Istražujući slučajeve povezane s krađom identiteta, botnetovima, lažnim transakcijama i kriminalnim hakerskim skupinama, stručnjaci Group-IB-a već mnogo godina koriste analizu grafikona kako bi identificirali različite vrste veza. Različiti slučajevi imaju vlastite skupove podataka, vlastite algoritme za identificiranje veza i sučelja prilagođena specifičnim zadacima. Sve ove alate je interno razvio Group-IB i bili su dostupni samo našim zaposlenicima.

Grafička analiza mrežne infrastrukture (mrežni grafikon) postao je prvi interni alat koji smo ugradili u sve javne proizvode tvrtke. Prije izrade našeg mrežnog grafikona, analizirali smo mnoga slična kretanja na tržištu i nismo pronašli niti jedan proizvod koji bi zadovoljio naše potrebe. U ovom ćemo članku govoriti o tome kako smo izradili mrežni grafikon, kako ga koristimo i na koje smo poteškoće naišli.

Dmitrij Volkov, CTO Group-IB i voditelj cyber inteligencije

Što može Group-IB mrežni grafikon?

Istrage

Od osnutka Group-IB-a 2003. do danas, identificiranje, dekanoniranje i privođenje pravdi kibernetičkih kriminalaca glavni je prioritet u našem radu. Niti jedna istraga kibernetičkog napada nije bila potpuna bez analize mrežne infrastrukture napadača. Na samom početku našeg putovanja bio je prilično mukotrpan “ručni rad” traženje odnosa koji bi mogli pomoći u identificiranju kriminalaca: informacije o imenima domena, IP adresama, digitalnim otiscima prstiju poslužitelja itd.

Većina napadača pokušava djelovati što je moguće anonimnije na mreži. Međutim, kao i svi ljudi, griješe. Glavni cilj takve analize je pronaći "bijele" ili "sive" povijesne projekte napadača koji imaju raskrižja sa zlonamjernom infrastrukturom korištenom u trenutnom incidentu koji istražujemo. Ako je moguće otkriti "bijele projekte", tada pronalazak napadača u pravilu postaje trivijalan zadatak. U slučaju "sivih", traženje zahtijeva više vremena i truda, budući da njihovi vlasnici pokušavaju anonimizirati ili sakriti podatke o registraciji, ali šanse ostaju prilično visoke. U pravilu napadači na početku svojih kriminalnih radnji manje vode računa o vlastitoj sigurnosti i više griješe, pa što dublje uronimo u priču, to su veće šanse za uspješnu istragu. Zato je mrežni grafikon s dobrom poviješću izuzetno važan element takvog istraživanja. Jednostavno rečeno, što dublje povijesne podatke tvrtka ima, to je njezin grafikon bolji. Recimo, povijest od 5 godina može pomoći u rješavanju, uvjetno, 1-2 od 10 zločina, a povijest od 15 godina daje priliku da se riješi svih deset.

Otkrivanje krađe identiteta i prijevare

Svaki put kada primimo sumnjivu vezu na phishing, lažni ili piratski resurs, automatski gradimo grafikon povezanih mrežnih resursa i provjeravamo sve pronađene hostove za sličan sadržaj. To vam omogućuje da pronađete i stare stranice za krađu identiteta koje su bile aktivne, ali nepoznate, kao i potpuno nove koje su pripremljene za buduće napade, ali se još ne koriste. Elementarni primjer koji se često pojavljuje: pronašli smo phishing stranicu na poslužitelju sa samo 5 stranica. Provjerom svake od njih, nalazimo phishing sadržaj na drugim stranicama, što znači da možemo blokirati 5 umjesto 1.

Potražite backendove

Ovaj je postupak neophodan kako bi se utvrdilo gdje se zapravo nalazi zlonamjerni poslužitelj.
99% card shopova, hakerskih foruma, mnogih izvora za krađu identiteta i drugih zlonamjernih poslužitelja skriveno je iza vlastitih proxy poslužitelja i proxyja legitimnih usluga, na primjer, Cloudflare. Poznavanje stvarnog backend-a vrlo je važno za istrage: pružatelj usluga hostinga od kojeg se može zaplijeniti poslužitelj postaje poznat i postaje moguće izgraditi veze s drugim zlonamjernim projektima.

