Az adathalászattal, botnetekkel, csalárd tranzakciókkal és bűnözői hackercsoportokkal kapcsolatos ügyek nyomozása során a Group-IB szakértői évek óta grafikonelemzést alkalmaznak a különféle kapcsolatok azonosítására. A különböző esetek saját adatkészletekkel, kapcsolatok azonosítására szolgáló algoritmusokkal és konkrét feladatokra szabott interfészekkel rendelkeznek. Mindezeket az eszközöket a Group-IB belsőleg fejlesztette ki, és csak munkatársaink számára voltak elérhetőek.
A hálózati infrastruktúra grafikonos elemzése (hálózati grafikon) lett az első belső eszköz, amelyet a vállalat összes nyilvános termékébe beépítettünk. Hálózati grafikonunk elkészítése előtt sok hasonló piaci fejlesztést elemeztünk, és egyetlen olyan terméket sem találtunk, amely kielégítette volna saját igényeinket. Ebben a cikkben arról fogunk beszélni, hogyan hoztuk létre a hálózati grafikont, hogyan használjuk és milyen nehézségekbe ütköztünk.
Dmitrij Volkov, CTO Group-IB és a kiberintelligencia vezetője
Mit tud a Group-IB hálózati grafikonja?
Vizsgálatok
A Group-IB 2003-as megalapítása óta napjainkig a kiberbűnözők azonosítása, felmentése és felelősségre vonása kiemelt fontosságú munkánk során. Egyetlen kibertámadási vizsgálat sem zárult le a támadók hálózati infrastruktúrájának elemzése nélkül. Utunk legelején meglehetősen fáradságos „kézi munka” volt olyan kapcsolatok keresése, amelyek segíthetnek a bűnözők azonosításában: domain nevek, IP-címek, szerverek digitális ujjlenyomatai stb.
A legtöbb támadó a lehető legnévtelenül próbál fellépni a hálózaton. Azonban, mint minden ember, ők is követnek el hibákat. Egy ilyen elemzés fő célja, hogy megtalálja a támadók „fehér” vagy „szürke” történelmi projektjeit, amelyek kereszteződésben vannak az általunk vizsgált jelenlegi incidensben használt rosszindulatú infrastruktúrával. Ha lehetséges a „fehér projektek” észlelése, akkor a támadó megtalálása általában triviális feladattá válik. A „szürkék” esetében a keresés több időt és erőfeszítést igényel, mivel tulajdonosaik megpróbálják anonimizálni vagy elrejteni a regisztrációs adatokat, de ennek esélye továbbra is nagy. Általános szabály, hogy a támadók bűnözői tevékenységük kezdetén kevésbé figyelnek saját biztonságukra, és többet hibáznak, így minél mélyebbre merülhetünk a történetben, annál nagyobb az esélye a sikeres nyomozásnak. Éppen ezért a jó előzményekkel rendelkező hálózati gráf rendkívül fontos eleme egy ilyen vizsgálatnak. Egyszerűen fogalmazva, minél mélyebb történelmi adatokkal rendelkezik egy vállalat, annál jobb a grafikonja. Tegyük fel, hogy egy 5 éves előzmény feltételesen 1-ből 2-10 bűncselekmény megoldását segítheti elő, a 15 éves előzmény pedig mind a tíz eset megoldására ad esélyt.
Adathalászat és csalás észlelése
Minden alkalommal, amikor egy adathalász, csaló vagy kalóz erőforrásra mutató gyanús linket kapunk, automatikusan elkészítjük a kapcsolódó hálózati erőforrások grafikonját, és ellenőrizzük az összes talált gazdagépet hasonló tartalomra. Ez lehetővé teszi, hogy megtalálja mind a régi, aktív, de ismeretlen adathalász oldalakat, mind a teljesen újakat, amelyek felkészültek a jövőbeli támadásokra, de még nem használtak. Egy elég gyakran előforduló elemi példa: egy adathalász oldalt találtunk egy mindössze 5 oldallal rendelkező szerveren. Mindegyik ellenőrzésével adathalász tartalmat találunk más webhelyeken, ami azt jelenti, hogy 5 helyett 1-öt blokkolhatunk.
