En enquêtant sur des cas liés au phishing, aux botnets, aux transactions frauduleuses et aux groupes de pirates informatiques criminels, les experts du Group-IB utilisent l'analyse graphique depuis de nombreuses années pour identifier différents types de connexions. Différents cas ont leurs propres ensembles de données, leurs propres algorithmes d'identification des connexions et des interfaces adaptées à des tâches spécifiques. Tous ces outils ont été développés en interne par Group-IB et étaient disponibles uniquement pour nos collaborateurs.
Analyse graphique de l'infrastructure réseau (graphique de réseau) est devenu le premier outil interne que nous avons intégré à tous les produits publics de l'entreprise. Avant de créer notre graphique de réseau, nous avons analysé de nombreux développements similaires sur le marché et n'avons trouvé aucun produit répondant à nos propres besoins. Dans cet article, nous parlerons de la façon dont nous avons créé le graphe de réseau, de la manière dont nous l'utilisons et des difficultés que nous avons rencontrées.
Dmitri Volkov, CTO Group-IB et responsable de la cyberintelligence
Que peut faire le graphe de réseau Groupe-IB ?
Enquêtes
Depuis la création de Group-IB en 2003 jusqu'à aujourd'hui, l'identification, la dénonciation et la traduction en justice des cybercriminels ont été une priorité absolue dans notre travail. Aucune enquête sur une cyberattaque n’a été complète sans analyser l’infrastructure réseau des attaquants. Au tout début de notre parcours, la recherche de relations susceptibles d'aider à identifier les criminels était un « travail manuel » assez minutieux : informations sur les noms de domaine, les adresses IP, les empreintes numériques des serveurs, etc.
La plupart des attaquants tentent d'agir de la manière la plus anonyme possible sur le réseau. Cependant, comme tout le monde, ils font des erreurs. L'objectif principal d'une telle analyse est de trouver des projets historiques « blancs » ou « gris » d'attaquants qui ont des intersections avec l'infrastructure malveillante utilisée dans l'incident actuel sur lequel nous enquêtons. S'il est possible de détecter des « projets blancs », alors trouver l'attaquant devient généralement une tâche triviale. Dans le cas des « gris », la recherche prend plus de temps et d'efforts, puisque leurs propriétaires tentent d'anonymiser ou de masquer les données d'enregistrement, mais les chances restent assez élevées. En règle générale, au début de leurs activités criminelles, les attaquants accordent moins d'attention à leur propre sécurité et commettent plus d'erreurs. Ainsi, plus nous approfondissons l'histoire, plus les chances de succès de l'enquête sont élevées. C'est pourquoi un graphique de réseau avec un bon historique est un élément extrêmement important d'une telle enquête. En termes simples, plus une entreprise dispose de données historiques approfondies, meilleur est son graphique. Disons qu’une histoire de 5 ans peut aider à résoudre, sous certaines conditions, 1 à 2 crimes sur 10, et qu’une histoire de 15 ans donne une chance de résoudre les dix.
Phishing et détection de fraude
Chaque fois que nous recevons un lien suspect vers une ressource de phishing, frauduleuse ou piratée, nous construisons automatiquement un graphique des ressources réseau associées et vérifions tous les hôtes trouvés pour un contenu similaire. Cela vous permet de trouver à la fois d'anciens sites de phishing actifs mais inconnus, ainsi que des sites complètement nouveaux préparés pour de futures attaques, mais qui ne sont pas encore utilisés. Un exemple élémentaire qui revient assez souvent : nous avons trouvé un site de phishing sur un serveur ne comportant que 5 sites. En vérifiant chacun d’eux, nous trouvons du contenu de phishing sur d’autres sites, ce qui nous permet d’en bloquer 5 au lieu de 1.
Rechercher des back-ends
Ce processus est nécessaire pour déterminer où réside réellement le serveur malveillant.
99 % des magasins de cartes, des forums de hackers, de nombreuses ressources de phishing et autres serveurs malveillants sont cachés derrière leurs propres serveurs proxy et derrière des proxys de services légitimes, par exemple Cloudflare. La connaissance du véritable backend est très importante pour les enquêtes : le fournisseur d'hébergement auprès duquel le serveur peut être saisi est connu et il devient possible d'établir des connexions avec d'autres projets malveillants.
