Հետաքննելով ֆիշինգի, բոտնետների, խարդախ գործարքների և հանցավոր հաքերային խմբերի հետ կապված դեպքերը՝ Group-IB փորձագետները երկար տարիներ օգտագործում են գրաֆիկական վերլուծություն՝ տարբեր տեսակի կապեր հայտնաբերելու համար: Տարբեր դեպքեր ունեն իրենց սեփական տվյալների հավաքածուները, կապերը նույնականացնելու իրենց ալգորիթմները և հատուկ առաջադրանքների համար հարմարեցված ինտերֆեյսներ: Այս բոլոր գործիքները ներքին մշակված էին Group-IB-ի կողմից և հասանելի էին միայն մեր աշխատակիցներին:
Ցանցային ենթակառուցվածքի գրաֆիկական վերլուծություն (ցանցային գրաֆիկ) դարձավ առաջին ներքին գործիքը, որը մենք ներդրեցինք ընկերության բոլոր հանրային արտադրանքներում: Նախքան մեր ցանցային գրաֆիկը ստեղծելը, մենք վերլուծեցինք շուկայում առկա բազմաթիվ նմանատիպ զարգացումներ և չգտանք մեր սեփական կարիքները բավարարող որևէ ապրանք: Այս հոդվածում մենք կխոսենք այն մասին, թե ինչպես ենք ստեղծել ցանցային գրաֆիկը, ինչպես ենք այն օգտագործում և ինչ դժվարությունների ենք հանդիպել։
Դմիտրի Վոլկով, CTO Group-IB և կիբեր հետախուզության ղեկավար
Ի՞նչ կարող է անել Group-IB ցանցի գրաֆիկը:
Հետաքննություններ
2003թ.-ին Group-IB-ի հիմնադրումից մինչ օրս կիբերհանցագործների բացահայտումը, դատապարտումը և պատասխանատվության ենթարկելը մեր աշխատանքի առաջնահերթությունն է: Կիբերհարձակման ոչ մի հետաքննություն չի ավարտվել առանց հարձակվողների ցանցային ենթակառուցվածքի վերլուծության: Մեր ճանապարհորդության հենց սկզբում բավականին տքնաջան «ձեռքի աշխատանք» էր՝ փնտրել հարաբերություններ, որոնք կարող էին օգնել հանցագործներին բացահայտելու հարցում. տեղեկություններ տիրույթի անունների, IP հասցեների, սերվերների թվային մատնահետքերի և այլնի մասին:
Հարձակվողներից շատերը փորձում են հնարավորինս անանուն գործել ցանցում: Այնուամենայնիվ, ինչպես բոլոր մարդիկ, նրանք էլ են սխալվում։ Նման վերլուծության հիմնական նպատակն է գտնել հարձակվողների «սպիտակ» կամ «մոխրագույն» պատմական նախագծերը, որոնք խաչմերուկներ ունեն մեր ուսումնասիրվող ընթացիկ միջադեպում օգտագործված վնասակար ենթակառուցվածքի հետ: Եթե հնարավոր է հայտնաբերել «սպիտակ նախագծեր», ապա հարձակվողին գտնելը, որպես կանոն, դառնում է չնչին խնդիր։ «Մոխրագույնների» դեպքում որոնումը ավելի շատ ժամանակ և ջանք է պահանջում, քանի որ դրանց տերերը փորձում են անանունացնել կամ թաքցնել գրանցման տվյալները, բայց հավանականությունը մնում է բավականին բարձր: Որպես կանոն, իրենց հանցավոր գործունեության սկզբում հարձակվողներն ավելի քիչ ուշադրություն են դարձնում սեփական անվտանգությանը և ավելի շատ սխալներ են թույլ տալիս, ուստի որքան խորանանք պատմության մեջ, այնքան մեծ կլինի հաջող հետաքննության հնարավորությունը: Այդ իսկ պատճառով լավ պատմություն ունեցող ցանցային գրաֆիկը նման հետազոտության չափազանց կարևոր տարր է։ Պարզ ասած, որքան խորը պատմական տվյալներ ունի ընկերությունը, այնքան ավելի լավ է նրա գրաֆիկը: Ասենք, որ 5 տարվա պատմությունը կարող է օգնել պայմանականորեն բացահայտել 1 հանցագործություններից 2-10-ը, իսկ 15 տարվա պատմությունը հնարավորություն է տալիս բացահայտել բոլոր տասը:
Ֆիշինգ և խարդախության հայտնաբերում
Ամեն անգամ, երբ մենք ստանում ենք կասկածելի հղում դեպի ֆիշինգ, խարդախ կամ ծովահենական ռեսուրս, մենք ավտոմատ կերպով կառուցում ենք հարակից ցանցային ռեսուրսների գրաֆիկը և ստուգում ենք բոլոր գտնված հոսթերները նմանատիպ բովանդակության համար: Սա թույլ է տալիս գտնել ինչպես հին ֆիշինգ կայքեր, որոնք ակտիվ էին, բայց անհայտ, այնպես էլ բոլորովին նորերը, որոնք պատրաստված են ապագա հարձակումների համար, բայց դեռ չեն օգտագործվում: Տարրական օրինակ, որը տեղի է ունենում բավականին հաճախ. մենք գտանք ֆիշինգ կայք սերվերի վրա, որն ունի ընդամենը 5 կայք: Նրանցից յուրաքանչյուրը ստուգելով՝ մենք այլ կայքերում գտնում ենք ֆիշինգի բովանդակություն, ինչը նշանակում է, որ մենք կարող ենք արգելափակել 5-ը՝ 1-ի փոխարեն:
