Kev tshawb xyuas cov xwm txheej ntsig txog phishing, botnets, kev ua lag luam dag thiab kev ua txhaum cai hacker pawg, Pawg-IB cov kws tshaj lij tau siv cov duab ntsuas ntau xyoo los txheeb xyuas ntau yam kev sib txuas. Cov xwm txheej sib txawv muaj lawv tus kheej cov ntaub ntawv teev tseg, lawv tus kheej algorithms rau kev txheeb xyuas cov kev sib txuas, thiab kev sib cuam tshuam rau cov haujlwm tshwj xeeb. Tag nrho cov cuab yeej no tau tsim los ntawm Pawg-IB thiab tsuas yog muaj rau peb cov neeg ua haujlwm.

Graph analysis ntawm network infrastructure (network graph) tau dhau los ua thawj cov cuab yeej sab hauv uas peb tau tsim rau hauv txhua lub tuam txhab cov khoom lag luam pej xeem. Ua ntej tsim peb lub network graph, peb tau soj ntsuam ntau qhov kev txhim kho zoo sib xws ntawm kev ua lag luam thiab tsis pom ib yam khoom uas txaus siab rau peb tus kheej cov kev xav tau. Hauv tsab xov xwm no peb yuav tham txog yuav ua li cas peb tsim lub network teeb duab, peb siv nws li cas thiab qhov teeb meem peb ntsib.

Dmitry Volkov: CTO Group-IB and head of cyber intelligence

Group-IB network graph ua tau dab tsi?

Kev tshawb nrhiav

Txij li thaum tsim Group-IB nyob rau hauv 2003 txog rau tam sim no, kev txheeb xyuas, deanoing thiab coj cybercriminals rau kev ncaj ncees yog qhov tseem ceeb tshaj plaws hauv peb txoj haujlwm. Tsis yog ib qho kev tshawb nrhiav cyberattack tau ua tiav yam tsis muaj kev tshuaj xyuas lub network infrastructure ntawm cov neeg tawm tsam. Thaum pib ntawm peb txoj kev taug kev, nws yog qhov mob siab rau "kev ua haujlwm phau ntawv" los tshawb nrhiav kev sib raug zoo uas tuaj yeem pab txheeb xyuas cov neeg ua txhaum cai: cov ntaub ntawv hais txog lub npe sau npe, IP chaw nyob, cov ntiv tes digital ntawm servers, thiab lwm yam.

Feem ntau cov neeg tawm tsam sim ua tsis qhia npe li sai tau hauv lub network. Txawm li cas los xij, zoo li txhua tus neeg, lawv ua yuam kev. Lub hom phiaj tseem ceeb ntawm qhov kev tshuaj ntsuam no yog txhawm rau nrhiav "dawb" lossis "grey" cov haujlwm keeb kwm ntawm cov neeg tawm tsam uas muaj kev sib tshuam nrog cov txheej txheem tsis zoo siv hauv qhov xwm txheej tam sim no uas peb tab tom tshawb xyuas. Yog tias nws tuaj yeem ntes tau "dawb tej yaam num", ces nrhiav tus neeg tawm tsam, raws li txoj cai, dhau los ua txoj haujlwm tsis tseem ceeb. Nyob rau hauv cov ntaub ntawv ntawm "grey" sawv daws yuav, kev tshawb fawb yuav siv sij hawm ntau thiab kev rau siab, txij li thaum lawv cov tswv sim tsis qhia npe los yog zais cov ntaub ntawv sau npe, tab sis muaj feem yuav muaj ntau heev. Raws li txoj cai, thaum pib ntawm lawv cov kev ua phem txhaum cai, cov neeg tawm tsam tsis tshua mloog lawv tus kheej kev nyab xeeb thiab ua yuam kev ntau dua, yog li qhov tob dua peb tuaj yeem nkag mus rau hauv zaj dab neeg, qhov muaj feem ntau ntawm kev tshawb nrhiav ua tiav. Tias yog vim li cas lub network teeb duab nrog keeb kwm zoo yog ib qho tseem ceeb ntawm qhov kev tshawb nrhiav. Cias muab, cov ntaub ntawv keeb kwm tob dua ib lub tuam txhab muaj, qhov zoo dua nws cov duab. Cia peb hais tias 5-xyoo keeb kwm tuaj yeem pab daws tau, raws li txoj cai, 1-2 ntawm 10 kev ua txhaum cai, thiab keeb kwm 15 xyoo muab sijhawm los daws txhua kaum.