Háttérrendszerek keresése
Ez a folyamat a rosszindulatú szerver tényleges tartózkodási helyének meghatározásához szükséges.
A kártyaüzletek, hackerfórumok, sok adathalász erőforrás és egyéb rosszindulatú szerverek 99%-a saját proxyszervereik és legitim szolgáltatások, például a Cloudflare proxyjai mögött rejtőzik. A valódi háttérrel kapcsolatos ismeretek nagyon fontosak a nyomozások szempontjából: ismertté válik a tárhelyszolgáltató, amelytől a szerver lefoglalható, és lehetővé válik más rosszindulatú projektekkel való kapcsolatépítés.
Például van egy adathalász webhelye a bankkártyaadatok gyűjtésére, amely a 11.11.11.11 IP-címet adja meg, és egy kártyabolt-címe, amely a 22.22.22.22 IP-címet adja meg. Az elemzés során kiderülhet, hogy az adathalász oldalnak és a kártyaboltnak is van közös háttér IP-címe, például 33.33.33.33. Ez a tudás lehetővé teszi számunkra, hogy kapcsolatot építsünk ki az adathalász támadások és egy kártyabolt között, ahol bankkártyaadatokat értékesíthetnek.
Eseménykorreláció
Ha két különböző triggerrel (mondjuk egy IDS-en) különböző rosszindulatú programokkal és különböző szerverekkel irányítja a támadást, akkor ezeket két független eseményként fogja kezelni. De ha jó kapcsolat van a rosszindulatú infrastruktúrák között, akkor nyilvánvalóvá válik, hogy ezek nem különböző támadások, hanem egy összetettebb, többlépcsős támadás szakaszai. És ha az egyik eseményt már a támadók bármelyik csoportjának tulajdonítják, akkor a második is ugyanahhoz a csoporthoz köthető. Természetesen a hozzárendelési folyamat sokkal összetettebb, ezért tekintse ezt egyszerű példaként.
Indikátor dúsítása
Erre nem fogunk különösebben odafigyelni, hiszen ez a leggyakoribb forgatókönyv a kiberbiztonsági grafikonok használatához: egy mutatót ad meg bemenetként, kimenetként pedig egy sor kapcsolódó indikátort.
A minták azonosítása
A minták azonosítása elengedhetetlen a hatékony vadászathoz. A grafikonok nem csak a kapcsolódó elemek megtalálását teszik lehetővé, hanem a hackerek egy adott csoportjára jellemző közös tulajdonságok azonosítását is. Az ilyen egyedi jellemzők ismerete lehetővé teszi a támadó infrastruktúrájának felismerését még az előkészítés szakaszában és a támadást megerősítő bizonyítékok, például adathalász e-mailek vagy rosszindulatú programok nélkül.
Miért hoztunk létre saját hálózati grafikont?
Ismét megvizsgáltuk a különböző gyártók megoldásait, mielőtt arra a következtetésre jutottunk, hogy ki kell fejlesztenünk saját eszközünket, amely olyasmire képes, amire egyetlen meglévő termék sem képes. Megalkotása több évbe telt, ezalatt többször is teljesen megváltoztattuk. De a hosszú fejlesztési időszak ellenére még nem találtunk egyetlen analógot sem, amely kielégítené az igényeinket. Saját termékünk segítségével végül szinte minden problémát meg tudtunk oldani, amit a meglévő hálózati grafikonokon fedeztünk fel. Az alábbiakban ezeket a problémákat fogjuk részletesen megvizsgálni:
probléma
döntés
Különböző adatgyűjteményekkel rendelkező szolgáltató hiánya: tartományok, passzív DNS, passzív SSL, DNS rekordok, nyitott portok, szolgáltatások futtatása a portokon, tartománynevekkel és IP-címekkel kölcsönhatásba lépő fájlok. Magyarázat. Jellemzően a szolgáltatók külön adattípust biztosítanak, és a teljes kép érdekében mindenkitől előfizetést kell vásárolni. Ennek ellenére nem mindig sikerül minden adatot megszerezni: egyes passzív SSL-szolgáltatók csak a megbízható CA-k által kibocsátott tanúsítványokról szolgáltatnak adatokat, és az önaláírt tanúsítványok lefedettsége rendkívül gyenge. Mások önaláírt tanúsítványokkal is szolgáltatnak adatokat, de csak szabványos portokról gyűjtik azokat.