Որոնեք հետին պլաններ
Այս գործընթացը անհրաժեշտ է որոշելու, թե որտեղ է իրականում գտնվում վնասակար սերվերը:
Քարտերի խանութների, հաքերների ֆորումների, բազմաթիվ ֆիշինգային ռեսուրսների և այլ վնասակար սերվերների 99%-ը թաքնված են ինչպես իրենց վստահված սերվերների, այնպես էլ օրինական ծառայությունների վստահված անձանց հետևում, օրինակ՝ Cloudflare-ի: Իրական backend-ի մասին իմացությունը շատ կարևոր է հետաքննության համար. հայտնի է դառնում հոսթինգ մատակարարը, որից կարելի է առգրավել սերվերը, և հնարավոր է դառնում կապեր հաստատել այլ վնասակար նախագծերի հետ:
Օրինակ, դուք ունեք ֆիշինգի կայք բանկային քարտի տվյալները հավաքելու համար, որը լուծում է IP հասցեն 11.11.11.11, և քարտի խանութի հասցե, որը լուծում է 22.22.22.22 IP հասցեին: Վերլուծության ընթացքում կարող է պարզվել, որ և՛ ֆիշինգի կայքը, և՛ քարտերի խանութը ունեն ընդհանուր ֆոնային IP հասցե, օրինակ՝ 33.33.33.33: Այս գիտելիքը թույլ է տալիս մեզ կապ հաստատել ֆիշինգային հարձակումների և քարտերի խանութի միջև, որտեղ կարող են վաճառվել բանկային քարտերի տվյալները:
Իրադարձությունների հարաբերակցությունը
Երբ դուք ունեք երկու տարբեր գործարկիչներ (ասենք IDS-ի վրա) տարբեր չարամիտ ծրագրերով և տարբեր սերվերներով՝ հարձակումը վերահսկելու համար, դուք դրանք կվերաբերվեք որպես երկու անկախ իրադարձությունների։ Բայց եթե լավ կապ կա վնասակար ենթակառուցվածքների միջև, ապա ակնհայտ է դառնում, որ դրանք տարբեր հարձակումներ չեն, այլ մեկ, ավելի բարդ բազմաստիճան հարձակման փուլեր։ Եվ եթե իրադարձություններից մեկն արդեն վերագրվում է հարձակվողների որևէ խմբի, ապա երկրորդը նույնպես կարող է վերագրվել նույն խմբին։ Իհարկե, վերագրման գործընթացը շատ ավելի բարդ է, ուստի վերաբերվեք դրան որպես պարզ օրինակի:
Ցուցանիշի հարստացում
Մենք սրան մեծ ուշադրություն չենք դարձնի, քանի որ սա կիբերանվտանգության մեջ գծապատկերներ օգտագործելու ամենատարածված սցենարն է՝ դուք տալիս եք մեկ ցուցիչ՝ որպես մուտքագրում, իսկ որպես ելք՝ ստանում եք հարակից ցուցանիշների զանգված:
Նախշերի նույնականացում
Կաղապարների նույնականացումը էական է արդյունավետ որսի համար: Գրաֆիկները թույլ են տալիս ոչ միայն գտնել հարակից տարրեր, այլ նաև բացահայտել ընդհանուր հատկությունները, որոնք բնորոշ են հաքերների որոշակի խմբին: Նման եզակի բնութագրերի իմացությունը թույլ է տալիս ճանաչել հարձակվողի ենթակառուցվածքը նույնիսկ նախապատրաստման փուլում և առանց հարձակումը հաստատող ապացույցների, ինչպիսիք են ֆիշինգային նամակները կամ չարամիտ ծրագրերը:
Ինչու՞ մենք ստեղծեցինք մեր սեփական ցանցային գրաֆիկը:
Կրկին, մենք դիտարկեցինք տարբեր վաճառողների լուծումները, նախքան եկանք այն եզրակացության, որ մենք պետք է մշակենք մեր սեփական գործիքը, որը կարող է անել մի բան, որը չի կարող անել ոչ մի գոյություն ունեցող ապրանք: Այն ստեղծելու համար պահանջվել է մի քանի տարի, որի ընթացքում մի քանի անգամ ամբողջությամբ փոխել ենք։ Բայց, չնայած զարգացման երկար ժամանակաշրջանին, մենք դեռ չենք գտել որևէ անալոգ, որը կբավարարի մեր պահանջները։ Օգտագործելով մեր սեփական արտադրանքը, մենք ի վերջո կարողացանք լուծել գրեթե բոլոր խնդիրները, որոնք հայտնաբերեցինք առկա ցանցային գրաֆիկներում: Ստորև մենք մանրամասնորեն կքննարկենք այս խնդիրները.