Phishing thiab Fraud Detection

Txhua zaus peb tau txais qhov txuas tsis txaus ntseeg mus rau phishing, kev dag ntxias lossis pirated cov peev txheej, peb cia li tsim ib daim duab ntawm cov peev txheej hauv network thiab tshawb xyuas txhua tus tswv tsev rau cov ntsiab lus zoo sib xws. Qhov no tso cai rau koj mus nrhiav tau ob qho tib si qub phishing qhov chaw uas tau ua haujlwm tab sis tsis paub, nrog rau cov tshiab tshiab uas tau npaj rau kev tawm tsam yav tom ntej, tab sis tseem tsis tau siv. Ib qho piv txwv tseem ceeb uas tshwm sim ntau zaus: peb pom lub vev xaib phishing ntawm lub server nrog tsuas yog 5 qhov chaw. Los ntawm kev txheeb xyuas lawv txhua tus, peb pom cov ntsiab lus phishing ntawm lwm qhov chaw, uas txhais tau tias peb tuaj yeem thaiv 5 tsis yog 1.

Nrhiav cov backends

Cov txheej txheem no yog qhov tsim nyog los txiav txim siab qhov twg tus neeg rau zaub mov tsis zoo nyob tiag tiag.
99% ntawm cov khw muag khoom, hacker forums, ntau cov kev pabcuam phishing thiab lwm cov servers siab phem tau muab zais tom qab lawv tus kheej cov servers thiab cov npe ntawm cov kev pabcuam raug cai, piv txwv li, Cloudflare. Kev paub txog lub backend tiag tiag yog qhov tseem ceeb heev rau kev tshawb nrhiav: tus neeg muab kev pabcuam hosting los ntawm cov neeg rau zaub mov tuaj yeem raug ntes tau paub, thiab nws tuaj yeem tsim kev sib txuas nrog lwm cov phiaj xwm phem.

Piv txwv li, koj muaj lub vev xaib phishing rau khaws cov ntaub ntawv hauv tuam txhab nyiaj uas txiav txim siab rau tus IP chaw nyob 11.11.11.11, thiab qhov chaw nyob ntawm daim cardshop uas daws rau tus IP chaw nyob 22.22.22.22. Thaum lub sij hawm tsom xam, nws yuav tig tawm tias ob lub vev xaib phishing thiab cardshop muaj ib qho chaw nyob IP, piv txwv li, 33.33.33.33. Qhov kev paub no tso cai rau peb los tsim kev sib txuas ntawm phishing tawm tsam thiab lub khw daim npav uas cov ntaub ntawv hauv txhab nyiaj yuav raug muag.

Kev sib raug zoo

Thaum koj muaj ob qhov sib txawv (cia peb hais ntawm IDS) nrog cov malware sib txawv thiab cov servers sib txawv los tswj kev tawm tsam, koj yuav ua rau lawv ua ob yam xwm txheej ywj pheej. Tab sis yog tias muaj kev sib txuas zoo ntawm kev tsim kho tsis zoo, tom qab ntawd nws pom tseeb tias cov no tsis yog qhov sib txawv ntawm kev tawm tsam, tab sis theem ntawm ib qho, ntau qhov kev tawm tsam ntau theem. Thiab yog tias ib qho ntawm cov xwm txheej twb raug ntaus nqi rau ib pawg neeg tawm tsam, ces qhov thib ob kuj tuaj yeem raug ntaus nqi rau tib pab pawg. Ntawm chav kawm, cov txheej txheem attribution yog ntau nyuaj, yog li kho qhov no ua piv txwv yooj yim.

Qhov taw qhia enrichment

Peb yuav tsis them nyiaj ntau rau qhov no, vim qhov no yog qhov tshwm sim feem ntau siv cov duab hauv cybersecurity: koj muab ib qho taw qhia raws li kev tawm tswv yim, thiab raws li qhov tso zis koj tau txais ib qho array ntawm cov ntsuas ntsig txog.

Kev txheeb xyuas cov qauv

Kev txheeb xyuas cov qauv yog qhov tseem ceeb rau kev yos hav zoov zoo. Graphs tso cai rau koj tsis tsuas yog nrhiav cov ntsiab lus cuam tshuam, tab sis kuj txheeb xyuas cov khoom sib xws uas yog tus yam ntxwv ntawm ib pab pawg neeg hackers. Kev paub txog cov yam ntxwv tshwj xeeb no tso cai rau koj kom paub txog tus neeg tawm tsam cov txheej txheem txawm tias nyob rau theem kev npaj thiab tsis muaj pov thawj lees paub qhov kev tawm tsam, xws li phishing email lossis malware.

Vim li cas peb thiaj tsim peb tus kheej network graph?