Az összes fenti gyűjteményt magunk gyűjtöttük össze. Például az SSL-tanúsítványokkal kapcsolatos adatok gyűjtésére saját szolgáltatást írtunk, amely a megbízható CA-któl és a teljes IPv4-terület átvizsgálásával is összegyűjti azokat. A tanúsítványokat nem csak az IP-ről, hanem az adatbázisunkból származó összes domainről és aldomainről is gyűjtöttük: ha rendelkezik az example.com domainnel és annak aldomainjével és mindegyik az 1.1.1.1-es IP-címet adja meg, majd amikor megpróbál SSL-tanúsítványt szerezni a 443-as portról egy IP-címen, tartományon és annak aldomainjén, három különböző eredményt kaphat. Ahhoz, hogy adatokat gyűjtsünk a nyitott portokról és a futó szolgáltatásokról, létre kellett hoznunk saját elosztott szkennelési rendszerünket, mivel más szolgáltatások ellenőrző szervereinek IP-címe gyakran „fekete listán” szerepelt. Ellenőrző szervereink szintén feketelistára kerülnek, de a szükséges szolgáltatások észlelésének eredménye magasabb, mint azoké, akik egyszerűen a lehető legtöbb portot átvizsgálják és eladják a hozzáférést ezekhez az adatokhoz.
A történelmi feljegyzések teljes adatbázisához való hozzáférés hiánya. Magyarázat. Minden normál beszállítónak jó felhalmozott múltja van, de természetes okokból mi, mint ügyfél nem tudtunk hozzáférni minden történeti adathoz. Azok. Egy rekord teljes előzményét megkaphatja, például domain vagy IP-cím szerint, de nem láthatja mindennek az előzményeit - és e nélkül nem láthatja a teljes képet.
Annak érdekében, hogy a domainekről minél több történeti rekordot gyűjtsünk, különféle adatbázisokat vásároltunk, sok olyan nyílt forrást elemeztünk, amelyeknek ez volt az előzménye (még jó, hogy sok volt), és tárgyaltunk a domain név regisztrátorokkal. A saját gyűjteményünk minden frissítését természetesen a teljes felülvizsgálati előzmények kísérik.
Minden létező megoldás lehetővé teszi a grafikonok manuális felépítését. Magyarázat. Tegyük fel, hogy sok előfizetést vásárolt az összes lehetséges adatszolgáltatótól (általában „dúsítók”). Amikor gráfot kell építeni, akkor „kezekkel” adjuk ki a parancsot, hogy építsünk a kívánt kapcsolatelemből, majd a megjelenő elemek közül kiválasztjuk a szükségeseket, és adjuk a parancsot, hogy azokból a kapcsolatokat fejezzük be, stb. Ebben az esetben a gráf felépítésének minőségéért a felelősség teljes mértékben a személyt terheli.
Elkészítettük a grafikonok automatikus felépítését. Azok. ha gráfot kell építeni, akkor az első elemből származó kapcsolatok automatikusan épülnek fel, majd az összes további elemről is. A szakember csak azt jelzi, hogy milyen mélységben kell a grafikont felépíteni. A grafikonok automatikus kitöltésének folyamata egyszerű, de más gyártók nem valósítják meg, mert rengeteg irreleváns eredményt produkál, és ezt a hátrányt is figyelembe kellett vennünk (lásd alább).