խնդիր
որոշում
Տվյալների տարբեր հավաքածուներով մատակարարի բացակայություն՝ տիրույթներ, պասիվ DNS, պասիվ SSL, DNS գրառումներ, բաց նավահանգիստներ, նավահանգիստների վրա գործարկվող ծառայություններ, դոմենների անունների և IP հասցեների հետ փոխազդող ֆայլեր: Բացատրություն. Սովորաբար, պրովայդերները տրամադրում են տվյալների առանձին տեսակներ, և ամբողջական պատկերը ստանալու համար անհրաժեշտ է բոլորից բաժանորդագրություններ գնել: Այնուամենայնիվ, միշտ չէ, որ հնարավոր է ստանալ բոլոր տվյալները. որոշ պասիվ SSL պրովայդերներ տվյալներ են տրամադրում միայն վստահելի CA-ների կողմից տրված վկայագրերի մասին, և նրանց կողմից ինքնաստորագրված վկայագրերի ծածկույթը չափազանց վատ է: Մյուսները նույնպես տրամադրում են տվյալներ՝ օգտագործելով ինքնաստորագրված վկայագրերը, բայց դրանք հավաքում են միայն ստանդարտ նավահանգիստներից:
Վերոնշյալ բոլոր հավաքածուները մենք ինքներս ենք հավաքել։ Օրինակ, SSL վկայագրերի մասին տվյալներ հավաքելու համար մենք գրել ենք մեր սեփական ծառայությունը, որը հավաքում է դրանք ինչպես վստահելի CA-ներից, այնպես էլ ամբողջ IPv4 տարածքի սկանավորման միջոցով: Հավաստագրերը հավաքվել են ոչ միայն IP-ից, այլ նաև մեր տվյալների բազայի բոլոր տիրույթներից և ենթադոմեյններից. եթե ունեք example.com տիրույթը և դրա ենթադոմեյնը: և նրանք բոլորը լուծում են IP 1.1.1.1, այնուհետև, երբ փորձում եք ստանալ SSL վկայագիր 443 նավահանգստից IP-ի, տիրույթի և դրա ենթադոմեյնի վրա, կարող եք ստանալ երեք տարբեր արդյունքներ: Բաց նավահանգիստների և գործարկվող ծառայությունների վերաբերյալ տվյալներ հավաքելու համար մենք պետք է ստեղծեինք մեր սեփական բաշխված սկանավորման համակարգը, քանի որ այլ ծառայություններ հաճախ իրենց սկանավորող սերվերների IP հասցեներն ունեին «սև ցուցակներում»: Մեր սկանավորող սերվերները նույնպես հայտնվում են սև ցուցակներում, սակայն մեզ անհրաժեշտ ծառայությունների հայտնաբերման արդյունքն ավելի բարձր է, քան նրանց, ովքեր պարզապես հնարավորինս շատ նավահանգիստներ են սկանավորում և վաճառում են այս տվյալների հասանելիությունը:
Պատմական գրառումների ամբողջ տվյալների բազայի հասանելիության բացակայություն: Բացատրություն. Յուրաքանչյուր նորմալ մատակարար ունի լավ կուտակված պատմություն, բայց բնական պատճառներով մենք, որպես հաճախորդ, չկարողացանք մուտք ունենալ բոլոր պատմական տվյալներին: Նրանք. Դուք կարող եք ստանալ մեկ գրառման ամբողջ պատմությունը, օրինակ, ըստ տիրույթի կամ IP հասցեի, բայց դուք չեք կարող տեսնել ամեն ինչի պատմությունը, և առանց դրա դուք չեք կարող տեսնել ամբողջական պատկերը:
Դոմենների վերաբերյալ որքան հնարավոր է շատ պատմական գրառումներ հավաքելու համար մենք գնեցինք տարբեր տվյալների բազաներ, վերլուծեցինք բազմաթիվ բաց ռեսուրսներ, որոնք ունեին այս պատմությունը (լավ է, որ դրանցից շատերը կային) և բանակցեցինք տիրույթի անունների գրանցողների հետ: Մեր սեփական հավաքածուների բոլոր թարմացումները, իհարկե, պահվում են ամբողջական վերանայման պատմությունով:
