitten sitä ohjasi Ransomware. Jos rakennamme yhteyden ottamatta huomioon omistajuusvälejä, näyttää siltä, ​​että pankkibotnetin ja kiristysohjelman omistajien välillä on yhteys, vaikka todellisuudessa sellaista ei ole. Meidän työssämme tällainen virhe on kriittinen.
Opetimme järjestelmän määrittämään omistusvälit. Verkkotunnuksilla tämä on suhteellisen yksinkertaista, koska whois sisältää usein rekisteröinnin alkamis- ja päättymispäivät ja kun whois-muutoshistoria on täydellinen, välit on helppo määrittää. Kun verkkotunnuksen rekisteröinti ei ole vanhentunut, mutta sen hallinta on siirretty muille omistajille, sitä voidaan myös seurata. SSL-varmenteilla ei ole tällaista ongelmaa, koska ne myönnetään kerran eikä niitä uusita tai siirretä. Mutta itse allekirjoitettujen varmenteiden kanssa et voi luottaa varmenteen voimassaoloajassa määritettyihin päivämääriin, koska voit luoda SSL-varmenteen tänään ja määrittää varmenteen alkamispäivämäärän vuodesta 2010 alkaen. Vaikeinta on määrittää palvelimien omistusvälit, koska vain hosting-palveluntarjoajilla on päivämäärät ja vuokra-ajat. Palvelimen omistusajan määrittämiseen aloimme käyttää porttien skannauksen tuloksia ja sormenjälkien luomista porteissa käynnissä olevista palveluista. Näiden tietojen avulla voimme sanoa melko tarkasti, milloin palvelimen omistaja vaihtui.

Vähän yhteyksiä. Selitys. Nykyään ei ole edes ongelma saada ilmainen lista verkkotunnuksista, joiden whois sisältää tietyn sähköpostiosoitteen, tai selvittää kaikki verkkotunnukset, jotka on liitetty tiettyyn IP-osoitteeseen. Mutta kun kyse on hakkereista, jotka tekevät parhaansa ollakseen vaikeasti jäljitettävissä, tarvitsemme lisätemppuja löytääksemme uusia kiinteistöjä ja luodaksemme uusia yhteyksiä.
Vietimme paljon aikaa tutkiessamme, kuinka voisimme poimia tietoja, joita ei ollut saatavilla tavanomaisella tavalla. Emme voi kuvata tässä, miten se toimii ilmeisistä syistä, mutta tietyissä olosuhteissa hakkerit tekevät verkkotunnuksia rekisteröidessään tai palvelimia vuokraaessaan ja perustaessaan virheitä, joiden avulla he voivat löytää sähköpostiosoitteita, hakkereiden aliaksia ja taustaosoitteita. Mitä enemmän yhteyksiä purat, sitä tarkempia kuvaajia voit rakentaa.

Kuinka kaaviomme toimii

Aloita verkkokaavion käyttäminen syöttämällä hakupalkkiin verkkotunnus, IP-osoite, sähköposti tai SSL-varmenteen sormenjälki. On kolme ehtoa, joita analyytikko voi hallita: aika, askelsyvyys ja tyhjennys.

aika

Aika – päivämäärä tai aikaväli, jolloin etsittyä elementtiä käytettiin haitallisiin tarkoituksiin. Jos et määritä tätä parametria, järjestelmä itse määrittää tämän resurssin viimeisen omistajuusvälin. Esimerkiksi 11. heinäkuuta Eset julkaisi raportti siitä, kuinka Buhtrap käyttää 0-päivän hyväksikäyttöä kybervakoilussa. Raportin lopussa on 6 indikaattoria. Yksi niistä, Secure-telemetry[.]net, rekisteröitiin uudelleen 16. heinäkuuta. Siksi, jos rakennat kaavion heinäkuun 16. päivän jälkeen, saat merkityksettömiä tuloksia. Mutta jos ilmoitat, että tätä verkkotunnusta käytettiin ennen tätä päivämäärää, kaavio sisältää 126 uutta verkkotunnusta, 69 IP-osoitetta, joita ei ole lueteltu Eset-raportissa:

• ukrfreshnews[.]com
• unian-search[.]com
• vesti-world[.]info
• runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]info
• rian-ua[.]net
• jne.

Verkkoindikaattoreiden lisäksi löydämme välittömästi yhteydet haitallisiin tiedostoihin, joilla oli yhteyksiä tähän infrastruktuuriin, ja tunnisteita, jotka kertovat, että Meterpreteriä ja AZORultia käytettiin.