Sok irreleváns eredmény probléma az összes hálózati elem gráfjával. Magyarázat. Például egy „rossz tartomány” (amely támadásban vesz részt) olyan szerverhez van társítva, amelyhez az elmúlt 10 év során 500 másik tartomány tartozik. Grafikon kézi hozzáadásakor vagy automatikus összeállításakor ennek az 500 tartománynak meg kell jelennie a grafikonon is, bár nem kapcsolódnak a támadáshoz. Vagy például ellenőrizze az IP-jelzőt a szállító biztonsági jelentéséből. Az ilyen jelentések általában jelentős késéssel jelennek meg, és gyakran egy évre vagy még tovább terjednek. Valószínűleg a jelentés elolvasásakor az ezzel az IP-címmel rendelkező szervert már bérelték más kapcsolatokkal rendelkező személyeknek, és a grafikon felépítése ismét irreleváns eredményeket eredményez.
Ugyanazzal a logikával betanítottuk a rendszert, hogy azonosítsa az irreleváns elemeket, mint azt szakértőink manuálisan tették. Például egy hibás example.com domaint ellenőriz, amely most a 11.11.11.11 IP-re, egy hónapja pedig a 22.22.22.22 IP-re oldja fel. Az example.com domain mellett a 11.11.11.11 IP is az example.ru, az IP 22.22.22.22 pedig 25 ezer másik tartományhoz van társítva. A rendszer, akárcsak az ember, megérti, hogy a 11.11.11.11 valószínűleg egy dedikált szerver, és mivel az example.ru domain helyesírása hasonló az example.com-hoz, ezért nagy valószínűséggel csatlakoznak, és a webhelyen kell lennie. grafikon; de az IP 22.22.22.22 a megosztott tárhelyhez tartozik, így annak minden domainjét nem kell szerepeltetni a grafikonon, kivéve, ha vannak más kapcsolatok, amelyek azt mutatják, hogy ebből a 25 ezer tartományból egyet is szerepeltetni kell (például example.net) . Mielőtt a rendszer megértené, hogy a kapcsolatokat meg kell szakítani, és egyes elemeket nem kell áthelyezni a gráfba, figyelembe veszi azon elemek és klaszterek számos tulajdonságát, amelyekbe ezeket az elemeket egyesítik, valamint az aktuális kapcsolatok erősségét. Például, ha van a gráfon egy kis klaszter (50 elem), amely egy rossz tartományt tartalmaz, és egy másik nagy klaszter (5 ezer elem), és mindkét klasztert egy nagyon kis erősségű (súllyal) összekötő (vonal) köti össze, , akkor egy ilyen kapcsolat megszakad, és a nagy klaszter elemei eltávolításra kerülnek. De ha sok kapcsolat van a kis és nagy klaszterek között, és erejük fokozatosan növekszik, akkor ebben az esetben a kapcsolat nem szakad meg, és a szükséges elemek mindkét klaszterből megmaradnak a grafikonon.
A szerver és a tartomány tulajdoni intervallumát nem veszi figyelembe. Magyarázat. A „rossz domainek” előbb-utóbb lejárnak, és rosszindulatú vagy jogszerű célból újra megvásárolják őket. Még a golyóálló hosting szervereket is bérbe adják különböző hackereknek, ezért nagyon fontos tudni és figyelembe venni azt az időtartamot, amikor egy adott domain/szerver egy tulajdonos irányítása alatt állt. Gyakran találkozunk olyan helyzettel, amikor egy 11.11.11.11 IP-című szervert most egy banki bot C&C-jeként használnak, 2 hónappal ezelőtt pedig Ransomware vezérelte. Ha a tulajdonosi intervallumok figyelembevétele nélkül építünk ki kapcsolatot, akkor úgy fog kinézni, hogy van kapcsolat a banki botnet tulajdonosai és a ransomware között, bár valójában nincs. Munkánk során egy ilyen hiba kritikus.