Բոլոր առկա լուծումները թույլ են տալիս ձեռքով կառուցել գրաֆիկ: Բացատրություն. Ենթադրենք, դուք շատ բաժանորդագրություններ եք գնել բոլոր հնարավոր տվյալների մատակարարներից (սովորաբար կոչվում են «հարստացնողներ»): Երբ դուք պետք է կառուցեք գրաֆիկ, դուք «ձեռքերով» հրաման եք տալիս կառուցել ցանկալի կապի տարրից, այնուհետև հայտնված տարրերից ընտրում եք անհրաժեշտները և տալիս եք դրանցից կապերը ավարտելու հրամանը և այլն: Այս դեպքում, պատասխանատվությունը այն բանի համար, թե որքան լավ է կառուցվելու գրաֆիկը, ամբողջությամբ պատկանում է անձի վրա:
Կատարեցինք գրաֆիկների ավտոմատ կառուցում։ Նրանք. եթե ձեզ անհրաժեշտ է գրաֆիկ կառուցել, ապա առաջին տարրից կապերը ստեղծվում են ավտոմատ կերպով, այնուհետև բոլոր հաջորդներից նույնպես: Մասնագետը նշում է միայն այն խորությունը, որով պետք է կառուցվի գրաֆիկը: Գրաֆիկները ավտոմատ կերպով լրացնելու գործընթացը պարզ է, բայց այլ վաճառողներ այն չեն իրականացնում, քանի որ այն բերում է հսկայական թվով անկապ արդյունքներ, և մենք նույնպես ստիպված էինք հաշվի առնել այս թերությունը (տես ստորև):
Շատ անհամապատասխան արդյունքներ խնդիր են ցանցի բոլոր տարրերի գրաֆիկների հետ: Բացատրություն. Օրինակ՝ «վատ տիրույթը» (հարձակմանը մասնակցել է) կապված է սերվերի հետ, որն ունի իր հետ կապված 10 այլ տիրույթ վերջին 500 տարիների ընթացքում։ Գրաֆիկ ձեռքով ավելացնելիս կամ ավտոմատ կերպով կառուցելիս այս բոլոր 500 տիրույթները նույնպես պետք է հայտնվեն գրաֆիկի վրա, թեև դրանք կապված չեն հարձակման հետ։ Կամ, օրինակ, դուք ստուգում եք IP ցուցիչը վաճառողի անվտանգության զեկույցից: Սովորաբար, նման հաշվետվությունները հրապարակվում են զգալի ուշացումով և հաճախ տևում են մեկ կամ ավելի տարի: Ամենայն հավանականությամբ, այն պահին, երբ դուք կարդում եք զեկույցը, այս IP հասցեով սերվերն արդեն վարձակալված է այլ կապեր ունեցող մարդկանց, և գրաֆիկ կառուցելը կրկին կհանգեցնի նրան, որ դուք կստանաք անհամապատասխան արդյունքներ:
Մենք ուսուցանել ենք համակարգին՝ բացահայտելու անհամապատասխան տարրերը՝ օգտագործելով նույն տրամաբանությունը, ինչ մեր փորձագետները ձեռքով: Օրինակ, դուք ստուգում եք մի վատ տիրույթ օրինակ.com, որն այժմ լուծում է IP 11.11.11.11, իսկ մեկ ամիս առաջ՝ IP 22.22.22.22: Բացի example.com տիրույթից, IP 11.11.11.11-ը նույնպես կապված է example.ru-ի հետ, իսկ IP 22.22.22.22-ը՝ 25 հազար այլ տիրույթների հետ։ Համակարգը, ինչպես մարդը, հասկանում է, որ 11.11.11.11-ը, ամենայն հավանականությամբ, նվիրված սերվեր է, և քանի որ example.ru տիրույթը ուղղագրությամբ նման է example.com-ին, ապա, մեծ հավանականությամբ, դրանք միացված են և պետք է լինեն ցանցում։ գրաֆիկ; բայց IP 22.22.22.22-ը պատկանում է համօգտագործվող հոսթինգին, ուստի դրա բոլոր տիրույթները պետք չէ ներառել գրաֆիկում, եթե չկան այլ կապեր, որոնք ցույց են տալիս, որ այս 25 հազար տիրույթներից մեկը նույնպես պետք է ներառվի (օրինակ, օրինակ. net) . Մինչ համակարգը կհասկանա, որ կապերը պետք է խզվեն, և որոշ տարրեր չտեղափոխվեն գրաֆիկ, այն հաշվի է առնում տարրերի և կլաստերների շատ հատկություններ, որոնցում միավորված են այդ տարրերը, ինչպես նաև ընթացիկ կապերի ուժը: Օրինակ, եթե գրաֆիկի վրա ունենք փոքր կլաստեր (50 տարր), որը ներառում է վատ տիրույթ, և մեկ այլ մեծ կլաստեր (5 հազար տարր), և երկու կլաստերները միացված են շատ ցածր ուժով (քաշ) միացումով (գծով) , ապա նման կապը կխզվի, և խոշոր կլաստերից տարրերը կհեռացվեն։ Բայց եթե փոքր և մեծ կլաստերների միջև շատ կապեր կան, և դրանց ուժն աստիճանաբար մեծանում է, ապա այս դեպքում կապը չի խզվի և երկու կլաստերներից անհրաժեշտ տարրերը կմնան գրաֆիկի վրա։
Սերվերի և տիրույթի սեփականության միջակայքը հաշվի չի առնվում: Բացատրություն. «Վատ տիրույթները» վաղ թե ուշ կսպառվեն և նորից գնվեն չարամիտ կամ օրինական նպատակներով: Նույնիսկ փամփուշտ հոսթինգ սերվերները վարձակալվում են տարբեր հաքերների, ուստի կարևոր է իմանալ և հաշվի առնել այն ընդմիջումը, երբ որոշակի տիրույթը/սերվերը գտնվում էր մեկ սեփականատիրոջ հսկողության տակ: Մենք հաճախ հանդիպում ենք մի իրավիճակի, երբ IP 11.11.11.11 սերվերն այժմ օգտագործվում է որպես C&C բանկային բոտի համար, իսկ 2 ամիս առաջ այն վերահսկվում էր Ransomware-ի կողմից։ Եթե մենք կապ կառուցենք առանց սեփականության ինտերվալները հաշվի առնելու, ապա կթվա, թե կապ կա բանկային բոտնետի տերերի և փրկագինի միջև, թեև իրականում չկա: Մեր աշխատանքում նման սխալը չափազանց կարևոր է:
Մենք համակարգին սովորեցրել ենք սեփականության միջակայքերը որոշել: Դոմեյնների համար սա համեմատաբար պարզ է, քանի որ whois-ը հաճախ պարունակում է գրանցման մեկնարկի և ժամկետի ավարտ, և երբ կա whois-ի փոփոխությունների ամբողջական պատմություն, հեշտ է որոշել միջակայքերը: Երբ տիրույթի գրանցման ժամկետը չի լրացել, բայց դրա կառավարումը փոխանցվել է այլ սեփականատերերի, այն կարող է նաև հետևվել: SSL սերտիֆիկատների համար նման խնդիր չկա, քանի որ դրանք տրվում են մեկ անգամ և չեն թարմացվում կամ փոխանցվում։ Բայց ինքնաստորագրված վկայագրերի դեպքում դուք չեք կարող վստահել վկայագրի վավերականության ժամկետում նշված ամսաթվերին, քանի որ այսօր կարող եք ստեղծել SSL վկայագիր և նշել վկայագրի մեկնարկի ամսաթիվը 2010 թվականից: Ամենադժվարը սերվերների համար սեփականության միջակայքերը որոշելն է, քանի որ միայն հոսթինգ պրովայդերներն ունեն ամսաթվեր և վարձակալության ժամկետներ։ Սերվերի սեփականության ժամկետը որոշելու համար մենք սկսեցինք օգտագործել նավահանգիստների սկանավորման և նավահանգիստների վրա աշխատող ծառայությունների մատնահետքերի ստեղծման արդյունքները: Օգտագործելով այս տեղեկատվությունը, մենք կարող ենք բավականին ճշգրիտ ասել, թե երբ է փոխվել սերվերի սեփականատերը:
Քիչ կապեր. Բացատրություն. Մեր օրերում նույնիսկ խնդիր չէ ստանալ տիրույթների անվճար ցուցակ, որոնց whois-ը պարունակում է կոնկրետ էլփոստի հասցե, կամ պարզել բոլոր այն տիրույթները, որոնք կապված են որոշակի IP հասցեի հետ: Բայց երբ խոսքը վերաբերում է հաքերներին, ովքեր անում են ամեն ինչ, որպեսզի դժվար լինի հետևել, մեզ անհրաժեշտ են լրացուցիչ հնարքներ՝ նոր հատկություններ գտնելու և նոր կապեր ստեղծելու համար:
Մենք շատ ժամանակ ծախսեցինք՝ ուսումնասիրելով, թե ինչպես կարող ենք սովորական եղանակով չհասանելի տվյալներ հանել: Մենք չենք կարող այստեղ նկարագրել, թե ինչպես է այն աշխատում հասկանալի պատճառներով, բայց որոշակի հանգամանքներում հաքերները, տիրույթներ գրանցելիս կամ վարձակալելիս և տեղադրելով սերվերներ, թույլ են տալիս սխալներ, որոնք թույլ են տալիս պարզել էլ. Որքան շատ կապեր եք հանում, այնքան ավելի ճշգրիտ գրաֆիկներ կարող եք կառուցել:
Ինչպես է աշխատում մեր գրաֆիկը
Ցանցի գրաֆիկն օգտագործելու համար հարկավոր է որոնման տողում մուտքագրել տիրույթը, IP հասցեն, էլ.փոստը կամ SSL վկայագրի մատնահետքը: Կան երեք պայմաններ, որոնք վերլուծաբանը կարող է վերահսկել՝ ժամանակ, քայլի խորություն և մաքրում:
Ժամանակ
Ժամ – ամսաթիվ կամ ընդմիջում, երբ որոնված տարրը օգտագործվել է վնասակար նպատակներով: Եթե դուք չնշեք այս պարամետրը, համակարգը ինքնին կորոշի այս ռեսուրսի սեփականության վերջին ինտերվալը: Օրինակ, հուլիսի 11-ին Eset-ը հրապարակեց այն մասին, թե ինչպես է Buhtrap-ն օգտագործում 0-օրյա շահագործումը կիբերլրտեսության համար: Զեկույցի վերջում կա 6 ցուցանիշ. Դրանցից մեկը՝ safe-telemetry[.]net-ը, վերագրանցվել է հուլիսի 16-ին։ Հետևաբար, եթե հուլիսի 16-ից հետո գրաֆիկ կառուցեք, անկապ արդյունքներ կստանաք։ Բայց եթե նշեք, որ այս տիրույթն օգտագործվել է այս ամսաթվից առաջ, ապա գրաֆիկը ներառում է 126 նոր տիրույթ, 69 IP հասցե, որոնք նշված չեն Eset զեկույցում.
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-world[.]info
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- եւ այլն:
Բացի ցանցի ցուցիչներից, մենք անմիջապես հայտնաբերում ենք կապեր վնասակար ֆայլերի հետ, որոնք կապեր են ունեցել այս ենթակառուցվածքի հետ և պիտակներ, որոնք մեզ ասում են, որ օգտագործվել են Meterpreter-ը և AZORult-ը:
Հիանալի բանն այն է, որ դուք ստանում եք այս արդյունքը մեկ վայրկյանում, և այլևս կարիք չկա օրեր ծախսել տվյալների վերլուծության վրա: Իհարկե, այս մոտեցումը երբեմն զգալիորեն նվազեցնում է հետաքննության ժամանակը, որը հաճախ կրիտիկական է:
Քայլերի քանակը կամ ռեկուրսիայի խորությունը, որով կկառուցվի գրաֆիկը
Լռելյայնորեն, խորությունը 3 է: Սա նշանակում է, որ բոլոր ուղղակիորեն կապված տարրերը կգտնվեն ցանկալի տարրից, այնուհետև նոր կապեր կստեղծվեն յուրաքանչյուր նոր տարրից մյուս տարրերին, և նոր տարրեր կստեղծվեն նոր տարրերից վերջինից: քայլ.