Na primjer, imate mjesto za krađu identiteta za prikupljanje podataka o bankovnim karticama koje se rješavaju na IP adresu 11.11.11.11 i adresu cardshopa koja se rješava na IP adresu 22.22.22.22. Tijekom analize može se ispostaviti da i phishing stranica i cardshop imaju zajedničku pozadinsku IP adresu, na primjer, 33.33.33.33. Ovo nam znanje omogućuje da izgradimo vezu između phishing napada i kartice u kojoj se mogu prodavati podaci o bankovnim karticama.

Korelacija događaja

Kada imate dva različita okidača (recimo na IDS-u) s različitim zlonamjernim softverom i različitim poslužiteljima za kontrolu napada, tretirat ćete ih kao dva neovisna događaja. Ali ako postoji dobra veza između malicioznih infrastruktura, onda postaje očito da se ne radi o različitim napadima, već o fazama jednog, složenijeg višestupanjskog napada. A ako je jedan od događaja već pripisan bilo kojoj skupini napadača, onda se i drugi može pripisati istoj skupini. Naravno, proces pripisivanja puno je složeniji, pa ovo shvatite kao jednostavan primjer.

Obogaćivanje indikatora

Nećemo pridavati puno pažnje ovome jer je ovo najčešći scenarij za korištenje grafova u kibernetičkoj sigurnosti: dajete jedan indikator kao ulaz, a kao izlaz dobivate niz povezanih indikatora.

Identificiranje obrazaca

Prepoznavanje obrazaca ključno je za učinkovit lov. Grafovi vam omogućuju ne samo pronalaženje povezanih elemenata, već i prepoznavanje zajedničkih svojstava koja su karakteristična za određenu skupinu hakera. Poznavanje takvih jedinstvenih karakteristika omogućuje vam prepoznavanje napadačeve infrastrukture čak i u fazi pripreme i bez dokaza koji potvrđuju napad, poput phishing e-pošte ili zlonamjernog softvera.

Zašto smo izradili vlastiti mrežni grafikon?

Opet smo pogledali rješenja različitih dobavljača prije nego što smo došli do zaključka da moramo razviti vlastiti alat koji može učiniti nešto što niti jedan postojeći proizvod ne može. Nastajanje je trajalo nekoliko godina, tijekom kojih smo ga nekoliko puta potpuno mijenjali. No, unatoč dugom razdoblju razvoja, još nismo pronašli niti jedan analog koji bi zadovoljio naše zahtjeve. Koristeći vlastiti proizvod, na kraju smo uspjeli riješiti gotovo sve probleme koje smo otkrili u postojećim mrežnim grafikonima. U nastavku ćemo detaljno razmotriti ove probleme:

problem
odluka

Nedostatak pružatelja usluga s različitim zbirkama podataka: domene, pasivni DNS, pasivni SSL, DNS zapisi, otvoreni portovi, pokrenute usluge na portovima, datoteke u interakciji s imenima domena i IP adresama. Obrazloženje. Obično davatelji pružaju zasebne vrste podataka, a da biste dobili potpunu sliku, morate kupiti pretplate od svih. Unatoč tome, nije uvijek moguće dobiti sve podatke: neki pružatelji pasivnih SSL usluga pružaju podatke samo o certifikatima koje su izdali pouzdani CA-ovi, a njihova pokrivenost samopotpisanim certifikatima izuzetno je loša. Drugi također pružaju podatke pomoću samopotpisanih certifikata, ali ih prikupljaju samo sa standardnih priključaka.
Sve navedene zbirke prikupili smo sami. Na primjer, za prikupljanje podataka o SSL certifikatima, napisali smo vlastitu uslugu koja ih prikuplja i od pouzdanih CA-ova i skeniranjem cijelog IPv4 prostora. Certifikati su prikupljeni ne samo s IP-a, već i sa svih domena i poddomena iz naše baze podataka: ako imate domenu example.com i njezinu poddomenu www.example.com i svi se rješavaju na IP 1.1.1.1, a zatim kada pokušate dobiti SSL certifikat s priključka 443 na IP-u, domeni i njezinoj poddomeni, možete dobiti tri različita rezultata. Kako bismo prikupili podatke o otvorenim portovima i pokrenutim servisima, morali smo stvoriti vlastiti distribuirani sustav skeniranja jer su drugi servisi često imali IP adrese svojih poslužitelja za skeniranje na “crnim listama”. Naši serveri za skeniranje također završavaju na crnim listama, ali rezultat detektiranja usluga koje trebamo veći je od onih koji jednostavno skeniraju što više portova i prodaju pristup tim podacima.