Ib zaug ntxiv, peb tau saib cov kev daws teeb meem los ntawm cov neeg muag khoom sib txawv ua ntej peb tuaj yeem txiav txim siab tias peb yuav tsum tsim peb tus kheej cov cuab yeej uas tuaj yeem ua ib yam dab tsi uas tsis muaj cov khoom uas twb muaj lawm tuaj yeem ua tau. Nws siv sijhawm ntau xyoo los tsim nws, thaum lub sijhawm peb hloov nws tag nrho ob peb zaug. Tab sis, txawm hais tias lub sij hawm ntev ntawm kev loj hlob, peb tseem tsis tau pom ib qho analogue uas yuav ua tau raws li peb cov cai. Siv peb tus kheej cov khoom, thaum kawg peb tuaj yeem daws tau yuav luag txhua yam teeb meem uas peb pom hauv cov duab network uas twb muaj lawm. Hauv qab no peb yuav xav txog cov teeb meem no kom ntxaws:

teeb meem
kev txiav txim siab

Tsis muaj ib tus neeg muab kev pabcuam nrog cov ntaub ntawv sib txawv: cov npe, passive DNS, passive SSL, DNS cov ntaub ntawv, qhib cov chaw nres nkoj, khiav cov kev pabcuam ntawm cov chaw nres nkoj, cov ntaub ntawv cuam tshuam nrog cov npe sau npe thiab chaw nyob IP. Kev piav qhia. Feem ntau, cov chaw zov me nyuam muab cov ntaub ntawv sib cais, thiab kom tau txais daim duab tag nrho, koj yuav tsum tau yuav cov ntawv sau npe los ntawm txhua tus. Txawm li cas los xij, nws tsis yog ib txwm ua tau kom tau txais tag nrho cov ntaub ntawv: qee tus neeg muab kev pabcuam SSL tsuas yog muab cov ntaub ntawv hais txog daim ntawv pov thawj uas tau muab los ntawm CAs ntseeg siab, thiab lawv cov kev pabcuam ntawm daim ntawv pov thawj tus kheej yog qhov tsis zoo. Lwm tus kuj muab cov ntaub ntawv siv daim ntawv pov thawj tus kheej kos npe, tab sis sau nws tsuas yog los ntawm cov chaw nres nkoj txheem.
Peb sau tag nrho cov sau saum toj no peb tus kheej. Piv txwv li, txhawm rau sau cov ntaub ntawv hais txog SSL daim ntawv pov thawj, peb tau sau peb tus kheej cov kev pabcuam uas sau lawv ob qho tib si los ntawm CAs ntseeg siab thiab los ntawm kev txheeb xyuas tag nrho IPv4 qhov chaw. Cov ntawv pov thawj tau sau tsis tsuas yog los ntawm IP, tab sis kuj los ntawm txhua tus thawj thiab subdomains los ntawm peb cov ntaub ntawv: yog tias koj muaj tus sau example.com thiab nws cov subdomain. www.example.com thiab lawv txhua tus txiav txim siab rau IP 1.1.1.1, tom qab ntawd thaum koj sim tau txais daim ntawv pov thawj SSL los ntawm chaw nres nkoj 443 ntawm tus IP, sau npe thiab nws cov subdomain, koj tuaj yeem tau txais peb qhov txiaj ntsig sib txawv. Txhawm rau sau cov ntaub ntawv ntawm cov chaw nres nkoj qhib thiab khiav cov kev pabcuam, peb yuav tsum tsim peb tus kheej kev xa khoom xa tawm, vim tias lwm cov kev pabcuam feem ntau muaj IP chaw nyob ntawm lawv cov scanning servers ntawm "cov npe dub." Peb cov scanning servers kuj xaus rau ntawm blacklists, tab sis qhov tshwm sim ntawm kev kuaj xyuas cov kev pabcuam peb xav tau yog siab dua li ntawm cov neeg uas tsuas luam theej duab ntau li ntau tau thiab muag cov ntaub ntawv no.

Tsis muaj kev nkag mus rau tag nrho cov ntaub ntawv keeb kwm ntawm cov ntaub ntawv keeb kwm. Kev piav qhia. Txhua tus neeg muag khoom ib txwm muaj keeb kwm zoo, tab sis vim li cas peb, uas yog tus neeg siv khoom, tsis tuaj yeem nkag mus rau tag nrho cov ntaub ntawv keeb kwm. Cov. Koj tuaj yeem tau txais tag nrho cov keeb kwm rau ib cov ntaub ntawv, piv txwv li, los ntawm qhov chaw nyob lossis IP, tab sis koj tsis tuaj yeem pom keeb kwm ntawm txhua yam - thiab tsis muaj qhov no koj tsis tuaj yeem pom daim duab tag nrho.
Txhawm rau sau ntau cov ntaub ntawv keeb kwm ntawm cov npe raws li qhov ua tau, peb yuav ntau cov ntaub ntawv, txheeb xyuas ntau qhov chaw qhib uas muaj keeb kwm no (nws yog qhov zoo uas muaj ntau ntawm lawv), thiab sib tham nrog cov npe sau npe. Tag nrho cov kev hloov tshiab rau peb tus kheej collections yog ntawm chav kawm khaws cia nrog tag nrho cov ntaub ntawv kho dua tshiab.