Վերցնենք մի օրինակ, որը կապված չէ APT-ի և 0-օրյա շահագործման հետ։ Վերջերս Habré-ում նկարագրվեց կրիպտոարժույթների հետ կապված խարդախության հետաքրքիր դեպք: Զեկույցում նշվում է themecx[.]co տիրույթը, որն օգտագործվում է խաբեբաների կողմից՝ հյուրընկալելու մի կայք, որը հավակնում է լինել Miner Coin Exchange և հեռախոսի որոնման[.]xyz՝ տրաֆիկ ներգրավելու համար:
Նկարագրությունից պարզ է դառնում, որ սխեման պահանջում է բավականին մեծ ենթակառուցվածք՝ խարդախ ռեսուրսների երթևեկությունը ներգրավելու համար: Մենք որոշեցինք դիտարկել այս ենթակառուցվածքը՝ կառուցելով գրաֆիկ 4 քայլով: Արդյունքը 230 տիրույթով և 39 IP հասցեներով գրաֆիկ էր: Այնուհետև մենք տիրույթները բաժանում ենք 2 կատեգորիայի՝ դրանք, որոնք նման են կրիպտոարժույթների հետ աշխատելու ծառայություններին, և դրանք, որոնք նախատեսված են հեռախոսի ստուգման ծառայությունների միջոցով երթևեկություն առաջացնելու համար.
Կրիպտոարժույթի հետ կապված
Կապված հեռախոսի դակիչ ծառայությունների հետ
դրամապետ[.]cc
caller-record[.]կայք.
mcxwallet[.]co
հեռախոսի ձայնագրություններ[.]տարածք
btcnoise[.]com
fone-բացահայտել[.]xyz
cryptominer[.]ժամացույց
համարը-բացահայտում[.]տեղեկատվություն
Մաքրում
Լռելյայնորեն, «Գրաֆիկի մաքրում» տարբերակը միացված է, և բոլոր անհամապատասխան տարրերը կհեռացվեն գրաֆիկից: Ի դեպ, այն օգտագործվել է բոլոր նախորդ օրինակներում։ Ես կանխատեսում եմ բնական հարց՝ ինչպե՞ս կարող ենք համոզվել, որ ինչ-որ կարևոր բան չջնջվի։ Ես կպատասխանեմ. վերլուծաբանների համար, ովքեր սիրում են գծապատկերներ կառուցել ձեռքով, ավտոմատ մաքրումը կարող է անջատվել, և քայլերի քանակը կարելի է ընտրել = 1: Այնուհետև վերլուծաբանը կկարողանա լրացնել գրաֆիկը իրեն անհրաժեշտ տարրերից և հեռացնել տարրերը: գրաֆիկը, որը կապ չունի առաջադրանքի հետ:
Արդեն գրաֆիկի վրա վերլուծաբանին հասանելի է դառնում whois-ի, DNS-ի, ինչպես նաև բաց պորտերի և դրանց վրա աշխատող ծառայությունների փոփոխությունների պատմությունը։
Ֆինանսական ֆիշինգ
Մենք ուսումնասիրել ենք մեկ APT խմբի գործունեությունը, որը մի քանի տարի շարունակ ֆիշինգային հարձակումներ է իրականացրել տարբեր տարածաշրջաններում տարբեր բանկերի հաճախորդների դեմ: Այս խմբի բնորոշ առանձնահատկությունն իրական բանկերի անուններին շատ նման դոմենների գրանցումն էր, և ֆիշինգ կայքերի մեծ մասն ունեին նույն ձևավորումը, տարբերությունը միայն բանկերի անունների և դրանց տարբերանշանների մեջ է:
Այս դեպքում մեզ շատ օգնեց ավտոմատացված գրաֆիկների վերլուծությունը։ Վերցնելով նրանց տիրույթներից մեկը՝ lloydsbnk-uk[.]com, մի քանի վայրկյանում մենք կառուցեցինք 3 քայլ խորությամբ գրաֆիկ, որը բացահայտեց ավելի քան 250 վնասակար տիրույթ, որոնք օգտագործվել են այս խմբի կողմից 2015 թվականից ի վեր և շարունակում են օգտագործվել։ . Այս տիրույթներից մի քանիսն արդեն գնվել են բանկերի կողմից, սակայն պատմական գրառումները ցույց են տալիս, որ դրանք նախկինում գրանցված են եղել հարձակվողների համար:
Պարզության համար նկարը ցույց է տալիս 2 քայլ խորությամբ գրաֆիկ:
Հատկանշական է, որ արդեն 2019 թվականին հարձակվողները որոշակիորեն փոխել են իրենց մարտավարությունը և սկսել են գրանցել ոչ միայն բանկերի տիրույթները՝ վեբ ֆիշինգ հոսթինգի համար, այլ նաև տարբեր խորհրդատվական ընկերությունների՝ ֆիշինգ նամակներ ուղարկելու համար։ Օրինակ՝ swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com տիրույթները։