Nedostatak pristupa cjelokupnoj bazi povijesnih zapisa. Obrazloženje. Svaki normalan dobavljač ima dobru akumuliranu povijest, ali iz prirodnih razloga mi kao klijent nismo mogli dobiti pristup svim povijesnim podacima. Oni. Možete dobiti cijelu povijest za jedan zapis, na primjer, prema domeni ili IP adresi, ali ne možete vidjeti povijest svega - a bez toga ne možete vidjeti punu sliku.
Kako bismo prikupili što više povijesnih zapisa o domenama, kupili smo razne baze podataka, analizirali mnoge otvorene resurse koji su imali tu povijest (dobro je da ih je bilo mnogo) i pregovarali s registrima domena. Sva ažuriranja naših kolekcija se naravno čuvaju s punom poviješću revizija.

Sva postojeća rješenja omogućuju ručnu izradu grafikona. Obrazloženje. Recimo da ste kupili puno pretplata od svih mogućih pružatelja podataka (obično se nazivaju "obogaćivači"). Kada trebate izgraditi graf, “rukama” date naredbu za izgradnju od željenog elementa veze, zatim odaberete one potrebne iz elemenata koji se pojave i date naredbu da se iz njih dovrše veze i tako dalje. U ovom slučaju, odgovornost za to koliko će grafikon biti dobro izgrađen leži u potpunosti na osobi.
Napravili smo automatsku konstrukciju grafova. Oni. ako trebate izgraditi graf, tada se automatski grade veze iz prvog elementa, a zatim i iz svih sljedećih. Stručnjak samo označava dubinu na kojoj je potrebno izgraditi grafikon. Proces automatskog popunjavanja grafova je jednostavan, ali ga drugi dobavljači ne implementiraju jer daje ogroman broj nebitnih rezultata, a morali smo uzeti u obzir i ovaj nedostatak (vidi dolje).

Mnogi irelevantni rezultati problem su sa svim grafovima mrežnih elemenata. Obrazloženje. Na primjer, "loša domena" (sudjelovala u napadu) povezana je s poslužiteljem koji ima 10 drugih domena povezanih s njim tijekom posljednjih 500 godina. Prilikom ručnog dodavanja ili automatske konstrukcije grafa, svih ovih 500 domena također bi se trebale pojaviti na grafu, iako nisu povezane s napadom. Ili, na primjer, provjerite IP indikator iz sigurnosnog izvješća dobavljača. Obično se takva izvješća objavljuju sa značajnim kašnjenjem i često se protežu godinu dana ili više. Najvjerojatnije je u vrijeme kada čitate izvješće poslužitelj s ovom IP adresom već iznajmljen drugim ljudima s drugim vezama, a izgradnja grafikona ponovno će rezultirati nerelevantnim rezultatima.
Istrenirali smo sustav da identificira nebitne elemente koristeći istu logiku kao što su to naši stručnjaci radili ručno. Na primjer, provjeravate lošu domenu example.com, koja se sada rješava na IP 11.11.11.11, a prije mjesec dana - na IP 22.22.22.22. Uz domenu example.com, IP 11.11.11.11 također je povezan s example.ru, a IP 22.22.22.22 povezan je s 25 tisuća drugih domena. Sustav, poput osobe, razumije da je 11.11.11.11 najvjerojatnije namjenski poslužitelj, a budući da je domena example.ru slična pravopisu kao example.com, tada su, s velikom vjerojatnošću, povezani i trebali bi biti na grafikon; ali IP 22.22.22.22 pripada dijeljenom hostingu, tako da sve njegove domene ne moraju biti uključene u grafikon osim ako postoje druge veze koje pokazuju da jedna od ovih 25 tisuća domena također treba biti uključena (na primjer, example.net) . Prije nego što sustav shvati da veze treba prekinuti i neke elemente ne premjestiti na graf, on uzima u obzir mnoga svojstva elemenata i klastera u koje su ti elementi kombinirani, kao i snagu trenutnih veza. Na primjer, ako imamo mali klaster (50 elemenata) na grafu, koji uključuje lošu domenu, i još jedan veliki klaster (5 tisuća elemenata) i oba klastera su povezana vezom (linijom) vrlo male snage (težine) , tada će takva veza biti prekinuta i elementi iz velikog klastera će biti uklonjeni. Ali ako postoji mnogo veza između malih i velikih klastera i njihova snaga postupno raste, onda u tom slučaju veza neće biti prekinuta i potrebni elementi iz oba klastera ostat će na grafikonu.

Interval vlasništva poslužitelja i domene se ne uzima u obzir. Obrazloženje. “Loše domene” će prije ili kasnije isteći i biti ponovno kupljene u zlonamjerne ili legitimne svrhe. Čak se i neprobojni hosting poslužitelji iznajmljuju različitim hakerima, stoga je važno znati i uzeti u obzir interval kada je određena domena/poslužitelj bio pod kontrolom jednog vlasnika. Često se susrećemo sa situacijom u kojoj se poslužitelj s IP 11.11.11.11 sada koristi kao C&C za bankovnog bota, a prije 2 mjeseca ga je kontrolirao Ransomware. Ako uspostavimo vezu ne uzimajući u obzir vlasničke intervale, izgledat će kao da postoji veza između vlasnika bankarskog botneta i ransomwarea, iako je zapravo nema. U našem radu takva je pogreška kritična.
Naučili smo sustav da određuje intervale vlasništva. Za domene je to relativno jednostavno, jer whois često sadrži datume početka i isteka registracije, a kada postoji potpuna povijest whois promjena, lako je odrediti intervale. Kada registracija domene nije istekla, ali je njeno upravljanje preneseno na druge vlasnike, također se može pratiti. Za SSL certifikate tog problema nema jer se oni izdaju jednom i ne obnavljaju se niti prenose. Ali sa samopotpisanim certifikatima ne možete vjerovati datumima navedenim u razdoblju valjanosti certifikata, jer možete generirati SSL certifikat danas i navesti datum početka certifikata od 2010. Najteže je odrediti vlasničke intervale za servere, jer samo hosting provideri imaju datume i razdoblja najma. Za određivanje razdoblja vlasništva poslužitelja počeli smo koristiti rezultate skeniranja portova i kreiranja otisaka pokrenutih servisa na portovima. Koristeći ove podatke, možemo prilično točno reći kada se promijenio vlasnik poslužitelja.

Malo veza. Obrazloženje. U današnje vrijeme čak nije problem dobiti besplatan popis domena čiji whois sadrži određenu e-mail adresu ili saznati sve domene koje su bile povezane s određenom IP adresom. Ali kada je riječ o hakerima koji daju sve od sebe kako bi ih bilo teško pratiti, potrebni su nam dodatni trikovi za pronalaženje novih nekretnina i izgradnju novih veza.
Proveli smo puno vremena istražujući kako bismo mogli izdvojiti podatke koji nisu bili dostupni na konvencionalan način. Ovdje ne možemo opisati kako to radi iz očitih razloga, ali pod određenim okolnostima hakeri prilikom registracije domena ili iznajmljivanja i postavljanja poslužitelja čine pogreške koje im omogućuju da saznaju adrese e-pošte, hakerske aliase i pozadinske adrese. Što više veza izdvojite, točnije grafikone možete izgraditi.