Tag nrho cov kev daws teeb meem uas twb muaj lawm tso cai rau koj los tsim ib daim duab manually. Kev piav qhia. Cia peb hais tias koj yuav ntau qhov kev tso npe los ntawm txhua tus neeg muab ntaub ntawv tau (feem ntau hu ua "enrichers"). Thaum koj xav tsim ib daim duab, koj "tes" muab cov lus txib los tsim los ntawm cov kev sib txuas uas xav tau, ces xaiv qhov tsim nyog los ntawm cov ntsiab lus uas tshwm sim thiab muab cov lus txib kom ua tiav cov kev sib txuas ntawm lawv, thiab lwm yam. Nyob rau hauv cov ntaub ntawv no, lub luag hauj lwm rau yuav ua li cas zoo daim duab yuav raug tsim yog tag nrho nrog tus neeg.
Peb ua tsis siv neeg tsim cov duab. Cov. yog tias koj xav tau los tsim ib daim duab, ces kev sib txuas los ntawm thawj lub caij yog tsim tau, ces los ntawm tag nrho cov tom ntej, ib yam nkaus thiab. Tus kws tshaj lij tsuas yog qhia qhov tob ntawm qhov yuav tsum tau ua daim duab. Cov txheej txheem ntawm kev ua tiav cov duab kos yog qhov yooj yim, tab sis lwm tus neeg muag khoom tsis siv nws vim tias nws tsim cov txiaj ntsig tsis sib xws, thiab peb kuj yuav tsum coj qhov teeb meem no rau hauv tus account (saib hauv qab).

Ntau qhov txiaj ntsig tsis cuam tshuam yog teeb meem nrog txhua lub network keeb graphs. Kev piav qhia. Piv txwv li, "qhov tsis zoo" (tau koom nrog kev tawm tsam) cuam tshuam nrog lub server uas muaj 10 lwm lub npe cuam tshuam nrog nws dhau 500 xyoo dhau los. Thaum manually ntxiv los yog cia li tsim ib daim duab, tag nrho cov 500 domains no tseem yuav tshwm sim ntawm daim duab, txawm hais tias lawv tsis cuam tshuam nrog kev tawm tsam. Los yog, piv txwv li, koj kos tus IP qhia los ntawm tus neeg muag khoom daim ntawv ceeb toom kev ruaj ntseg. Feem ntau, cov ntawv ceeb toom no raug tso tawm nrog kev ncua tseem ceeb thiab feem ntau ncua ib xyoos lossis ntau dua. Feem ntau, thaum lub sijhawm koj nyeem daim ntawv tshaj tawm, tus neeg rau zaub mov nrog qhov chaw nyob IP no twb tau xauj rau lwm tus neeg nrog lwm cov kev sib txuas, thiab kev tsim daim duab yuav ua rau koj tau txais cov txiaj ntsig tsis cuam tshuam.
Peb tau cob qhia cov txheej txheem los txheeb xyuas cov ntsiab lus tsis cuam tshuam siv tib lub laj thawj raws li peb cov kws tshaj lij tau ua manually. Piv txwv li, koj tab tom kuaj xyuas tus sau tsis zoo example.com, uas tam sim no daws teeb meem rau IP 11.11.11.11, thiab ib hlis dhau los - rau IP 22.22.22.22. Ntxiv rau qhov sau example.com, IP 11.11.11.11 kuj tseem cuam tshuam nrog example.ru, thiab IP 22.22.22.22 yog txuam nrog 25 txhiab lwm yam. Lub kaw lus, zoo li ib tus neeg, nkag siab tias 11.11.11.11 feem ntau yuav yog tus neeg rau zaub mov tshwj xeeb, thiab txij li lub npe example.ru zoo ib yam li kev sau ntawv rau example.com, tom qab ntawd, nrog qhov muaj feem ntau, lawv txuas nrog thiab yuav tsum nyob rau ntawm daim duab; tab sis IP 22.22.22.22 belongs rau kev sib koom hosting, yog li tag nrho nws cov npe tsis tas yuav suav nrog hauv daim duab tshwj tsis yog tias muaj lwm yam kev sib txuas uas qhia tias ib qho ntawm 25 txhiab tus tswv tseem yuav tsum tau suav nrog (piv txwv li example.net) . Ua ntej lub kaw lus nkag siab tias kev sib txuas yuav tsum tau tawg thiab qee cov ntsiab lus tsis txav mus rau hauv daim duab, nws yuav siv sij hawm rau hauv tus account ntau yam khoom ntawm cov ntsiab lus thiab pawg uas cov ntsiab lus no tau ua ke, nrog rau lub zog ntawm cov kev sib txuas tam sim no. Piv txwv li, yog tias peb muaj ib pawg me me (50 lub ntsiab lus) ntawm daim duab, uas suav nrog cov npe tsis zoo, thiab lwm pawg loj (5 txhiab lub ntsiab lus) thiab ob pawg sib txuas los ntawm kev sib txuas (kab) nrog lub zog qis heev (qhov hnyav) , ces xws li kev sib txuas yuav tawg thiab cov ntsiab lus los ntawm pawg loj yuav raug tshem tawm. Tab sis yog tias muaj ntau qhov kev sib txuas ntawm pawg me thiab loj thiab lawv lub zog maj mam nce, ces qhov no kev sib txuas yuav tsis tawg thiab cov ntsiab lus tsim nyog los ntawm ob pawg yuav nyob twj ywm ntawm daim duab.