Par exemple, vous disposez d'un site de phishing permettant de collecter des données de carte bancaire qui correspond à l'adresse IP 11.11.11.11 et d'une adresse de magasin de cartes qui correspond à l'adresse IP 22.22.22.22. Au cours de l'analyse, il peut s'avérer que le site de phishing et le magasin de cartes ont une adresse IP principale commune, par exemple 33.33.33.33. Cette connaissance nous permet d'établir un lien entre les attaques de phishing et un magasin de cartes où les données des cartes bancaires peuvent être vendues.
Corrélation d'événements
Lorsque vous disposez de deux déclencheurs différents (disons sur un IDS) avec des logiciels malveillants différents et des serveurs différents pour contrôler l'attaque, vous les traiterez comme deux événements indépendants. Mais s'il existe une bonne connexion entre les infrastructures malveillantes, il devient alors évident qu'il ne s'agit pas d'attaques différentes, mais des étapes d'une attaque multi-étapes plus complexe. Et si l’un des événements est déjà attribué à un groupe d’attaquants, le second peut également être attribué au même groupe. Bien entendu, le processus d’attribution est beaucoup plus complexe, alors considérez ceci comme un exemple simple.
Enrichissement des indicateurs
Nous n'y prêterons pas beaucoup d'attention, car il s'agit du scénario le plus courant d'utilisation de graphiques en cybersécurité : vous donnez un indicateur en entrée et en sortie, vous obtenez un ensemble d'indicateurs associés.
Identifier les modèles
L'identification des modèles est essentielle pour une chasse efficace. Les graphiques vous permettent non seulement de trouver des éléments associés, mais également d'identifier des propriétés communes caractéristiques d'un groupe particulier de pirates. La connaissance de ces caractéristiques uniques vous permet de reconnaître l’infrastructure de l’attaquant dès la phase de préparation et sans preuves confirmant l’attaque, comme des e-mails de phishing ou des logiciels malveillants.
Pourquoi avons-nous créé notre propre graphique de réseau ?
Encore une fois, nous avons examiné les solutions de différents fournisseurs avant de parvenir à la conclusion que nous devions développer notre propre outil capable de faire quelque chose qu'aucun produit existant ne pouvait faire. Il a fallu plusieurs années pour le créer, au cours desquelles nous l'avons complètement modifié à plusieurs reprises. Mais malgré la longue période de développement, nous n’avons pas encore trouvé un seul analogue qui satisferait nos exigences. En utilisant notre propre produit, nous avons finalement pu résoudre presque tous les problèmes découverts dans les graphes de réseau existants. Ci-dessous, nous examinerons ces problèmes en détail :
problème
décision
Absence de fournisseur avec différentes collections de données : domaines, DNS passif, SSL passif, enregistrements DNS, ports ouverts, services en cours d'exécution sur les ports, fichiers interagissant avec les noms de domaine et les adresses IP. Explication. En règle générale, les fournisseurs fournissent des types de données distincts et pour obtenir une image complète, vous devez acheter des abonnements auprès de tout le monde. Néanmoins, il n'est pas toujours possible d'obtenir toutes les données : certains fournisseurs SSL passifs fournissent des données uniquement sur les certificats émis par des autorités de certification de confiance, et leur couverture des certificats auto-signés est extrêmement faible. D'autres fournissent également des données à l'aide de certificats auto-signés, mais les collectent uniquement à partir de ports standard.
Nous avons collecté nous-mêmes toutes les collections ci-dessus. Par exemple, pour collecter des données sur les certificats SSL, nous avons écrit notre propre service qui les collecte à la fois auprès d'autorités de certification de confiance et en analysant l'intégralité de l'espace IPv4. Les certificats ont été collectés non seulement à partir de l'IP, mais également de tous les domaines et sous-domaines de notre base de données : si vous avez le domaine example.com et son sous-domaine et ils sont tous résolus en IP 1.1.1.1, puis lorsque vous essayez d'obtenir un certificat SSL à partir du port 443 sur une IP, un domaine et son sous-domaine, vous pouvez obtenir trois résultats différents. Pour collecter des données sur les ports ouverts et les services en cours d'exécution, nous avons dû créer notre propre système d'analyse distribué, car d'autres services avaient souvent les adresses IP de leurs serveurs d'analyse sur des « listes noires ». Nos serveurs d'analyse se retrouvent également sur des listes noires, mais le résultat de la détection des services dont nous avons besoin est supérieur à celui de ceux qui analysent simplement autant de ports que possible et vendent l'accès à ces données.
