A’ sgrùdadh chùisean co-cheangailte ri fiasgach, botnets, gnothaichean meallta agus buidhnean hacker eucoireach, tha eòlaichean Group-IB air a bhith a’ cleachdadh mion-sgrùdadh graf airson grunn bhliadhnaichean gus diofar sheòrsaichean de cheanglaichean a chomharrachadh. Tha na seataichean dàta aca fhèin aig diofar chùisean, na h-algorithms aca fhèin airson ceanglaichean a chomharrachadh, agus eadar-aghaidh air a dhealbhadh airson gnìomhan sònraichte. Chaidh na h-innealan sin uile a leasachadh air an taobh a-staigh le Group-IB agus cha robh iad rim faighinn ach don luchd-obrach againn.

Mion-sgrùdadh graf air bun-structar lìonra (graf lìonra) gu bhith mar a’ chiad inneal a-staigh a chuir sinn a-steach do thoraidhean poblach a’ chompanaidh gu lèir. Mus do chruthaich sinn ar graf lìonra, rinn sinn mion-sgrùdadh air mòran leasachaidhean coltach ris air a’ mhargaidh agus cha do lorg sinn aon toradh a bha a’ coinneachadh ri ar feumalachdan fhèin. San artaigil seo bruidhnidh sinn mu mar a chruthaich sinn an graf lìonra, mar a chleachdas sinn e agus dè na duilgheadasan a choinnich sinn.

Dmitry Volkov, Buidheann CTO-IB agus ceannard fiosrachadh saidhbear

Dè as urrainn do ghraf lìonra Group-IB a dhèanamh?

Sgrùdaidhean

Bho chaidh Buidheann-IB a stèidheachadh ann an 2003 chun an latha an-diugh, tha comharrachadh, deànadh agus toirt a-steach cybercriminals gu ceartas air a bhith na àrd phrìomhachas nar n-obair. Cha deach aon sgrùdadh cyberattack a chrìochnachadh gun a bhith a’ dèanamh anailis air bun-structar lìonra an luchd-ionnsaigh. Aig fìor thoiseach ar turais, b’ e “obair làimhe” caran dian a bh’ ann a bhith a’ lorg dhàimhean a dh’ fhaodadh cuideachadh le bhith ag aithneachadh eucoirich: fiosrachadh mu ainmean fearainn, seòlaidhean IP, lorgan-meòir didseatach de luchd-frithealaidh, msaa.

Bidh a’ mhòr-chuid de luchd-ionnsaigh a’ feuchainn ri bhith ag obair cho gun urra sa ghabhas air an lìonra. Ach, mar a h-uile duine, bidh iad a’ dèanamh mhearachdan. Is e prìomh amas mion-sgrùdadh mar seo pròiseactan eachdraidheil “geal” no “liath” de luchd-ionnsaigh a lorg aig a bheil crois-rathaid leis a’ bhun-structar droch-rùnach a chaidh a chleachdadh san tachartas a tha sinn a’ sgrùdadh an-dràsta. Ma tha e comasach "pròiseactan geal" a lorg, an uairsin lorg an neach-ionnsaigh, mar riaghailt, gu bhith na obair bheag. A thaobh feadhainn “liath”, bheir an rannsachadh barrachd ùine is oidhirp, leis gu bheil an luchd-seilbh aca a’ feuchainn ri dàta clàraidh gun urra no fhalach, ach tha na cothroman ann fhathast àrd. Mar riaghailt, aig toiseach an gnìomhan eucorach, bidh luchd-ionnsaigh a 'toirt nas lugha aire don sàbhailteachd aca fhèin agus a' dèanamh barrachd mhearachdan, agus mar sin mar as doimhne as urrainn dhuinn dàibheadh ​​​​a-steach don sgeulachd, is ann as àirde a bhios an cothrom air rannsachadh soirbheachail. Sin as coireach gu bheil graf lìonra le deagh eachdraidh na eileamaid air leth cudromach de sgrùdadh mar sin. Gu sìmplidh, mar as doimhne dàta eachdraidheil a tha aig companaidh, is ann as fheàrr a bhios an graf aige. Canaidh sinn gum faod eachdraidh 5-bliadhna cuideachadh le bhith a’ fuasgladh, le cumhachan, 1-2 a-mach à 10 eucoirean, agus tha eachdraidh 15-bliadhna a’ toirt cothrom fuasgladh fhaighinn air na deich.