Lub sijhawm server thiab lub sijhawm ua tswv cuab yeej tsis suav nrog. Kev piav qhia. "Txoj cai tsis zoo" yuav sai dua lossis tom qab tas sij hawm thiab yuav rov qab yuav dua rau lub hom phiaj phem lossis raug cai. Txawm tias cov mos txwv hosting servers tau xauj rau cov neeg nyiag khoom sib txawv, yog li nws yog ib qho tseem ceeb kom paub thiab coj mus rau hauv tus account lub sijhawm thaum ib qho chaw tshwj xeeb / server nyob rau hauv kev tswj hwm ntawm ib tus tswv. Peb feem ntau ntsib qhov xwm txheej uas tus neeg rau zaub mov nrog IP 11.11.11.11 tam sim no siv los ua C&C rau lub txhab nyiaj bot, thiab 2 lub hlis dhau los nws tau tswj hwm los ntawm Ransomware. Yog tias peb tsim kev sib txuas yam tsis tau suav nrog cov tswv cuab ib ntus, nws yuav zoo li muaj kev sib txuas ntawm cov tswv ntawm tuam txhab nyiaj botnet thiab ransomware, txawm hais tias qhov tseeb tsis muaj. Hauv peb txoj haujlwm, qhov yuam kev zoo li no tseem ceeb heev.
Peb tau qhia cov txheej txheem los txiav txim cov tswv cuab lub sijhawm. Rau cov npe no yog qhov yooj yim heev, vim tias leej twg feem ntau muaj cov ntawv sau npe pib thiab hnub tas sij hawm thiab, thaum muaj keeb kwm tiav ntawm whois hloov, nws yooj yim los txiav txim siab lub sijhawm. Thaum lub npe sau npe tsis tas sijhawm, tab sis nws txoj kev tswj hwm tau raug xa mus rau lwm tus tswv, nws kuj tuaj yeem taug qab. Tsis muaj teeb meem zoo li no rau daim ntawv pov thawj SSL, vim tias lawv tau muab tawm ib zaug thiab tsis txuas ntxiv lossis hloov pauv. Tab sis nrog rau daim ntawv pov thawj tus kheej, koj tsis tuaj yeem ntseeg cov hnub uas tau teev tseg hauv lub sijhawm siv tau ntawm daim ntawv pov thawj, vim tias koj tuaj yeem tsim daim ntawv pov thawj SSL hnub no, thiab qhia txog daim ntawv pov thawj hnub pib txij xyoo 2010. Qhov nyuaj tshaj plaws yog los txiav txim siab cov tswv cuab lub sijhawm rau cov servers, vim tias tsuas yog cov chaw muab kev pabcuam hosting muaj hnub thiab sijhawm xauj tsev. Txhawm rau txiav txim siab lub sijhawm ua tswv cuab ntawm server, peb pib siv cov txiaj ntsig ntawm chaw nres nkoj scanning thiab tsim cov ntiv tes ntawm cov kev pabcuam khiav ntawm cov chaw nres nkoj. Siv cov ntaub ntawv no, peb tuaj yeem hais ncaj ncees thaum tus neeg rau zaub mov hloov pauv.