Manque d'accès à l'intégralité de la base de données des documents historiques. Explication. Chaque fournisseur normal a un bon historique accumulé, mais pour des raisons naturelles, en tant que client, nous ne pouvons pas accéder à toutes les données historiques. Ceux. Vous pouvez obtenir l'historique complet d'un seul enregistrement, par exemple par domaine ou par adresse IP, mais vous ne pouvez pas voir l'historique de tout - et sans cela, vous ne pouvez pas voir l'image complète.
Pour collecter autant d'enregistrements historiques sur les domaines que possible, nous avons acheté diverses bases de données, analysé de nombreuses ressources ouvertes qui avaient cet historique (c'est bien qu'il y en ait beaucoup) et négocié avec les bureaux d'enregistrement de noms de domaine. Toutes les mises à jour de nos propres collections sont bien entendu conservées avec un historique complet des révisions.
Toutes les solutions existantes permettent de construire un graphique manuellement. Explication. Disons que vous avez acheté de nombreux abonnements auprès de tous les fournisseurs de données possibles (généralement appelés « enrichisseurs »). Lorsque vous avez besoin de créer un graphique, vos « mains » donnent l'ordre de construire à partir de l'élément de connexion souhaité, puis sélectionnez ceux nécessaires parmi les éléments qui apparaissent et donnez l'ordre de terminer les connexions à partir d'eux, et ainsi de suite. Dans ce cas, la responsabilité de la qualité de la construction du graphique incombe entièrement à la personne.
Nous avons réalisé une construction automatique de graphiques. Ceux. si vous devez créer un graphique, les connexions du premier élément sont créées automatiquement, puis également de tous les éléments suivants. Le spécialiste indique uniquement la profondeur à laquelle le graphique doit être construit. Le processus de remplissage automatique des graphiques est simple, mais d'autres fournisseurs ne l'implémentent pas car il produit un grand nombre de résultats non pertinents, et nous avons également dû prendre en compte cet inconvénient (voir ci-dessous).
De nombreux résultats non pertinents posent problème avec tous les graphiques d’éléments de réseau. Explication. Par exemple, un « mauvais domaine » (participé à une attaque) est associé à un serveur auquel 10 autres domaines lui ont été associés au cours des 500 dernières années. Lors de l’ajout manuel ou de la construction automatique d’un graphique, tous ces 500 domaines devraient également apparaître sur le graphique, bien qu’ils ne soient pas liés à l’attaque. Ou, par exemple, vous vérifiez l'indicateur IP dans le rapport de sécurité du fournisseur. En règle générale, ces rapports sont publiés avec un retard important et s'étendent souvent sur un an ou plus. Très probablement, au moment où vous lisez le rapport, le serveur avec cette adresse IP est déjà loué à d'autres personnes avec d'autres connexions, et la construction d'un graphique vous permettra à nouveau d'obtenir des résultats non pertinents.
Nous avons entraîné le système à identifier les éléments non pertinents en utilisant la même logique que celle utilisée manuellement par nos experts. Par exemple, vous vérifiez un mauvais domaine example.com, qui est désormais résolu en IP 11.11.11.11, et il y a un mois - en IP 22.22.22.22. En plus du domaine example.com, l'IP 11.11.11.11 est également associé à example.ru et l'IP 22.22.22.22 est associé à 25 11.11.11.11 autres domaines. Le système, comme une personne, comprend que 22.22.22.22 est très probablement un serveur dédié, et comme le domaine example.ru est similaire en orthographe à example.com, alors, avec une forte probabilité, ils sont connectés et devraient être sur le graphique; mais l'IP 25 appartient à l'hébergement partagé, donc tous ses domaines n'ont pas besoin d'être inclus dans le graphique, sauf s'il existe d'autres connexions montrant que l'un de ces 50 5 domaines doit également être inclus (par exemple, exemple.net) . Avant que le système ne comprenne que les connexions doivent être rompues et que certains éléments ne doivent pas être déplacés vers le graphique, il prend en compte de nombreuses propriétés des éléments et des clusters dans lesquels ces éléments sont combinés, ainsi que la force des connexions actuelles. Par exemple, si nous avons un petit cluster (XNUMX éléments) sur le graphique, qui comprend un mauvais domaine, et un autre grand cluster (XNUMX XNUMX éléments) et que les deux clusters sont reliés par une connexion (ligne) de très faible force (poids) , alors une telle connexion sera rompue et les éléments du grand cluster seront supprimés. Mais s'il existe de nombreuses connexions entre les petits et les grands clusters et que leur force augmente progressivement, alors dans ce cas, la connexion ne sera pas rompue et les éléments nécessaires des deux clusters resteront sur le graphique.