Hienoa on, että saat tämän tuloksen sekunnissa, eikä sinun enää tarvitse viettää päiviä tietojen analysointiin. Tietenkin tämä lähestymistapa lyhentää joskus merkittävästi tutkimuksiin kuluvaa aikaa, mikä on usein kriittistä.

Askelmäärä tai rekursion syvyys, jolla kaavio rakennetaan

Oletuksena syvyys on 3. Tämä tarkoittaa, että halutusta elementistä löydetään kaikki suoraan toisiinsa liittyvät elementit, sitten jokaisesta uudesta elementistä rakennetaan uudet yhteydet muihin elementteihin ja uusista elementeistä luodaan uusia elementtejä viimeisimmästä elementistä. askel.

Otetaan esimerkki, joka ei liity APT:hen ja 0-päivän hyväksikäyttöön. Äskettäin Habréssa kuvattiin mielenkiintoinen kryptovaluuttoihin liittyvä petostapaus. Raportissa mainitaan verkkotunnus themcx[.]co, jota huijarit käyttävät Miner Coin Exchange -sivuston isännöimiseen ja puhelinhaku[.]xyz houkutellakseen liikennettä.

Kuvauksesta käy selvästi ilmi, että järjestelmä vaatii melko laajan infrastruktuurin houkutellakseen liikennettä vilpillisiin resursseihin. Päätimme tarkastella tätä infrastruktuuria rakentamalla kaavion neljässä vaiheessa. Tulos oli kaavio, jossa oli 4 verkkotunnusta ja 230 IP-osoitetta. Seuraavaksi jaamme verkkotunnukset kahteen luokkaan: ne, jotka ovat samankaltaisia ​​kuin kryptovaluuttojen kanssa työskentelyyn tarkoitettuja palveluita, ja ne, jotka on tarkoitettu ohjaamaan liikennettä puhelinvahvistuspalvelujen kautta:

Liittyy kryptovaluuttaan
Liittyy puhelimen leimauspalveluihin

kolikonhoitaja[.]cc
soittajan tietue[.]sivusto.

mcxwallet[.]co
puhelintietue[.]tila

btcnoise[.]com
fone-uncover[.]xyz

cryptominer[.]kello
numero-uncover[.]info

puhdistus

Oletuksena Graph Cleanup -vaihtoehto on käytössä ja kaikki asiaankuulumattomat elementit poistetaan kaaviosta. Sitä muuten käytettiin kaikissa aiemmissa esimerkeissä. Ennustan luonnollisen kysymyksen: kuinka voimme varmistaa, että jotain tärkeää ei poisteta? Vastaan: analyytikoille, jotka haluavat rakentaa kaavioita käsin, automaattinen puhdistus voidaan poistaa käytöstä ja vaiheiden lukumäärä voidaan valita = 1. Seuraavaksi analyytikko voi täydentää kaavion tarvitsemistaan ​​elementeistä ja poistaa elementtejä kaaviot, jotka eivät ole oleellisia tehtävän kannalta.

Jo kaaviossa analyytikon saataville tulee Whois:n, DNS:n sekä avoimien porttien ja niissä käynnissä olevien palveluiden muutoshistoria.

Taloudellinen tietojenkalastelu

Tutkimme yhden APT-ryhmän toimintaa, joka useiden vuosien ajan suoritti tietojenkalasteluhyökkäyksiä eri pankkien asiakkaita vastaan ​​eri alueilla. Tälle ryhmälle oli tyypillistä oikeiden pankkien nimiä hyvin samankaltaisten verkkotunnusten rekisteröinti, ja useimmat phishing-sivustot olivat ulkoasultaan samanlaisia, erot olivat vain pankkien nimissä ja niiden logoissa.

Tässä tapauksessa automaattinen kaavioanalyysi auttoi meitä paljon. Ottamalla yhden heidän verkkotunnuksistaan ​​- lloydsbnk-uk[.]com, rakensimme muutamassa sekunnissa 3-vaiheisen kaavion, joka tunnisti yli 250 haitallista verkkotunnusta, joita tämä ryhmä on käyttänyt vuodesta 2015 lähtien ja joita käytetään edelleen. . Pankit ovat jo ostaneet osan näistä verkkotunnuksista, mutta historialliset tiedot osoittavat, että ne oli aiemmin rekisteröity hyökkääjille.