Կոբալտի բանդա
2018 թվականի դեկտեմբերին «Կոբալտ» հաքերային խումբը, որը մասնագիտացած է բանկերի վրա թիրախավորված հարձակումների մեջ, Ղազախստանի Ազգային բանկի անունից փոստային արշավ է ուղարկել:
Նամակները պարունակում էին հղումներ դեպի hXXps://nationalbank.bz/Doc/Prikaz.doc: Ներբեռնված փաստաթուղթը պարունակում էր մակրո, որը գործարկեց Powershell-ը, որը կփորձեր բեռնել և գործարկել ֆայլը hXXp://wateroilclub.com/file/dwm.exe-ից %Temp%einmrmdmy.exe-ում: %Temp%einmrmdmy.exe ֆայլը, որը կոչվում է dwm.exe, CobInt փուլային սարք է, որը կազմաձևված է hXXp://admvmsopp.com/rilruietguadvtoefmuy սերվերի հետ փոխազդելու համար:
Պատկերացրեք, որ չկարողանաք ստանալ այս ֆիշինգ նամակները և կատարել վնասակար ֆայլերի ամբողջական վերլուծություն: Վնասակար տիրույթի Nationalbank[.]bz գրաֆիկը անմիջապես ցույց է տալիս կապերը այլ վնասակար տիրույթների հետ, այն վերագրում է խմբին և ցույց է տալիս, թե որ ֆայլերն են օգտագործվել հարձակման ժամանակ:
Եկեք այս գրաֆիկից վերցնենք 46.173.219[.]152 IP հասցեն և մեկ անցումով կառուցենք դրանից գրաֆիկ և անջատենք մաքրումը: Դրա հետ կապված 40 տիրույթ կա, օրինակ՝ bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Դատելով դոմենների անուններից՝ թվում է, որ դրանք օգտագործվում են խարդախ սխեմաներում, սակայն մաքրման ալգորիթմը հասկացավ, որ դրանք կապված չեն այս հարձակման հետ և չդրեց դրանք գրաֆիկի վրա, ինչը մեծապես հեշտացնում է վերլուծության և վերագրման գործընթացը։
Եթե դուք վերակառուցեք գրաֆիկը՝ օգտագործելով Nationalbank[.]bz-ը, բայց անջատեք գրաֆիկի մաքրման ալգորիթմը, ապա այն կպարունակի ավելի քան 500 տարր, որոնց մեծ մասը կապ չունի Cobalt խմբի կամ նրանց հարձակումների հետ: Նման գրաֆիկի տեսքի օրինակը տրված է ստորև.
Ամփոփում
Մի քանի տարվա լավ թյունինգից, իրական հետաքննություններում փորձարկումներից հետո, սպառնալիքների ուսումնասիրությունից և հարձակվողների որսից հետո մեզ հաջողվեց ոչ միայն ստեղծել յուրահատուկ գործիք, այլև փոխել ընկերության փորձագետների վերաբերմունքը դրա նկատմամբ: Սկզբում տեխնիկական փորձագետները ցանկանում են ամբողջական վերահսկողություն ունենալ գրաֆիկի կառուցման գործընթացի վրա: Նրանց համոզելը, որ գրաֆիկի ավտոմատ կառուցումը կարող է դա անել ավելի լավ, քան երկար տարիների փորձ ունեցող մարդը, չափազանց դժվար էր: Ամեն ինչ որոշվեց ժամանակի և գրաֆիկի ստացած արդյունքների բազմաթիվ «ձեռքով» ստուգումների միջոցով: Այժմ մեր մասնագետները ոչ միայն վստահում են համակարգին, այլև դրա ստացած արդյունքներն օգտագործում են իրենց ամենօրյա աշխատանքում։ Այս տեխնոլոգիան աշխատում է մեր յուրաքանչյուր համակարգի ներսում և թույլ է տալիս մեզ ավելի լավ բացահայտել ցանկացած տեսակի սպառնալիքները: Գրաֆիկների ձեռքով վերլուծության ինտերֆեյսը ներկառուցված է Group-IB-ի բոլոր արտադրանքներում և զգալիորեն ընդլայնում է կիբերհանցագործությունների որսի հնարավորությունները: Սա հաստատվում է մեր հաճախորդների վերլուծաբանների ակնարկներով: Եվ մենք, իր հերթին, շարունակում ենք հարստացնել գրաֆիկը տվյալների հետ և աշխատել նոր ալգորիթմների վրա՝ օգտագործելով արհեստական ինտելեկտը՝ ամենաճիշտ ցանցային գրաֆիկը ստեղծելու համար:
Source: www.habr.com