L'intervalle de propriété du serveur et du domaine n'est pas pris en compte. Explication. Les « mauvais domaines » expireront tôt ou tard et seront rachetés à des fins malveillantes ou légitimes. Même les serveurs d'hébergement à toute épreuve sont loués à différents pirates informatiques, il est donc essentiel de connaître et de prendre en compte l'intervalle pendant lequel un domaine/serveur particulier était sous le contrôle d'un seul propriétaire. Nous rencontrons souvent une situation où un serveur avec l'IP 11.11.11.11 est désormais utilisé comme C&C pour un robot bancaire, et il y a 2 mois, il était contrôlé par Ransomware. Si nous établissons une connexion sans tenir compte des intervalles de possession, il semblerait qu'il existe une connexion entre les propriétaires du botnet bancaire et du ransomware, alors qu'en réalité il n'y en a pas. Dans notre travail, une telle erreur est critique.
Nous avons appris au système à déterminer les intervalles de propriété. Pour les domaines, cela est relativement simple, car le whois contient souvent les dates de début et d'expiration de l'enregistrement et, lorsqu'il existe un historique complet des modifications du whois, il est facile de déterminer les intervalles. Lorsque l'enregistrement d'un domaine n'a pas expiré, mais que sa gestion a été transférée à d'autres propriétaires, il peut également être suivi. Ce problème ne se pose pas pour les certificats SSL, car ils sont émis une seule fois et ne sont ni renouvelés ni transférés. Mais avec les certificats auto-signés, vous ne pouvez pas faire confiance aux dates spécifiées dans la période de validité du certificat, car vous pouvez générer un certificat SSL aujourd'hui et spécifier la date de début du certificat à partir de 2010. Le plus difficile est de déterminer les intervalles de possession des serveurs, car seuls les hébergeurs ont des dates et des durées de location. Pour déterminer la période de propriété du serveur, nous avons commencé à utiliser les résultats de l'analyse des ports et à créer des empreintes digitales des services en cours d'exécution sur les ports. Grâce à ces informations, nous pouvons dire avec assez de précision quand le propriétaire du serveur a changé.
Peu de connexions. Explication. De nos jours, ce n'est même pas un problème d'obtenir une liste gratuite de domaines dont le whois contient une adresse e-mail spécifique, ou de connaître tous les domaines associés à une adresse IP spécifique. Mais lorsqu’il s’agit de pirates informatiques qui font de leur mieux pour être difficiles à suivre, nous avons besoin d’astuces supplémentaires pour trouver de nouvelles propriétés et établir de nouvelles connexions.
Nous avons passé beaucoup de temps à chercher comment extraire des données qui n'étaient pas disponibles de manière conventionnelle. Nous ne pouvons pas décrire ici comment cela fonctionne pour des raisons évidentes, mais dans certaines circonstances, les pirates, lors de l'enregistrement de domaines ou de la location et de la configuration de serveurs, commettent des erreurs qui leur permettent de découvrir les adresses e-mail, les alias des pirates et les adresses backend. Plus vous extrayez de connexions, plus vous pouvez créer des graphiques précis.
