Na-enyocha ikpe metụtara phishing, botnets, azụmahịa aghụghọ na ndị omempụ ndị omempụ, ndị ọkachamara Group-IB na-eji nyocha eserese ruo ọtụtụ afọ iji chọpụta ụdị njikọ dị iche iche. Okwu ikpe dị iche iche nwere usoro data nke ha, algọridim nke ha maka ịchọpụta njikọ, yana oghere ahaziri maka ọrụ ụfọdụ. Ndị otu-IB mepụtara ngwa ọrụ ndị a niile ma dị naanị ndị ọrụ anyị.
Nyocha eserese nke akụrụngwa netwọkụ (eserese netwọkụ) ghọrọ ngwá ọrụ ime ụlọ mbụ anyị wuru n'ime ngwaahịa ọha na eze nke ụlọ ọrụ ahụ. Tupu ịmepụta eserese netwọkụ anyị, anyị nyochara ọtụtụ mmepe yiri nke ahụ na ahịa ma ahụghị otu ngwaahịa nke na-egbo mkpa nke anyị. N'isiokwu a, anyị ga-ekwu maka otu anyị si mepụta eserese netwọkụ, otu anyị si eji ya na ihe isi ike ndị anyị zutere.
Dmitry Volkov, CTO Group-IB na onye isi nke ọgụgụ isi cyber
Kedu ihe eserese netwọk Group-IB nwere ike ime?
Nnyocha
Kemgbe e guzobere Group-IB na 2003 ruo ugbu a, ịchọpụta, deanoning na iweta ndị omempụ cyber na ikpe ziri ezi bụ ihe kacha mkpa na ọrụ anyị. Ọnweghị otu nyocha cyberattack zuru ezu na-enyochaghị akụrụngwa netwọkụ nke ndị mwakpo ahụ. Na mmalite nke njem anyị, ọ bụ "ọrụ ntuziaka" na-egbu mgbu iji chọọ mmekọrịta ndị nwere ike inye aka n'ịchọpụta ndị omempụ: ozi gbasara aha ngalaba, adreesị IP, akara mkpịsị aka dijitalụ nke sava, wdg.
Ọtụtụ ndị mwakpo na-anwa ime ihe n'amaghị aha dịka enwere ike na netwọkụ. Otú ọ dị, dị ka mmadụ nile, ha na-emehie ihe. Ebumnuche bụ isi nke nyocha dị otú ahụ bụ ịchọta ọrụ akụkọ ihe mere eme nke "ọcha" ma ọ bụ "isi awọ" nke ndị na-awakpo nwere njikọ na akụrụngwa ọjọọ ejiri mee ihe n'oge ugbu a nke anyị na-enyocha. Ọ bụrụ na ọ ga-ekwe omume ịchọta "ọrụ ọcha", mgbe ahụ ịchọta onye na-awakpo ahụ, dịka iwu, na-aghọ ọrụ na-adịghị mkpa. N'ihe banyere ndị "isi awọ", ọchụchọ ahụ na-ewekwu oge na mgbalị, ebe ndị nwe ha na-agbalị ịza aha ma ọ bụ zoo data ndebanye aha, ma ohere ahụ ka dị elu. Dị ka a na-achị, na mmalite nke omume mpụ ha, ndị na-awakpo anaghị elebara nchekwa nke onwe ha anya ma na-emehie ihe karị, ya mere ka anyị nwee ike ịbanye n'ime akụkọ ahụ, na-eme ka ohere nke nyocha nke ọma. Ya mere eserese netwọkụ nwere ezigbo akụkọ ihe mere eme bụ ihe dị oke mkpa na nyocha dị otú ahụ. N'ikwu ya n'ụzọ dị mfe, nnukwu data akụkọ ihe mere eme nke ụlọ ọrụ nwere, ka eserese ya ka mma. Ka anyị kwuo na akụkọ ihe mere eme nke afọ 5 nwere ike inye aka dozie, na ọnọdụ, 1-2 n'ime mpụ 10, na akụkọ ihe mere eme nke afọ 15 na-enye ohere iji dozie iri niile.
Nchọpụta phishing na aghụghọ
Oge ọ bụla anyị nwetara njikọ enyo na phishing, aghụghọ ma ọ bụ akụrụngwa pirated, anyị na-arụpụta eserese nke akụrụngwa netwọkụ metụtara ozugbo wee lelee ndị ọbịa niile achọtara maka ọdịnaya yiri ya. Nke a na-enye gị ohere ịchọta saịtị phishing ochie nke na-arụ ọrụ mana amabeghị, yana ndị ọhụrụ akwadoro maka mwakpo n'ọdịnihu mana ejibeghị ya. Ihe atụ mbụ nke na-emekarị: anyị hụrụ saịtị phishing na sava nwere naanị saịtị 5. Site na ịlele nke ọ bụla n'ime ha, anyị na-ahụ ọdịnaya phishing na saịtị ndị ọzọ, nke pụtara na anyị nwere ike igbochi 5 kama 1.