Selvyyden vuoksi kuvassa on kaavio, jonka syvyys on 2 askelta.

On huomionarvoista, että jo vuonna 2019 hyökkääjät muuttivat hieman taktiikkaansa ja alkoivat rekisteröidä paitsi pankkien verkkotunnuksia web-phishingin isännöintiin, myös eri konsulttiyritysten verkkotunnuksia tietojenkalasteluviestien lähettämiseen. Esimerkiksi verkkotunnukset swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.

Koboltti jengi

Joulukuussa 2018 pankkeihin kohdistettuihin hyökkäyksiin erikoistunut hakkeriryhmä Cobalt lähetti postituskampanjan Kazakstanin keskuspankin puolesta.

Kirjeissä oli linkkejä osoitteeseen hXXps://nationalbank.bz/Doc/Prikaz.doc. Ladattu asiakirja sisälsi makron, joka käynnisti Powershellin, joka yritti ladata ja suorittaa tiedoston osoitteesta hXXp://wateroilclub.com/file/dwm.exe kohteessa %Temp%einmrmdmy.exe. Tiedosto %Temp%einmrmdmy.exe eli dwm.exe on CobInt-vaiheohjelma, joka on määritetty olemaan vuorovaikutuksessa palvelimen hXXp://admvmsopp.com/rilruietguadvtoefmuy kanssa.

Kuvittele, ettet voi vastaanottaa näitä tietojenkalasteluviestejä ja suorittaa haitallisten tiedostojen täydellistä analyysiä. Haitallisen verkkotunnuksen nationalbank[.]bz kaavio näyttää välittömästi yhteydet muihin haitallisiin verkkotunnuksiin, liittää sen ryhmään ja näyttää, mitä tiedostoja hyökkäyksessä käytettiin.

Otetaan tästä kaaviosta IP-osoite 46.173.219[.]152 ja rakennetaan siitä kaavio yhdellä kertaa ja sammutetaan puhdistus. Siihen liittyy 40 verkkotunnusta, esimerkiksi bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

Verkkotunnuksista päätellen näyttää siltä, ​​​​että niitä käytetään petollisissa järjestelmissä, mutta puhdistusalgoritmi tajusi, että ne eivät liittyneet tähän hyökkäykseen, eikä laittanut niitä kaavioon, mikä yksinkertaistaa huomattavasti analyysi- ja attribuutioprosessia.

Jos rakennat graafin uudelleen käyttämällä nationalbank[.]bz:tä, mutta poistat graafin puhdistusalgoritmin käytöstä, se sisältää yli 500 elementtiä, joista suurimmalla osalla ei ole mitään tekemistä Cobalt-ryhmän tai sen hyökkäysten kanssa. Alla on esimerkki siitä, miltä tällainen kaavio näyttää:

Johtopäätös

Useiden vuosien hienosäädön, todellisissa tutkimuksissa testaamisen, uhkatutkimuksen ja hyökkääjien metsästyksen jälkeen onnistuimme paitsi luomaan ainutlaatuisen työkalun myös muuttamaan yrityksen asiantuntijoiden suhtautumista siihen. Aluksi tekniset asiantuntijat haluavat täydellisen hallinnan kaavion rakentamisprosessiin. Oli äärimmäisen vaikeaa saada heidät vakuuttuneiksi siitä, että automaattinen kaavion rakentaminen onnistuisi paremmin kuin monien vuosien kokemus. Kaiken päätti aika ja useat "manuaaliset" tarkastukset kaavion tuottamien tulosten tuloksista. Nyt asiantuntijamme eivät vain luota järjestelmään, vaan myös käyttävät sen saamia tuloksia päivittäisessä työssään. Tämä tekniikka toimii kaikissa järjestelmissämme ja antaa meille mahdollisuuden tunnistaa paremmin kaiken tyyppiset uhat. Manuaalisen graafisen analyysin käyttöliittymä on sisäänrakennettu kaikkiin Group-IB-tuotteisiin ja laajentaa merkittävästi kyberrikosten metsästyksen mahdollisuuksia. Asiakkaidemme analyytikkoarviot vahvistavat tämän. Ja me puolestaan ​​jatkamme kaavion rikastamista tiedoilla ja työskentelemme uusien algoritmien parissa käyttämällä tekoälyä tarkimman verkkokaavion luomiseksi.

Lähde: will.com