Iasgaireachd agus lorg foill

Gach uair a gheibh sinn ceangal amharasach gu goireas fiasgach, meallta no spùinneadair, bidh sinn gu fèin-ghluasadach a’ togail graf de ghoireasan lìonra co-cheangailte agus a’ sgrùdadh a h-uile neach-aoigheachd a lorgar airson susbaint coltach ris. Leigidh seo leat an dà chuid seann làraich fiasgach a lorg a bha gnìomhach ach neo-aithnichte, a bharrachd air feadhainn gu tur ùr a tha deiseil airson ionnsaighean san àm ri teachd, ach nach eil air an cleachdadh fhathast. Eisimpleir bunasach a thachras gu math tric: lorg sinn làrach fiasgach air frithealaiche anns nach robh ach 5 làraich. Le bhith a’ sgrùdadh gach aon dhiubh, lorgaidh sinn susbaint fiasgach air làraich eile, a’ ciallachadh gun urrainn dhuinn 5 a bhacadh an àite 1.

Lorg airson backends

Tha feum air a’ phròiseas seo gus faighinn a-mach càite a bheil am frithealaiche droch-rùnach a’ fuireach.
Tha 99% de bhùthan cairt, fòraman hacker, mòran ghoireasan fiasgaich agus frithealaichean droch-rùnach eile falaichte air cùl an dà chuid na frithealaichean progsaidh aca fhèin agus luchd-ionaid sheirbheisean dligheach, mar eisimpleir, Cloudflare. Tha eòlas air an fhìor chùl-taic glè chudromach airson sgrùdaidhean: bidh fios air an t-solaraiche aoigheachd às an gabh an frithealaiche a ghlacadh, agus bidh e comasach ceanglaichean a thogail le pròiseactan droch-rùnach eile.

Mar eisimpleir, tha làrach fiasgach agad airson a bhith a’ cruinneachadh dàta cairt banca a tha a’ rèiteachadh an t-seòladh IP 11.11.11.11, agus seòladh cairt-bhùthan a rèiticheas don t-seòladh IP 22.22.22.22. Rè an anailis, is dòcha gu bheil e coltach gu bheil seòladh IP backend cumanta aig an làrach phishing agus a ’bhùth chairtean, mar eisimpleir, 33.33.33.33. Leigidh an t-eòlas seo leinn ceangal a thogail eadar ionnsaighean fiasgach agus bùth cairt far am faodar dàta cairt banca a reic.

Co-dhàimh tachartas

Nuair a bhios dà inneal-brosnachaidh eadar-dhealaichte agad (canaidh sinn air IDS) le diofar malware agus frithealaichean eadar-dhealaichte gus smachd a chumail air an ionnsaigh, dèiligidh tu riutha mar dà thachartas neo-eisimeileach. Ach ma tha deagh cheangal eadar bun-structaran droch-rùnach, bidh e follaiseach nach e ionnsaighean eadar-dhealaichte a tha seo, ach ìrean de aon ionnsaigh ioma-ìre nas iom-fhillte. Agus ma tha aon de na tachartasan mar-thà mar thoradh air buidheann sam bith de luchd-ionnsaigh, faodar an dàrna fear a thoirt don aon bhuidheann cuideachd. Gu dearbh, tha am pròiseas buileachaidh mòran nas iom-fhillte, mar sin làimhseachadh seo mar eisimpleir shìmplidh.

Saibhreachadh chomharran

Cha toir sinn mòran aire do seo, oir is e seo an suidheachadh as cumanta airson a bhith a’ cleachdadh ghrafaichean ann an cybersecurity: bheir thu seachad aon chomharra mar chur-a-steach, agus mar thoradh gheibh thu sreath de chomharran co-cheangailte.

A 'comharrachadh phàtranan

Tha comharrachadh pàtrain riatanach airson sealg èifeachdach. Leigidh grafaichean leat chan ann a-mhàin eileamaidean co-cheangailte a lorg, ach cuideachd feartan cumanta a chomharrachadh a tha àbhaisteach do bhuidheann sònraichte de luchd-hackers. Leigidh eòlas air na feartan sònraichte sin dhut bun-structar an neach-ionnsaigh aithneachadh eadhon aig an ìre ullachaidh agus às aonais fianais a’ dearbhadh an ionnsaigh, leithid puist-d phishing no malware.

Carson a chruthaich sinn ar graf lìonraidh fhèin?