Kako funkcionira naš grafikon

Da biste počeli koristiti mrežni grafikon, trebate unijeti domenu, IP adresu, e-poštu ili otisak prsta SSL certifikata u traku za pretraživanje. Postoje tri uvjeta koje analitičar može kontrolirati: vrijeme, dubina koraka i čišćenje.

vrijeme

Vrijeme – datum ili interval kada je traženi element korišten u zlonamjerne svrhe. Ako ne navedete ovaj parametar, sustav će sam odrediti zadnji interval vlasništva za ovaj resurs. Primjerice, 11. srpnja Eset je objavio izvještaj o tome kako Buhtrap koristi 0-day exploit za cyber špijunažu. Na kraju izvješća nalazi se 6 pokazatelja. Jedan od njih, secure-telemetry[.]net, preregistriran je 16. srpnja. Stoga, ako izgradite grafikon nakon 16. srpnja, dobit ćete nebitne rezultate. Ali ako navedete da se ova domena koristila prije tog datuma, tada grafikon uključuje 126 novih domena, 69 IP adresa koje nisu navedene u Eset izvješću:

• ukrfreshnews[.]com
• unian-search[.]com
• vesti-svijet[.]info
• runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]info
• rian-ua[.]net
• itd.

Osim mrežnih indikatora, odmah nalazimo veze sa zlonamjernim datotekama koje su imale veze s ovom infrastrukturom i oznake koje nam govore da su korišteni Meterpreter i AZORult.

Sjajna stvar je što ovaj rezultat dobivate u roku od jedne sekunde i više ne morate trošiti dane na analizu podataka. Naravno, ovakav pristup ponekad značajno skraćuje vrijeme istraživanja, što je često kritično.

Broj koraka ili dubina rekurzije s kojom će se graditi graf

Prema zadanim postavkama, dubina je 3. To znači da će se svi izravno povezani elementi pronaći iz željenog elementa, zatim će se nove veze izgraditi od svakog novog elementa do drugih elemenata, a novi elementi će se stvoriti iz novih elemenata iz zadnjeg korak.

Uzmimo primjer koji nije vezan uz APT i 0-day exploit. Nedavno je na Habréu opisan zanimljiv slučaj prijevare vezane uz kriptovalute. U izvješću se spominje domena themcx[.]co, koju prevaranti koriste za hostiranje web stranice koja se predstavlja kao Miner Coin Exchange i telefonsko traženje[.]xyz za privlačenje prometa.

Iz opisa je jasno da shema zahtijeva prilično veliku infrastrukturu za privlačenje prometa na lažne resurse. Odlučili smo pogledati ovu infrastrukturu izgradnjom grafikona u 4 koraka. Ishod je bio grafikon sa 230 domena i 39 IP adresa. Dalje, domene dijelimo u 2 kategorije: one koje su slične uslugama za rad s kriptovalutama i one koje su namijenjene privlačenju prometa putem usluga telefonske provjere:

Povezano s kriptovalutom
Povezano s uslugama bušenja telefona

kovač[.]cc
evidencija poziva [.] mjesto.

mcxwallet[.]co
telefonski zapisi[.]razmak

btcnoise[.]com
fone-otkriti[.]xyz

cryptominer[.]sat
broj-otkrij[.]info

čišćenje

Prema zadanim postavkama, opcija "Čišćenje grafikona" je omogućena i svi nebitni elementi bit će uklonjeni s grafikona. Usput, korišten je u svim prethodnim primjerima. Predviđam prirodno pitanje: kako možemo osigurati da se nešto važno ne izbriše? Odgovorit ću: za analitičare koji vole ručno graditi grafikone, automatsko čišćenje može se onemogućiti i može se odabrati broj koraka = 1. Zatim će analitičar moći dovršiti grafikon od elemenata koji su mu potrebni i ukloniti elemente iz grafa koji su nebitni za zadatak.

Već na grafikonu analitičaru postaje dostupna povijest promjena u whois-u, DNS-u, kao i otvoreni portovi i usluge koje se na njima izvode.

Financijski phishing

Istraživali smo aktivnosti jedne APT grupe koja je nekoliko godina izvodila phishing napade na klijente raznih banaka u različitim regijama. Karakteristična značajka ove skupine bila je registracija domena vrlo sličnih nazivima pravih banaka, a većina phishing stranica imala je isti dizajn, a jedine su razlike bile u nazivima banaka i njihovim logotipima.