Megtanítottuk a rendszert a tulajdonosi intervallumok meghatározására. A domainek esetében ez viszonylag egyszerű, mert a whois gyakran tartalmazza a regisztráció kezdő és lejárati dátumát, és ha a whois változások teljes előzménye van, könnyen meghatározható az időközök. Ha egy domain regisztrációja nem járt le, de a kezelését más tulajdonosokra ruházták át, akkor az is nyomon követhető. Az SSL-tanúsítványoknál nincs ilyen probléma, mert azokat egyszer adják ki, és nem újítják meg és nem ruházzák át. Az önaláírt tanúsítványok esetében azonban nem bízhat a tanúsítvány érvényességi idejében megadott dátumokban, mert ma már létrehozhat egy SSL-tanúsítványt, és megadhatja a tanúsítvány kezdő dátumát 2010-től. A legnehezebb a szerverek tulajdonosi intervallumainak meghatározása, mert csak a tárhelyszolgáltatóknak van bérleti dátuma és időszaka. A szerver tulajdonosi időszakának meghatározásához elkezdtük felhasználni a portszkennelés eredményeit és a portokon futó szolgáltatások ujjlenyomatát. Ezen információk alapján meglehetősen pontosan meg tudjuk mondani, hogy mikor változott a szerver tulajdonosa.
Kevés kapcsolat. Magyarázat. Manapság már az sem probléma, hogy ingyenes listát kapunk azokról a domainekről, amelyek whois-ja egy adott e-mail címet tartalmaz, vagy az összes olyan domaint kideríteni, amely egy adott IP-címhez volt társítva. De ha olyan hackerekről van szó, akik mindent megtesznek azért, hogy nehéz nyomon követni őket, további trükkökre van szükségünk, hogy új ingatlanokat találjunk és új kapcsolatokat építsünk ki.
Sok időt töltöttünk annak kutatásával, hogyan tudnánk olyan adatokat kinyerni, amelyek hagyományos módon nem állnak rendelkezésre. Nyilvánvaló okokból nem tudjuk itt leírni, hogyan működik, de bizonyos körülmények között a hackerek domain regisztrálásakor vagy szerverek bérlésekor és beállításakor olyan hibákat követnek el, amelyek lehetővé teszik számukra az e-mail címek, hacker-aliasok és háttércímek megszerzését. Minél több kapcsolatot bont ki, annál pontosabb grafikonokat készíthet.
Hogyan működik a grafikonunk
A hálózati grafikon használatának megkezdéséhez be kell írnia a tartományt, az IP-címet, az e-mail-címet vagy az SSL-tanúsítvány ujjlenyomatát a keresősávba. Az elemző három feltételt szabályozhat: az időt, a lépésmélységet és az elszámolást.
Idő
Idő – dátum vagy intervallum, amikor a keresett elemet rosszindulatú célokra használták. Ha nem adja meg ezt a paramétert, a rendszer maga határozza meg az erőforrás utolsó tulajdonosi intervallumát. Például július 11-én az Eset megjelent arról, hogyan használja Buhtrap a 0-napos kizsákmányolást kiberkémkedésre. A jelentés végén 6 mutató található. Az egyiket, a biztonságos telemetriai[.]netet július 16-án regisztrálták újra. Ezért, ha július 16. után készít egy grafikont, irreleváns eredményeket kap. De ha azt jelzi, hogy ezt a tartományt ez előtt a dátum előtt használták, akkor a grafikon 126 új domaint és 69 IP-címet tartalmaz, amelyek nem szerepelnek az Eset jelentésben:
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-world[.]info
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- stb
A hálózati jelzők mellett azonnal találunk olyan rosszindulatú fájlokkal kapcsolatos kapcsolatokat, amelyek kapcsolatban álltak ezzel az infrastruktúrával, valamint olyan címkéket, amelyek arról árulkodnak, hogy a Meterpretert és az AZORultot használták.