A-rithist, choimhead sinn air fuasglaidhean bho luchd-reic eadar-dhealaichte mus tàinig sinn chun cho-dhùnadh gum feumadh sinn ar n-inneal fhèin a leasachadh a dh’ fhaodadh rudeigin a dhèanamh nach b’ urrainn toradh sam bith a dhèanamh. Thug e grunn bhliadhnaichean airson a chruthachadh, nuair a dh'atharraich sinn gu tur e grunn thursan. Ach, a dh’ aindeoin na h-ùine leasachaidh fhada, chan eil sinn fhathast air aon analogue a lorg a choileanas ar riatanasan. A’ cleachdadh an toraidh againn fhèin, b’ urrainn dhuinn mu dheireadh fuasgladh fhaighinn air cha mhòr a h-uile duilgheadas a lorg sinn sna grafaichean lìonra a th’ ann mar-thà. Gu h-ìosal beachdaichidh sinn gu mionaideach air na duilgheadasan sin:

duilgheadas
co-dhùnadh

Dìth solaraiche le diofar chruinneachaidhean dàta: raointean, DNS fulangach, SSL fulangach, clàran DNS, puirt fosgailte, seirbheisean ruith air puirt, faidhlichean ag eadar-obrachadh le ainmean fearainn agus seòlaidhean IP. Mìneachadh. Mar as trice, bidh solaraichean a’ toirt seachad seòrsachan dàta fa leth, agus gus an dealbh slàn fhaighinn, feumaidh tu fo-sgrìobhaidhean a cheannach bhon h-uile duine. A dh’ aindeoin sin, chan eil e an-còmhnaidh comasach an dàta gu lèir fhaighinn: bidh cuid de sholaraichean SSL fulangach a ’toirt seachad dàta a-mhàin mu theisteanasan a chuir CAn a-mach earbsach, agus tha an còmhdach de theisteanasan fèin-shoidhnichte gu math bochd. Bidh cuid eile cuideachd a’ toirt seachad dàta a’ cleachdadh theisteanasan fèin-shoidhnichte, ach ga chruinneachadh a-mhàin bho phuirt àbhaisteach.
Chruinnich sinn na cruinneachaidhean gu h-àrd sinn fhìn. Mar eisimpleir, gus dàta a chruinneachadh mu theisteanasan SSL, sgrìobh sinn an t-seirbheis againn fhèin a bhios gan cruinneachadh bho CAan earbsach agus le bhith a’ sganadh an àite IPv4 gu lèir. Chaidh teisteanasan a chruinneachadh chan ann a-mhàin bho IP, ach cuideachd bho gach raon agus fo-roinn bhon stòr-dàta againn: ma tha an àrainn eisimpleir.com agus an subdomain agad www.example.com agus bidh iad uile a’ fuasgladh gu IP 1.1.1.1, an uairsin nuair a dh’ fheuchas tu ri teisteanas SSL fhaighinn bho phort 443 air IP, àrainn agus an subdomain aige, gheibh thu trì toraidhean eadar-dhealaichte. Gus dàta a chruinneachadh mu phuirt fosgailte agus seirbheisean ruith, bha againn ri ar siostam sganaidh sgaoilte fhèin a chruthachadh, oir gu tric bha seòlaidhean IP nan frithealaichean sganaidh aca air “liostaichean dubha.” Bidh na frithealaichean sganaidh againn cuideachd a’ tighinn gu crìch air liostaichean dubha, ach tha toradh lorg nan seirbheisean a dh’ fheumas sinn nas àirde na toradh an fheadhainn a bhios dìreach a’ sganadh nas urrainn de phuirt agus a’ reic ruigsinneachd air an dàta seo.

Dìth cothrom air an stòr-dàta iomlan de chlàran eachdraidheil. Mìneachadh. Tha deagh eachdraidh cruinnichte aig a h-uile solaraiche àbhaisteach, ach airson adhbharan nàdarra cha b’ urrainn dhuinn, mar neach-dèiligidh, faighinn chun a h-uile dàta eachdraidheil. An fheadhainn sin. Gheibh thu an eachdraidh gu lèir airson aon chlàr, mar eisimpleir, le àrainn no seòladh IP, ach chan fhaic thu eachdraidh a h-uile càil - agus às aonais seo chan fhaic thu an dealbh slàn.
Gus nas urrainn dhuinn de chlàran eachdraidheil a chruinneachadh air raointean, cheannaich sinn diofar stòran-dàta, pharsaich sinn mòran ghoireasan fosgailte aig an robh an eachdraidh seo (tha e math gu robh mòran dhiubh ann), agus rinn sinn rèiteachadh le luchd-clàraidh ainmean fearainn. Tha a h-uile ùrachadh air na cruinneachaidhean againn fhèin air an cumail le làn eachdraidh ath-sgrùdaidh.