Tsawg kev sib txuas. Kev piav qhia. Niaj hnub no, nws tsis yog ib qho teeb meem kom tau txais daim ntawv teev npe dawb ntawm cov npe uas nws muaj qhov chaw nyob email tshwj xeeb, lossis nrhiav kom paub tag nrho cov npe uas cuam tshuam nrog qhov chaw nyob IP tshwj xeeb. Tab sis thaum nws los txog rau hackers uas ua lawv qhov zoo tshaj plaws los ua ib qho nyuaj rau taug qab, peb xav tau cov cuab yeej ntxiv los nrhiav cov khoom tshiab thiab tsim kev sib txuas tshiab.
Peb siv sijhawm ntau los tshawb nrhiav seb peb tuaj yeem rho tawm cov ntaub ntawv uas tsis muaj nyob rau hauv ib txoj hauv kev. Peb tsis tuaj yeem piav qhia ntawm no nws ua haujlwm li cas rau cov laj thawj pom tseeb, tab sis nyob rau qee qhov xwm txheej, cov neeg nyiag nkas, thaum sau npe lossis xauj thiab teeb tsa cov servers, ua yuam kev uas tso cai rau lawv nrhiav email chaw nyob, tus neeg nyiag nkas npe, thiab chaw nyob backend. Qhov kev sib txuas ntau dua koj rho tawm, cov duab raug ntau dua koj tuaj yeem tsim.

Peb daim duab ua haujlwm li cas

Txhawm rau pib siv lub network teeb tsa, koj yuav tsum nkag mus rau lub npe, IP chaw nyob, email, lossis SSL daim ntawv pov thawj ntiv tes rau hauv qhov tshawb nrhiav. Muaj peb yam xwm txheej uas tus kws tshuaj ntsuam tuaj yeem tswj tau: sijhawm, kauj ruam tob, thiab kev tshem tawm.

Время

Lub sij hawm – hnub tim los yog ncua sij hawm thaum lub sij hawm tshawb nrhiav tau siv rau lub hom phiaj phem. Yog tias koj tsis qhia qhov ntsuas no, lub kaw lus nws tus kheej yuav txiav txim siab lub sijhawm ua tswv cuab kawg rau cov peev txheej no. Piv txwv li, thaum Lub Xya Hli 11, Eset luam tawm tsab ntawv ceeb toom hais txog yuav ua li cas Buhtrap siv 0-hnub exploit rau cyber espionage. Muaj 6 qhov ntsuas qhov kawg ntawm daim ntawv tshaj tawm. Ib tug ntawm lawv, ruaj ntseg-telemetry [.]net, tau rov sau npe rau lub Xya Hli 16. Yog li ntawd, yog tias koj tsim daim duab tom qab Lub Xya Hli 16, koj yuav tau txais cov txiaj ntsig tsis cuam tshuam. Tab sis yog tias koj qhia tias qhov sau npe no tau siv ua ntej hnub no, tom qab ntawd daim duab suav nrog 126 qhov chaw tshiab, 69 IP chaw nyob uas tsis tau teev tseg hauv Eset daim ntawv qhia:

ukrfreshnews[.]com
unian-search[.]com
vesti-world[.]cov ntaub ntawv
runewsmeta[.]com
foxnewsmeta[.]ib
sobesednik-meta[.]info
rian-ua[.]net
thiab lwm tus.

Ntxiv nrog rau cov ntsuas hauv network, peb tam sim ntawd pom kev sib txuas nrog cov ntaub ntawv tsis zoo uas muaj kev sib txuas nrog cov txheej txheem no thiab cov cim npe uas qhia peb tias Meterpreter thiab AZORult tau siv.

Qhov zoo tshaj plaws yog tias koj tau txais cov txiaj ntsig no hauv ib thib ob thiab koj tsis tas yuav siv sijhawm los tshuaj xyuas cov ntaub ntawv. Tau kawg, txoj hauv kev no qee zaum txo qis lub sijhawm rau kev tshawb nrhiav, uas feem ntau tseem ceeb.

Tus naj npawb ntawm cov kauj ruam los yog recursion qhov tob uas daim duab yuav raug tsim

Los ntawm lub neej ntawd, qhov tob yog 3. Qhov no txhais tau hais tias tag nrho cov ntsiab lus ncaj qha yuav raug pom los ntawm cov khoom xav tau, ces cov kev sib txuas tshiab yuav raug tsim los ntawm txhua lub ntsiab lus tshiab mus rau lwm cov ntsiab lus, thiab cov ntsiab lus tshiab yuav raug tsim los ntawm cov ntsiab lus tshiab los ntawm qhov kawg. kauj ruam.

Cia peb ua piv txwv tsis hais txog APT thiab 0-hnub exploits. Tsis ntev los no, qhov nthuav dav ntawm kev dag ntxias cuam tshuam nrog cryptocurrencies tau piav qhia ntawm Habré. Daim ntawv tshaj tawm hais txog qhov sau npe themcx[.]co, siv los ntawm scammers los tuav lub vev xaib uas qhia tias yog Miner Npib Txauv thiab xov tooj-lookup [.]xyz kom nyiam tsheb.