U ovom slučaju nam je puno pomogla automatizirana analiza grafikona. Uzimajući jednu od njihovih domena - lloydsbnk-uk[.]com, u nekoliko sekundi izgradili smo grafikon s dubinom od 3 koraka, koji je identificirao više od 250 zlonamjernih domena koje je ova grupa koristila od 2015. i nastavlja ih koristiti . Neke od ovih domena već su kupile banke, ali povijesni zapisi pokazuju da su prethodno bile registrirane na napadače.

Radi jasnoće, slika prikazuje grafikon s dubinom od 2 koraka.

Važno je napomenuti da su već 2019. godine napadači donekle promijenili svoju taktiku i počeli registrirati ne samo domene banaka za hosting web phishinga, već i domene raznih konzultantskih tvrtki za slanje phishing e-pošte. Na primjer, domene swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.

Kobaltna banda

U prosincu 2018. hakerska skupina Cobalt, specijalizirana za ciljane napade na banke, poslala je mailing kampanju u ime Nacionalne banke Kazahstana.

Pisma su sadržavala poveznice na hXXps://nationalbank.bz/Doc/Prikaz.doc. Preuzeti dokument sadržavao je makronaredbu koja je pokrenula Powershell, koji bi pokušao učitati i izvršiti datoteku s hXXp://wateroilclub.com/file/dwm.exe u %Temp%einmrmdmy.exe. Datoteka %Temp%einmrmdmy.exe aka dwm.exe je CobInt stager konfiguriran za interakciju s poslužiteljem hXXp://admvmsopp.com/rilruietguadvtoefmuy.

Zamislite da ne možete primiti ove phishing e-poruke i izvršiti potpunu analizu zlonamjernih datoteka. Grafikon za zlonamjernu domenu nationalbank[.]bz odmah pokazuje veze s drugim zlonamjernim domenama, pripisuje je grupi i pokazuje koje su datoteke korištene u napadu.

Uzmimo IP adresu 46.173.219[.]152 iz ovog grafikona i napravimo grafikon iz nje u jednom prolazu i isključimo čišćenje. Postoji 40 domena povezanih s njim, na primjer, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
kriptoelips[.]com

Sudeći prema nazivima domena, čini se da se koriste u prijevarnim shemama, no algoritam za čišćenje je shvatio da nisu povezani s ovim napadom i nije ih stavio na grafikon, što uvelike pojednostavljuje proces analize i atribucije.

Ako ponovno izgradite graf pomoću nationalbank[.]bz, ali onemogućite algoritam za čišćenje grafa, on će sadržavati više od 500 elemenata, od kojih većina nema nikakve veze s grupom Cobalt ili njihovim napadima. U nastavku je dat primjer kako takav grafikon izgleda:

Zaključak

Nakon nekoliko godina finog podešavanja, testiranja u stvarnim istragama, istraživanja prijetnji i lova na napadače, uspjeli smo ne samo stvoriti jedinstveni alat, već i promijeniti odnos stručnjaka unutar tvrtke prema njemu. U početku tehnički stručnjaci žele potpunu kontrolu nad procesom izgradnje grafa. Uvjeriti ih da automatska konstrukcija grafikona to može učiniti bolje od osobe s dugogodišnjim iskustvom bilo je iznimno teško. O svemu je odlučilo vrijeme i višestruke “ručne” provjere rezultata onoga što je graf proizveo. Sada naši stručnjaci ne samo da vjeruju sustavu, već također koriste rezultate koje on dobiva u svom svakodnevnom radu. Ova tehnologija radi unutar svakog od naših sustava i omogućuje nam da bolje identificiramo prijetnje bilo koje vrste. Sučelje za ručnu analizu grafikona ugrađeno je u sve Group-IB proizvode i značajno proširuje mogućnosti za lov na cyber kriminal. To potvrđuju recenzije analitičara naših klijenata. A mi, zauzvrat, nastavljamo obogaćivati ​​grafikon podacima i raditi na novim algoritmima koristeći umjetnu inteligenciju za stvaranje najtočnijeg mrežnog grafikona.

Izvor: www.habr.com