Leigidh na fuasglaidhean a th’ ann mar-thà leat graf a thogail le làimh. Mìneachadh. Canaidh sinn gun do cheannaich thu tòrr fho-sgrìobhaidhean bho gach solaraiche dàta a dh’ fhaodadh a bhith ann (ris an canar “enrichers” mar as trice). Nuair a dh’ fheumas tu graf a thogail, bheir thu “làmhan” an àithne togail bhon eileamaid ceangail a tha thu ag iarraidh, an uairsin tagh an fheadhainn a tha riatanach bho na h-eileamaidean a tha a’ nochdadh agus thoir an àithne gus na ceanglaichean a chrìochnachadh bhuapa, agus mar sin air adhart. Anns a 'chùis seo, tha an uallach airson dè cho math' sa thèid an graf a thogail gu tur leis an neach.
Rinn sinn togail fèin-ghluasadach de ghrafaichean. An fheadhainn sin. ma dh'fheumas tu graf a thogail, thèid ceanglaichean bhon chiad eileamaid a thogail gu fèin-obrachail, agus an uairsin bhon fheadhainn a leanas cuideachd. Chan eil an speisealaiche a 'sealltainn ach an doimhneachd aig am feumar an graf a thogail. Tha am pròiseas lìonadh ghrafaichean gu fèin-ghluasadach sìmplidh, ach chan eil luchd-reic eile ga chuir an gnìomh leis gu bheil e a’ toirt a-mach àireamh mhòr de thoraidhean neo-iomchaidh, agus bha againn cuideachd ri aire a thoirt don eas-bhuannachd seo (faic gu h-ìosal).

Tha mòran de thoraidhean neo-iomchaidh nan duilgheadas leis a h-uile graf eileamaid lìonra. Mìneachadh. Mar eisimpleir, tha “droch àrainn” (com-pàirt ann an ionnsaigh) co-cheangailte ri frithealaiche aig a bheil 10 raon eile co-cheangailte ris thairis air na 500 bliadhna a dh’ fhalbh. Nuair a bhios tu a’ cur graf ri làimh no a’ togail graf gu fèin-ghluasadach, bu chòir na raointean 500 sin uile nochdadh air a’ ghraf cuideachd, ged nach eil iad co-cheangailte ris an ionnsaigh. No, mar eisimpleir, bheir thu sùil air a’ chomharra IP bho aithisg tèarainteachd an neach-reic. Mar as trice, bidh aithisgean mar sin air an leigeil ma sgaoil le dàil mhòr agus gu tric a’ ruith thairis air bliadhna no barrachd. Is coltaiche, aig an àm a leugh thu an aithisg, gu bheil am frithealaiche leis an t-seòladh IP seo mar-thà air mhàl do dhaoine eile le ceanglaichean eile, agus ma thogas tu graf a-rithist gheibh thu toraidhean neo-iomchaidh.
Rinn sinn trèanadh air an t-siostam gus eileamaidean neo-iomchaidh a chomharrachadh a’ cleachdadh an aon reusanachadh ’s a rinn na h-eòlaichean againn le làimh. Mar eisimpleir, tha thu a 'sgrùdadh droch àrainn eisimpleir.com, a tha a-nis a' rèiteachadh gu IP 11.11.11.11, agus mìos air ais - gu IP 22.22.22.22. A bharrachd air an àrainn example.com, tha IP 11.11.11.11 cuideachd co-cheangailte ri example.ru, agus tha IP 22.22.22.22 co-cheangailte ri 25 mìle raon eile. Tha an siostam, mar dhuine, a’ tuigsinn gu bheil 11.11.11.11 nas coltaiche gur e frithealaiche sònraichte a th’ ann, agus leis gu bheil an àrainn example.ru coltach ri litreachadh gu example.com, an uairsin, le coltachd àrd, tha iad ceangailte agus bu chòir dhaibh a bhith air an graf; ach buinidh IP 22.22.22.22 do aoigheachd co-roinnte, agus mar sin chan fheum na raointean aige uile a bhith air an toirt a-steach don ghraf mura h-eil ceanglaichean eile ann a sheallas gum feumar aon de na 25 mìle raon sin a thoirt a-steach cuideachd (mar eisimpleir, eisimpleir.net) . Mus tuig an siostam gum feumar ceanglaichean a bhriseadh agus cuid de na h-eileamaidean gun a bhith air an gluasad chun ghraf, bidh e a’ toirt aire do dh’ iomadh feartan de na h-eileamaidean agus na cruinneachaidhean anns a bheil na h-eileamaidean sin air an cur còmhla, a bharrachd air neart nan ceanglaichean gnàthach. Mar eisimpleir, ma tha cruinneachadh beag againn (50 eileamaidean) air a’ ghraf, a tha a’ toirt a-steach droch àrainn, agus cruinneachadh mòr eile (5 mìle eileamaidean) agus tha an dà chlàr ceangailte le ceangal (loidhne) le neart glè ìosal (cuideam) , an uairsin thèid an leithid de cheangal a bhriseadh agus thèid eileamaidean bhon bhuidheann mòr a thoirt air falbh. Ach ma tha mòran cheanglaichean eadar cruinneachaidhean beaga is mòra agus gu bheil an neart aca a 'meudachadh mean air mhean, an uairsin anns a' chùis seo cha tèid an ceangal a bhriseadh agus bidh na h-eileamaidean riatanach bhon dà chlàr fhathast air a 'ghraf.