Nws yog tseeb los ntawm cov lus piav qhia tias lub tswv yim yuav tsum muaj cov txheej txheem loj loj kom nyiam cov tsheb mus rau kev dag ntxias. Peb txiav txim siab los saib qhov kev tsim kho vaj tsev no los ntawm kev tsim cov duab hauv 4 kauj ruam. Cov zis yog ib daim duab nrog 230 tus thawj thiab 39 IP chaw nyob. Tom ntej no, peb faib cov npe rau hauv 2 pawg: cov uas zoo ib yam li cov kev pabcuam rau kev ua haujlwm nrog cryptocurrencies thiab cov uas npaj los tsav tsheb los ntawm kev pabcuam hauv xov tooj:

Muaj feem xyuam rau cryptocurrency
Txuas nrog xov tooj xuas nrig ntaus cov kev pabcuam

coinkeeper [.]cc
caller-record[.]site.

mcxwallet[.]co
xov tooj-cov ntaub ntawv[.]space

btcnoise[.]com
fone-uncover [.] xyz

cryptominer[.] saib
number-uncover[.]info

Tu

Los ntawm lub neej ntawd, qhov "Graph Cleanup" xaiv tau qhib thiab txhua yam tsis cuam tshuam yuav raug tshem tawm ntawm daim duab. Los ntawm txoj kev, nws tau siv nyob rau hauv tag nrho cov piv txwv yav dhau los. Kuv pom ib lo lus nug ntuj: yuav ua li cas peb thiaj paub tseeb tias tej yam tseem ceeb tsis raug tshem tawm? Kuv yuav teb: rau cov kws tshuaj ntsuam xyuas uas nyiam tsim cov duab kos los ntawm tes, kev tu lub tshuab tuaj yeem ua tsis taus thiab cov kauj ruam tuaj yeem xaiv tau = 1. Tom ntej no, tus kws tshuaj ntsuam yuav tuaj yeem ua tiav daim duab los ntawm cov ntsiab lus nws xav tau thiab tshem tawm cov ntsiab lus ntawm daim duab uas tsis cuam tshuam rau txoj haujlwm.

Twb tau nyob rau ntawm daim duab, keeb kwm ntawm kev hloov pauv hauv whois, DNS, nrog rau cov chaw nres nkoj qhib thiab cov kev pabcuam khiav ntawm lawv tau dhau los ua rau tus kws tshuaj ntsuam.

Nyiaj txiag phishing

Peb tau tshawb xyuas cov dej num ntawm ib pab pawg APT, uas tau ntau xyoo tau ua kev tawm tsam phishing tawm tsam cov neeg siv khoom ntawm ntau lub tsev txhab nyiaj hauv cheeb tsam sib txawv. Ib tug yam ntxwv feature ntawm pab pawg no yog cov npe ntawm cov npe zoo ib yam li cov npe ntawm cov tsev txhab nyiaj tiag tiag, thiab feem ntau ntawm cov chaw phishing muaj cov qauv tsim, qhov sib txawv tsuas yog nyob rau hauv cov npe ntawm cov tsev txhab nyiaj thiab lawv lub logo.

Hauv qhov no, automated graph tsom xam pab peb ntau heev. Noj ib qho ntawm lawv cov thawj tswj hwm - lloydsbnk-uk [.]com, hauv ob peb vib nas this peb tau tsim ib daim duab nrog qhov tob ntawm 3 kauj ruam, uas tau txheeb xyuas ntau dua 250 lub siab phem uas tau siv los ntawm pab pawg no txij li xyoo 2015 thiab txuas ntxiv mus siv. . Qee qhov ntawm cov npe no twb tau yuav los ntawm cov tsev txhab nyiaj, tab sis cov ntaub ntawv keeb kwm qhia tau tias lawv tau sau npe rau cov neeg tawm tsam yav dhau los.

Kom meej meej, daim duab qhia ib daim duab nrog qhov tob ntawm 2 kauj ruam.

Nws yog ib qho tseem ceeb uas twb muaj nyob rau hauv 2019, cov neeg tawm tsam tau hloov pauv lawv cov tswv yim me ntsis thiab pib sau npe tsis yog tsuas yog cov tuam txhab nyiaj hauv tuam txhab rau hosting web phishing, tab sis kuj tseem muaj ntau lub tuam txhab kev sab laj rau xa email phishing. Piv txwv li, cov domains swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.