Comment fonctionne notre graphique
Pour commencer à utiliser le graphique de réseau, vous devez saisir le domaine, l'adresse IP, l'e-mail ou l'empreinte digitale du certificat SSL dans la barre de recherche. L'analyste peut contrôler trois conditions : la durée, la profondeur du pas et la compensation.
temps
Heure – date ou intervalle pendant lequel l'élément recherché a été utilisé à des fins malveillantes. Si vous ne précisez pas ce paramètre, le système déterminera lui-même le dernier intervalle de propriété pour cette ressource. Par exemple, le 11 juillet, Eset a publié sur la façon dont Buhtrap utilise l'exploit 0-day pour le cyberespionnage. Il y a 6 indicateurs à la fin du rapport. L'un d'eux, secure-telemetry[.]net, a été réenregistré le 16 juillet. Par conséquent, si vous créez un graphique après le 16 juillet, vous obtiendrez des résultats non pertinents. Mais si vous indiquez que ce domaine a été utilisé avant cette date, alors le graphique comprend 126 nouveaux domaines, 69 adresses IP qui ne sont pas répertoriées dans le rapport Eset :
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-monde[.]info
- runewsmeta[.]avec
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- etc
En plus des indicateurs de réseau, nous trouvons immédiatement des connexions avec des fichiers malveillants qui avaient des connexions avec cette infrastructure et des balises qui nous indiquent que Meterpreter et AZORult ont été utilisés.
Ce qui est génial, c'est que vous obtenez ce résultat en une seconde et que vous n'avez plus besoin de passer des jours à analyser les données. Bien entendu, cette approche réduit parfois considérablement le temps des enquêtes, qui sont souvent critiques.
Le nombre d'étapes ou la profondeur de récursion avec laquelle le graphique sera construit
Par défaut, la profondeur est de 3. Cela signifie que tous les éléments directement liés seront trouvés à partir de l'élément souhaité, puis de nouvelles connexions seront construites de chaque nouvel élément vers d'autres éléments, et de nouveaux éléments seront créés à partir des nouveaux éléments du dernier. étape.
Prenons un exemple non lié à APT et aux exploits 0-day. Récemment, un cas intéressant de fraude liée aux crypto-monnaies a été décrit sur Habré. Le rapport mentionne le domaine themcx[.]co, utilisé par les fraudeurs pour héberger un site Web qui prétend être un Miner Coin Exchange et une recherche par téléphone[.]xyz pour attirer du trafic.
Il ressort clairement de la description que le système nécessite une infrastructure assez importante pour attirer le trafic vers des ressources frauduleuses. Nous avons décidé d'examiner cette infrastructure en construisant un graphique en 4 étapes. Le résultat était un graphique avec 230 domaines et 39 adresses IP. Ensuite, nous divisons les domaines en 2 catégories : ceux qui sont similaires aux services permettant de travailler avec des crypto-monnaies et ceux qui sont destinés à générer du trafic via des services de vérification téléphonique :
Lié à la crypto-monnaie
Associé aux services de pointage téléphonique
monnayeur[.]cc
site d'enregistrement de l'appelant[.].
mcxwallet[.]co
enregistrements téléphoniques[.]espace
btcnoise[.]com
fone-uncover[.]xyz
cryptomineur[.]regarder
numéro-découvrir[.]info
nettoyage
Par défaut, l'option « Nettoyage du graphique » est activée et tous les éléments non pertinents seront supprimés du graphique. À propos, il a été utilisé dans tous les exemples précédents. J’entrevois une question naturelle : comment pouvons-nous nous assurer que quelque chose d’important ne soit pas supprimé ? Je répondrai : pour les analystes qui aiment construire des graphiques à la main, le nettoyage automatisé peut être désactivé et le nombre d'étapes peut être sélectionné = 1. Ensuite, l'analyste pourra compléter le graphique à partir des éléments dont il a besoin et supprimer des éléments de le graphique qui n’est pas pertinent pour la tâche.
Déjà sur le graphique, l'historique des modifications du whois, du DNS, ainsi que des ports ouverts et des services qui y sont exécutés, devient disponible pour l'analyste.
Phishing financier
Nous avons enquêté sur les activités d'un groupe APT, qui a mené pendant plusieurs années des attaques de phishing contre les clients de diverses banques dans différentes régions. Une caractéristique de ce groupe était l'enregistrement de domaines très similaires aux noms de banques réelles, et la plupart des sites de phishing avaient le même design, les seules différences résidant dans les noms des banques et leurs logos.