Chan eilear a’ toirt aire don eadar-ama seilbh frithealaiche is fearainn. Mìneachadh. Thig “droch raointean” gu crìch nas luaithe no nas fhaide air adhart agus thèid an ceannach a-rithist airson adhbharan droch-rùnach no dligheach. Tha eadhon frithealaichean aoigheachd bulletproof air am màl gu diofar luchd-hackers, agus mar sin tha e deatamach fios a bhith agad agus aire a thoirt don eadar-ama nuair a bha fearann ​​​​/ frithealaiche sònraichte fo smachd aon neach-seilbh. Bidh sinn gu tric a’ tighinn tarsainn air suidheachadh far a bheil frithealaiche le IP 11.11.11.11 a-nis air a chleachdadh mar C&C airson bot bancaidh, agus 2 mìosan air ais bha e fo smachd Ransomware. Ma thogas sinn ceangal gun a bhith a’ toirt aire do amannan seilbh, bidh e coltach gu bheil ceangal eadar sealbhadairean an botnet bancaidh agus an ransomware, ged nach eil gin ann. Anns an obair againn, tha mearachd mar sin deatamach.
Dh'ionnsaich sinn an siostam gus amannan seilbh a dhearbhadh. Airson raointean tha seo gu math sìmplidh, oir gu tric bidh cinn-latha tòiseachaidh is crìochnachaidh clàraidh ann agus, nuair a tha eachdraidh iomlan ann air cò a tha ag atharrachadh, tha e furasta na h-amannan a dhearbhadh. Nuair nach eil clàradh àrainn air tighinn gu crìch, ach gu bheil a riaghladh air a ghluasad gu sealbhadairean eile, faodar a leantainn cuideachd. Chan eil leithid de dhuilgheadas ann airson teisteanasan SSL, leis gu bheil iad air an toirt seachad aon uair agus chan eil iad air an ùrachadh no air an gluasad. Ach le teisteanasan fèin-soidhnichte, chan urrainn dhut earbsa a bhith anns na cinn-latha a chaidh a shònrachadh ann an ùine dligheachd an teisteanais, oir is urrainn dhut teisteanas SSL a ghineadh an-diugh, agus ceann-latha tòiseachaidh an teisteanais bho 2010 a shònrachadh. Is e an rud as duilghe na h-amannan seilbh airson luchd-frithealaidh a dhearbhadh, oir is e dìreach solaraichean aoigheachd aig a bheil cinn-latha agus amannan màil. Gus ùine seilbh an fhrithealaiche a dhearbhadh, thòisich sinn air toraidhean sganadh puirt a chleachdadh agus lorgan-meòir a chruthachadh de sheirbheisean ruith air puirt. A’ cleachdadh an fhiosrachaidh seo, is urrainn dhuinn a ràdh gu ceart nuair a dh’ atharraich sealbhadair an fhrithealaiche.