Cobalt laib

Thaum Lub Kaum Ob Hlis 2018, pawg neeg nyiag nkas Cobalt, tshwj xeeb hauv cov phiaj xwm kev tawm tsam ntawm cov tsev txhab nyiaj, tau xa tawm cov phiaj xwm xa ntawv sawv cev ntawm National Bank of Kazakhstan.

Cov ntawv muaj txuas mus rau hXXps://nationalbank.bz/Doc/Prikaz.doc. Cov ntaub ntawv rub tawm muaj cov macro uas tau pib Powershell, uas yuav sim thauj khoom thiab ua tiav cov ntaub ntawv los ntawm hXXp://wateroilclub.com/file/dwm.exe hauv %Temp%einmrmdmy.exe. Cov ntaub ntawv %Temp%einmrmdmy.exe aka dwm.exe yog CobInt stager teeb tsa los cuam tshuam nrog lub server hXXp://admvmsopp.com/rilruietguadvtoefmuy.

Xav txog tej yam tsis muaj peev xwm tau txais cov phishing emails thiab ua tiav kev tshuaj xyuas tag nrho ntawm cov ntaub ntawv tsis zoo. Daim duab rau lub siab phem lub teb chaws nyiaj txiag [.]bz tam sim ntawd qhia kev sib txuas nrog lwm qhov chaw siab phem, muab nws rau ib pab pawg thiab qhia tias cov ntaub ntawv twg raug siv hauv kev tawm tsam.

Cia peb coj tus IP chaw nyob 46.173.219[.]152 ntawm daim duab no thiab tsim ib daim duab los ntawm nws hauv ib qho dhau los thiab tua kev tu. Muaj 40 lub npe cuam tshuam nrog nws, piv txwv li, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

Kev txiav txim siab los ntawm cov npe sau npe, zoo li lawv tau siv hauv kev dag ntxias, tab sis kev ntxuav algorithm pom tau hais tias lawv tsis cuam tshuam nrog qhov kev tawm tsam no thiab tsis muab tso rau hauv daim duab, uas ua rau cov txheej txheem ntawm kev tsom xam thiab kev txheeb xyuas zoo heev.

Yog tias koj rov tsim cov duab siv lub teb chaws bank [.]bz, tab sis disabling lub graph tu algorithm, ces nws yuav muaj ntau tshaj li 500 yam, feem ntau tsis muaj dab tsi ua rau pawg Cobalt los yog lawv tawm tsam. Ib qho piv txwv ntawm qhov zoo li daim duab zoo li yog muab hauv qab no:

xaus

Tom qab ob peb xyoos ntawm kev kho kom zoo, kev sim hauv kev tshawb nrhiav tiag tiag, kev tshawb nrhiav kev hem thawj thiab kev yos hav zoov rau cov neeg tawm tsam, peb tau tswj tsis tau tsuas yog los tsim cov cuab yeej tshwj xeeb, tab sis kuj hloov tus cwj pwm ntawm cov kws tshaj lij hauv tuam txhab rau nws. Thaum pib, cov kws tshaj lij xav tau kev tswj xyuas tag nrho cov txheej txheem kev tsim kho. Kev ntseeg lawv tias kev tsim kho tsis siv neeg tuaj yeem ua qhov no zoo dua li tus neeg muaj kev paub ntau xyoo yog qhov nyuaj heev. Txhua yam tau txiav txim siab los ntawm lub sijhawm thiab ntau yam "phau ntawv" cov kev txheeb xyuas ntawm cov txiaj ntsig ntawm cov duab tsim. Tam sim no peb cov kws tshaj lij tsis tsuas yog tso siab rau lub kaw lus, tab sis kuj siv cov txiaj ntsig uas nws tau txais hauv lawv txoj haujlwm niaj hnub. Cov thev naus laus zis no ua haujlwm hauv txhua qhov ntawm peb lub tshuab thiab tso cai rau peb txheeb xyuas qhov kev hem thawj ntawm txhua yam. Lub interface rau phau ntawv qhia kev tsom xam yog tsim rau hauv txhua pab pawg-IB cov khoom thiab nthuav dav lub peev xwm rau kev yos hav zoov cybercrime. Qhov no tau lees paub los ntawm cov kws tshuaj ntsuam xyuas los ntawm peb cov neeg siv khoom. Thiab peb, nyob rau hauv lem, txuas ntxiv mus txhawb cov duab nrog cov ntaub ntawv thiab ua hauj lwm ntawm tshiab algorithms siv cov txawj ntse txawj ntse los tsim kom tau qhov tseeb tshaj plaws network graph.

Tau qhov twg los: www.hab.com

Koj txoj kev tawm, daim duab: yuav ua li cas peb tsis pom lub network zoo thiab tsim peb tus kheej