Dans ce cas, l’analyse automatisée des graphiques nous a beaucoup aidé. En prenant l'un de leurs domaines - lloydsbnk-uk[.]com, nous avons construit en quelques secondes un graphique d'une profondeur de 3 étapes, qui a identifié plus de 250 domaines malveillants qui ont été utilisés par ce groupe depuis 2015 et continuent de l'être. . Certains de ces domaines ont déjà été achetés par des banques, mais les archives historiques montrent qu'ils ont déjà été enregistrés auprès d'attaquants.
Pour plus de clarté, la figure montre un graphique avec une profondeur de 2 étapes.
Il convient de noter qu'en 2019 déjà, les attaquants ont quelque peu changé de tactique et ont commencé à enregistrer non seulement les domaines des banques pour l'hébergement du phishing sur le Web, mais également les domaines de diverses sociétés de conseil pour l'envoi d'e-mails de phishing. Par exemple, les domaines swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Bande de cobalt
En décembre 2018, le groupe de hackers Cobalt, spécialisé dans les attaques ciblées contre les banques, a lancé une campagne de mailing au nom de la Banque nationale du Kazakhstan.
Les lettres contenaient des liens vers hXXps://nationalbank.bz/Doc/Prikaz.doc. Le document téléchargé contenait une macro qui lançait Powershell, qui tenterait de charger et d'exécuter le fichier depuis hXXp://wateroilclub.com/file/dwm.exe dans %Temp%einmrmdmy.exe. Le fichier %Temp%einmrmdmy.exe alias dwm.exe est un stager CobInt configuré pour interagir avec le serveur hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Imaginez ne pas pouvoir recevoir ces e-mails de phishing et effectuer une analyse complète des fichiers malveillants. Le graphique du domaine malveillant nationalbank[.]bz montre immédiatement les connexions avec d'autres domaines malveillants, l'attribue à un groupe et montre quels fichiers ont été utilisés dans l'attaque.
Prenons l'adresse IP 46.173.219[.]152 de ce graphique et construisons un graphique à partir de celle-ci en un seul passage et désactivons le nettoyage. Il y a 40 domaines qui lui sont associés, par exemple bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]avec
À en juger par les noms de domaine, il semble qu'ils soient utilisés dans des stratagèmes frauduleux, mais l'algorithme de nettoyage s'est rendu compte qu'ils n'étaient pas liés à cette attaque et ne les a pas mis sur le graphique, ce qui simplifie grandement le processus d'analyse et d'attribution.
Si vous reconstruisez le graphique en utilisant nationalbank[.]bz, mais en désactivant l'algorithme de nettoyage du graphique, il contiendra alors plus de 500 éléments, dont la plupart n'ont rien à voir avec le groupe Cobalt ou ses attaques. Un exemple de ce à quoi ressemble un tel graphique est donné ci-dessous :
Conclusion
Après plusieurs années de mise au point, de tests dans des enquêtes réelles, de recherches sur les menaces et de chasse aux attaquants, nous avons réussi non seulement à créer un outil unique, mais aussi à changer l'attitude des experts au sein de l'entreprise à son égard. Au départ, les experts techniques souhaitent avoir un contrôle total sur le processus de construction des graphiques. Il était extrêmement difficile de les convaincre que la construction automatique de graphiques pouvait faire cela mieux qu’une personne possédant de nombreuses années d’expérience. Tout a été décidé par le temps et par de multiples vérifications « manuelles » des résultats de ce que produisait le graphique. Désormais, nos experts font non seulement confiance au système, mais utilisent également les résultats obtenus dans leur travail quotidien. Cette technologie fonctionne à l'intérieur de chacun de nos systèmes et nous permet de mieux identifier les menaces de tout type. L'interface d'analyse manuelle des graphiques est intégrée à tous les produits Group-IB et étend considérablement les capacités de traque de la cybercriminalité. Ceci est confirmé par les avis d’analystes de nos clients. Et nous, à notre tour, continuons à enrichir le graphique avec des données et à travailler sur de nouveaux algorithmes utilisant l'intelligence artificielle pour créer le graphique de réseau le plus précis.
Source: habr.com