Glè bheag de cheanglaichean. Mìneachadh. An-diugh, chan eil e eadhon na dhuilgheadas liosta an-asgaidh fhaighinn de raointean anns a bheil seòladh puist-d sònraichte, no faighinn a-mach a h-uile raon a bha co-cheangailte ri seòladh IP sònraichte. Ach nuair a thig e gu luchd-hackers a nì an dìcheall a bhith duilich a lorg, feumaidh sinn cleasan a bharrachd gus togalaichean ùra a lorg agus ceanglaichean ùra a thogail.
Chuir sinn seachad tòrr ùine a’ rannsachadh mar a b’ urrainn dhuinn dàta a tharraing nach robh ri fhaighinn ann an dòigh àbhaisteach. Chan urrainn dhuinn cunntas a thoirt an seo mar a tha e ag obair airson adhbharan follaiseach, ach ann an cuid de shuidheachaidhean, bidh hackers, nuair a bhios iad a’ clàradh raointean no a’ faighinn màl agus a’ stèidheachadh frithealaichean, a’ dèanamh mhearachdan a leigeas leotha seòlaidhean puist-d, ailias hackers, agus seòlaidhean backend a lorg. Mar as motha de cheanglaichean a bheir thu a-mach, is ann as cinntiche a thogas tu grafaichean.

Mar a tha an graf againn ag obair

Gus tòiseachadh air graf an lìonraidh a chleachdadh, feumaidh tu an àrainn, seòladh IP, post-d, no lorgan-meòir teisteanas SSL a chuir a-steach don bhàr sgrùdaidh. Tha trì cumhaichean ann as urrainn don anailisiche smachd a chumail air: ùine, doimhneachd ceum, agus glanadh.

Ùine

Ùine – ceann-latha no àm nuair a chaidh an eileamaid a chaidh a sgrùdadh a chleachdadh airson adhbharan droch-rùnach. Mura sònraich thu am paramadair seo, suidhichidh an siostam fhèin an ùine seilbh mu dheireadh airson a’ ghoireas seo. Mar eisimpleir, air 11 Iuchar, dh'fhoillsich Eset aithisg mu mar a bhios Buhtrap a’ cleachdadh brath 0-latha airson brathadh saidhbear. Tha 6 comharran aig deireadh na h-aithisg. Chaidh aon dhiubh, tèarainteachd-telemetry[.]net, ath-chlàradh air 16 Iuchar. Mar sin, ma thogas tu graf às deidh 16 Iuchar, gheibh thu toraidhean neo-iomchaidh. Ach ma chomharraicheas tu gun deach an raon seo a chleachdadh ron cheann-latha seo, tha an graf a’ toirt a-steach 126 raointean ùra, 69 seòlaidhean IP nach eil air an liostadh ann an aithisg Eset:

• ukrfreshnews[.]com
• unian-lorg[.]com
• vesti-world[.]fiosrachadh
• runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.] fiosrachadh
• rian-ua[.]lìon
• agus feadhainn eile.

A bharrachd air comharran lìonra, lorg sinn sa bhad ceanglaichean le faidhlichean droch-rùnach aig an robh ceanglaichean ris a’ bhun-structar seo agus tagaichean a tha ag innse dhuinn gun deach Meterpreter agus AZORult a chleachdadh.

Is e an rud sgoinneil gum faigh thu an toradh seo taobh a-staigh aon diog agus chan fheum thu tuilleadh làithean a chaitheamh a’ dèanamh anailis air an dàta. Gu dearbh, bidh an dòigh-obrach seo uaireannan a 'lùghdachadh gu mòr an ùine airson sgrùdaidhean, a tha gu tric deatamach.

An àireamh de cheumannan no doimhneachd ath-chuairteachaidh leis an tèid an graf a thogail

Gu gnàthach, is e an doimhneachd 3. Tha seo a’ ciallachadh gum faighear a h-uile eileamaid ceangailte gu dìreach bhon eileamaid a tha thu ag iarraidh, an uairsin thèid ceanglaichean ùra a thogail bho gach eileamaid ùr gu eileamaidean eile, agus thèid eileamaidean ùra a chruthachadh bho na h-eileamaidean ùra bhon fhear mu dheireadh. ceum.

Gabhamaid eisimpleir nach eil co-cheangailte ri APT agus buannachdan 0-latha. O chionn ghoirid, chaidh cùis inntinneach de foill co-cheangailte ri cryptocurrencies a mhìneachadh air Habré. Tha an aithisg a’ toirt iomradh air an àrainn themcx[.]co, a bhios sgamadairean a’ cleachdadh gus aoigheachd a thoirt do làrach-lìn a tha ag ràdh gur e Miner Coin Exchange a th’ ann agus lorg fòn[.]xyz gus trafaic a thàladh.