A nagyszerű dolog az, hogy ezt az eredményt egy másodpercen belül megkapja, és többé nem kell napokat töltenie az adatok elemzésével. Természetesen ez a megközelítés néha jelentősen csökkenti a vizsgálatok idejét, ami gyakran kritikus.
A lépések száma vagy a rekurziós mélység, amellyel a grafikon felépül
Alapértelmezés szerint a mélység 3. Ez azt jelenti, hogy a kívánt elemből minden közvetlenül összefüggő elem megtalálható, majd minden új elemből új kapcsolatok épülnek ki a többi elemhez, és új elemek jönnek létre az utolsó új elemekből. lépés.
Vegyünk egy példát, amely nem kapcsolódik az APT-hez és a 0-napos exploitokhoz. A közelmúltban egy érdekes, kriptovalutákkal kapcsolatos csalási esetet írtak le a Habrén. A jelentés megemlíti az themcx[.]co domaint, amelyet csalók használnak egy Miner Coin Exchange-nek állítólagos webhely tárolására, és a telefonkeresés[.]xyz-t a forgalom vonzására.
A leírásból egyértelműen kiderül, hogy a rendszer meglehetősen nagy infrastruktúrát igényel ahhoz, hogy a forgalmat csalárd forrásokhoz vonzza. Úgy döntöttünk, hogy megvizsgáljuk ezt az infrastruktúrát egy 4 lépésből álló grafikon felépítésével. A kimenet egy grafikon volt 230 tartományból és 39 IP-címből. Ezután a domaineket 2 kategóriába soroljuk: amelyek hasonlóak a kriptovalutákkal kapcsolatos szolgáltatásokhoz, és olyanok, amelyek a telefonellenőrzési szolgáltatásokon keresztüli forgalmat irányítják:
A kriptovalutához kapcsolódik
Telefonos lyukasztási szolgáltatásokkal kapcsolatos
érmetartó[.]cc
caller-record[.]site.
mcxwallet[.]co
telefon-feljegyzések[.]tér
btcnoise[.]com
fone-uncover[.]xyz
cryptominer[.]óra
number-uncover[.]info
Очистка
Alapértelmezés szerint a „Grafikontisztítás” opció engedélyezve van, és minden irreleváns elem el lesz távolítva a grafikonról. Egyébként minden korábbi példában ezt használták. Előre látok egy természetes kérdést: hogyan biztosíthatjuk, hogy valami fontosat ne töröljenek? Válaszolok: azoknak az elemzőknek, akik szeretnek kézzel grafikonokat készíteni, az automata tisztítás letiltható, és a lépések száma kiválasztható = 1. Ezután az elemző képes lesz a gráfot a számára szükséges elemekből kiegészíteni, és elemeket eltávolítani a feladat szempontjából irreleváns grafikonokat.
Már a grafikonon is elérhetővé válik az elemző számára a whois, a DNS, valamint a nyitott portok és az azokon futó szolgáltatások változásainak története.
Pénzügyi adathalászat
Vizsgáltuk egy APT csoport tevékenységét, amely több éven át hajtott végre adathalász támadásokat különböző bankok ügyfelei ellen különböző régiókban. Ennek a csoportnak a jellemzője a valódi bankok nevéhez nagyon hasonló domain regisztráció volt, és az adathalász oldalak többsége azonos kialakítású volt, csak a bankok nevében és logóiban volt különbség.
Ebben az esetben az automatizált gráfelemzés sokat segített nekünk. Egyik domainjük – lloydsbnk-uk[.]com – alapján néhány másodperc alatt elkészítettünk egy 3 lépésből álló grafikont, amely több mint 250 rosszindulatú domaint azonosított, amelyeket ez a csoport 2015 óta használt, és továbbra is használ. . Ezen domainek egy részét már megvásárolták a bankok, de a történelmi feljegyzések szerint korábban regisztrálták őket a támadók számára.
Az áttekinthetőség kedvéért az ábrán egy 2 lépcsős mélységű grafikon látható.