Tha e soilleir bhon tuairisgeul gu bheil feum aig an sgeama air bun-structar meadhanach mòr gus trafaic a thàladh gu goireasan meallta. Chuir sinn romhainn coimhead air a’ bhun-structair seo le bhith a’ togail graf ann an 4 ceumannan. B’ e an toradh graf le 230 àrainn agus 39 seòladh IP. An ath rud, bidh sinn a’ roinn raointean ann an 2 roinn: an fheadhainn a tha coltach ri seirbheisean airson a bhith ag obair le cryptocurrencies agus an fheadhainn a tha an dùil trafaic a stiùireadh tro sheirbheisean dearbhaidh fòn:

Co-cheangailte ri cryptocurrency
Co-cheangailte ri seirbheisean punching fòn

coinkeeper[.]cc
làrach-lìn clàradh neach-fios[.].

mcxwallet[.]co
clàran fòn[.]space

btcnoise[.]com
fone-lorg[.]xyz

cryptominer[.]fhaire
àireamh-lorg[.]fiosrachadh

Glanadh

Gu gnàthach, tha an roghainn “Graph Cleanup” air a chomasachadh agus thèid na h-eileamaidean neo-iomchaidh uile a thoirt air falbh bhon ghraf. Air an t-slighe, chaidh a chleachdadh anns a h-uile eisimpleir roimhe. Tha mi a 'sùileachadh ceist nàdarra: ciamar as urrainn dhuinn dèanamh cinnteach nach tèid rudeigin cudromach a dhubhadh às? Freagraidh mi: airson sgrùdairean a tha dèidheil air grafaichean a thogail le làimh, faodar glanadh fèin-ghluasadach a chiorramachadh agus faodar an àireamh de cheumannan a thaghadh = 1. An ath rud, bidh e comasach don anailisiche an graf a chrìochnachadh bho na h-eileamaidean a tha a dhìth air agus eileamaidean a thoirt air falbh. an graf nach eil buntainneach don obair.

A-cheana air a’ ghraf, bidh eachdraidh nan atharrachaidhean ann an whois, DNS, a bharrachd air puirt fosgailte agus seirbheisean a tha a’ ruith orra ri fhaighinn don mhion-sgrùdair.

Pishing ionmhais

Rinn sinn sgrùdadh air gnìomhachd aon bhuidheann APT, a bha airson grunn bhliadhnaichean air ionnsaighean fiasgach a dhèanamh an aghaidh luchd-dèiligidh diofar bhancaichean ann an diofar roinnean. B’ e feart sònraichte den bhuidheann seo clàradh raointean a bha glè choltach ri ainmean bhancaichean fìor, agus bha an aon dhealbhadh aig a’ mhòr-chuid de làraich fiasgaich, leis na h-aon eadar-dhealachaidhean ann an ainmean nam bancaichean agus na suaicheantasan aca.

Anns a 'chùis seo, chuidich mion-sgrùdadh grafa fèin-ghluasadach sinn gu mòr. A’ gabhail aon de na raointean aca - lloydsbnk-uk[.]com, ann am beagan dhiog thog sinn graf le doimhneachd de 3 ceumannan, a chomharraich còrr air 250 raon droch-rùnach a chaidh a chleachdadh leis a’ bhuidheann seo bho 2015 agus a tha fhathast gan cleachdadh . Chaidh cuid de na raointean sin a cheannach le bancaichean mar-thà, ach tha clàran eachdraidheil a 'sealltainn gun deach an clàradh roimhe do luchd-ionnsaigh.

Airson soilleireachd, tha am figear a 'sealltainn graf le doimhneachd de 2 cheum.

Bu chòir a thoirt fa-near, mar-thà ann an 2019, gun do dh’ atharraich an luchd-ionnsaigh an cuid innleachdan gu ìre agus gun do thòisich iad a’ clàradh chan e a-mhàin raointean nam bancaichean airson aoigheachd a thoirt do phishing lìn, ach cuideachd raointean diofar chompanaidhean comhairleachaidh airson puist-d phishing a chuir. Mar eisimpleir, tha na raointean swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.