Figyelemre méltó, hogy a támadók már 2019-ben némileg változtattak taktikájukon, és nemcsak a bankok domainjeit kezdték el regisztrálni a webes adathalászat fogadására, hanem a különböző tanácsadó cégek domainjeit is az adathalász e-mailek küldésére. Például a swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com domainek.
Kobalt banda
2018 decemberében a bankok elleni célzott támadásokra szakosodott Cobalt hackercsoport levelező kampányt küldött a Kazah Nemzeti Bank nevében.
A levelek linkeket tartalmaztak a hXXps://nationalbank.bz/Doc/Prikaz.doc címre. A letöltött dokumentum egy makrót tartalmazott, amely elindította a Powershell programot, amely megpróbálja betölteni és végrehajtani a fájlt a hXXp://wateroilclub.com/file/dwm.exe webhelyről a %Temp%einmrmdmy.exe fájlban. A %Temp%einmrmdmy.exe, más néven dwm.exe fájl egy CobInt szakaszoló, amely úgy van beállítva, hogy együttműködjön a hXXp://admvmsopp.com/rilruietguadvtoefmuy kiszolgálóval.
Képzelje el, hogy nem tudja fogadni ezeket az adathalász e-maileket, és nem tudja elvégezni a rosszindulatú fájlok teljes elemzését. A nationalbank[.]bz rosszindulatú tartomány grafikonja azonnal megmutatja a kapcsolatokat más rosszindulatú tartományokkal, egy csoporthoz rendeli, és megmutatja, hogy mely fájlokat használták fel a támadásban.
Vegyük ebből a grafikonból a 46.173.219[.]152 IP-címet, és készítsünk belőle egy grafikont egy lépésben, és kapcsoljuk ki a tisztítást. 40 tartomány kapcsolódik hozzá, például bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
A domain nevek alapján úgy tűnik, hogy csaló sémákban használják őket, de a tisztító algoritmus rájött, hogy nem kapcsolódnak ehhez a támadáshoz, és nem helyezte őket a grafikonra, ami nagyban leegyszerűsíti az elemzés és a hozzárendelés folyamatát.
Ha újraépíted a gráfot a nationalbank[.]bz segítségével, de kikapcsolod a gráftisztító algoritmust, akkor több mint 500 elemet fog tartalmazni, amelyek többségének semmi köze a Cobalt csoporthoz vagy támadásaihoz. Az alábbiakban látható egy példa arra, hogyan néz ki egy ilyen grafikon:
Következtetés
Több éves finomhangolás, valós nyomozásban való tesztelés, fenyegetettségkutatás és támadóvadászat után nem csak egy egyedi eszközt sikerült létrehoznunk, hanem a cégen belüli szakértők hozzáállását is sikerült megváltoztatnunk. Kezdetben a műszaki szakértők teljes ellenőrzést akarnak elérni a grafikonkészítési folyamat felett. Rendkívül nehéz volt meggyőzni őket arról, hogy az automatikus gráfkészítés ezt jobban meg tudja csinálni, mint egy sokéves tapasztalattal rendelkező személy. Mindent az idő és a grafikon által produkált eredmények többszöri „kézi” ellenőrzése döntött el. Szakértőink mostantól nemcsak megbíznak a rendszerben, hanem a kapott eredményeket mindennapi munkájuk során is felhasználják. Ez a technológia minden rendszerünkön belül működik, és lehetővé teszi számunkra, hogy jobban azonosítsuk bármilyen típusú fenyegetést. A manuális grafikonelemzés interfésze minden Group-IB termékbe be van építve, és jelentősen kibővíti a kiberbűnözés elleni küzdelem lehetőségeit. Ezt ügyfeleink elemzői értékelései is megerősítik. Mi pedig folytatjuk a grafikon adatokkal való gazdagítását, és mesterséges intelligencia segítségével új algoritmusokon dolgozunk, hogy a legpontosabb hálózati grafikont hozzuk létre.
Forrás: will.com