Buidheann Cobalt

San Dùbhlachd 2018, chuir a’ bhuidheann hacker Cobalt, a tha gu sònraichte an sàs ann an ionnsaighean cuimsichte air bancaichean, iomairt puist a-mach às leth Banca Nàiseanta Kazakhstan.

Bha ceanglaichean anns na litrichean gu hXXps://nationalbank.bz/Doc/Prikaz.doc. Anns an sgrìobhainn a chaidh a luchdachadh sìos bha macro a chuir Powershell air bhog, a dh’ fheuchadh ris am faidhle a luchdachadh agus a chuir an gnìomh bho hXXp://wateroilclub.com/file/dwm.exe ann an %Temp%einmrmdmy.exe. Tha am faidhle %Temp%einmrmdmy.exe aka dwm.exe na stager CobInt air a rèiteachadh gus eadar-obrachadh leis an fhrithealaiche hXXp://admvmsopp.com/rilruietguadvtoefmuy.

Smaoinich nach urrainn dhut na puist-d phishing sin fhaighinn agus làn sgrùdadh a dhèanamh air na faidhlichean droch-rùnach. Tha an graf airson a’ bhanca nàiseanta droch-rùnach[.]bz a’ sealltainn sa bhad ceanglaichean ri raointean droch-rùnach eile, ga buadhachadh do bhuidheann agus a’ sealltainn dè na faidhlichean a chaidh a chleachdadh san ionnsaigh.

Gabhamaid an seòladh IP 46.173.219[.]152 bhon ghraf seo is tog graf bhuaithe ann an aon bhealaich agus cuir dheth glanadh. Tha 40 raon co-cheangailte ris, mar eisimpleir, bl0ckchain[.]ug
paypal.co.uk.qlg6[.] pw
cryptoelips[.]com

A ’breithneachadh leis na h-ainmean fearainn, tha e coltach gu bheil iad air an cleachdadh ann an sgeamaichean meallta, ach thuig an algairim glanaidh nach robh iad co-cheangailte ris an ionnsaigh seo agus cha do chuir e iad air a’ ghraf, a tha gu mòr a ’sìmpleachadh a’ phròiseas sgrùdaidh agus buadhachaidh.

Ma thogas tu an graf a-rithist a’ cleachdadh Nationalbank[.]bz, ach a’ cur casg air an algairim glanadh ghraf, bidh barrachd air 500 eileamaid ann, agus chan eil gnothach aig a’ mhòr-chuid dhiubh ris a’ bhuidheann Cobalt no na h-ionnsaighean aca. Tha eisimpleir de choltas a leithid de ghraf air a thoirt gu h-ìosal:

co-dhùnadh

Às deidh grunn bhliadhnaichean de dheagh ghleusadh, deuchainn ann an sgrùdaidhean fìor, sgrùdadh bagairtean agus sealg airson luchd-ionnsaigh, chaidh againn air chan ann a-mhàin air inneal sònraichte a chruthachadh, ach cuideachd gus sealladh eòlaichean taobh a-staigh a ’chompanaidh atharrachadh a thaobh. An toiseach, tha eòlaichean teignigeach ag iarraidh smachd iomlan air a 'phròiseas togail graf. Bha e air leth duilich toirt a chreidsinn gum faodadh togail ghraf fèin-ghluasadach seo a dhèanamh nas fheàrr na neach le mòran bhliadhnaichean de eòlas. Chaidh a h-uile càil a cho-dhùnadh le ùine agus grunn sgrùdaidhean “làimhe” air toraidhean na rinn an graf. A-nis chan e a-mhàin gu bheil earbsa aig na h-eòlaichean againn san t-siostam, ach bidh iad cuideachd a ’cleachdadh na toraidhean a gheibh e san obair làitheil aca. Bidh an teicneòlas seo ag obair taobh a-staigh gach aon de na siostaman againn agus a’ leigeil leinn bagairtean de sheòrsa sam bith a chomharrachadh nas fheàrr. Tha an eadar-aghaidh airson mion-sgrùdadh graf làimhe air a thogail a-steach do gach toradh Group-IB agus a’ leudachadh gu mòr na comasan airson sealg saidhbear. Tha seo air a dhearbhadh le lèirmheasan luchd-anailis bhon luchd-dèiligidh againn. Agus tha sinn an uair sin a’ leantainn air adhart a’ beairteachadh a’ ghraf le dàta agus ag obair air algorithms ùra a’ cleachdadh inntleachd fuadain gus an graf lìonra as cinntiche a chruthachadh.

Source: www.habr.com