Chọọ azụ azụ
Usoro a dị mkpa iji chọpụta ebe ihe nkesa ọjọọ bi n'ezie.
99% nke ụlọ ahịa kaadị, forums hacker, ọtụtụ akụrụngwa phishing na sava ọjọọ ndị ọzọ zoro ezo n'azụ ma sava proxy nke ha yana proxies nke ọrụ ziri ezi, dịka ọmụmaatụ, Cloudflare. Ihe ọmụma banyere ezigbo azụ azụ dị ezigbo mkpa maka nyocha: onye na-eweta ụlọ ọrụ nke nwere ike ijide ihe nkesa ahụ na-amata, ọ ga-ekwe omume ịmepụta njikọ na ọrụ ọjọọ ndị ọzọ.
Dịka ọmụmaatụ, ị nwere saịtị phishing maka ịnakọta data kaadị akụ na-ekpebi na adreesị IP 11.11.11.11, yana adreesị kaadị kaadị na-edozi na adreesị IP 22.22.22.22. N'oge nyocha ahụ, ọ nwere ike pụta na ma saịtị phishing na kaadị kaadị nwere adreesị IP azụ azụ, dịka ọmụmaatụ, 33.33.33.33. Ihe ọmụma a na-enye anyị ohere ịmepụta njikọ n'etiti mwakpo phishing na ụlọ ahịa kaadị ebe enwere ike ree data kaadị ụlọ akụ.
Mmekọrịta omume
Mgbe ị nwere ihe mkpali abụọ dị iche iche (ka anyị kwuo na IDS) nwere malware dị iche iche yana sava dị iche iche iji jikwaa ọgụ a, ị ga-ewere ha dị ka mmemme abụọ nọọrọ onwe ha. Ma ọ bụrụ na enwere njikọ dị mma n'etiti akụrụngwa obi ọjọọ, mgbe ahụ, ọ ga-edo anya na ndị a abụghị ọgụ dị iche iche, kama nkebi nke otu, mgbagwoju anya multi-ogbo ọgụ. Ma ọ bụrụ na otu n'ime ihe omume ahụ ekwupụtalarị na ndị otu ọ bụla na-awakpo, mgbe ahụ, nke abụọ nwekwara ike ịsị na otu ìgwè. N'ezie, usoro njirimara dị mgbagwoju anya karị, ya mere were nke a dị ka ihe atụ dị mfe.
Nkwalite ihe ngosi
Anyị agaghị etinye uche nke ukwuu na nke a, ebe ọ bụ na nke a bụ ọnọdụ kachasị emekarị maka iji eserese na cybersecurity: ị na-enye otu ihe ngosi dị ka ntinye, yana dịka mmepụta ị ga-enweta ọtụtụ ihe ngosi metụtara ya.
Ịmata ụkpụrụ
Ịmata ụkpụrụ dị mkpa maka ịchụ nta dị irè. Eserese na-enye gị ohere ọ bụghị naanị ịchọta ihe ndị metụtara ya, kamakwa iji chọpụta ihe ndị a na-ahụkarị nke bụ njirimara nke otu ìgwè ndị hackers. Ịmata njirimara pụrụ iche dị otú ahụ na-enye gị ohere ịmata akụrụngwa nke onye na-awakpo ọbụna n'oge nkwadebe na-enweghị ihe akaebe na-akwado ọgụ ahụ, dị ka ozi-e phishing ma ọ bụ malware.
Gịnị kpatara anyị ji mepụta eserese netwọkụ nke anyị?
Ọzọ, anyị lere anya ngwọta sitere n'aka ndị na-ere ahịa dị iche iche tupu anyị abịa ná nkwubi okwu na anyị kwesịrị ịmepụta ngwá ọrụ nke anyị nwere ike ime ihe ọ bụla ngwaahịa dị adị nwere ike ime. O were ọtụtụ afọ iji mepụta ya, n'ime nke anyị gbanwere kpamkpam ọtụtụ ugboro. Mana, n'agbanyeghị ogologo oge mmepe, anyị ahụbeghị otu analog nke ga-egbo ihe anyị chọrọ. Iji ngwaahịa nke anyị, anyị mechara nwee ike dozie ihe fọrọ nke nta ka ọ bụrụ nsogbu niile anyị chọpụtara na eserese netwọkụ dị ugbu a. N'okpuru ebe a, anyị ga-atụle nsogbu ndị a n'ụzọ zuru ezu:
nsogbu
mkpebi
Enweghị onye na-enye ndị nwere nchịkọta data dị iche iche: ngalaba, DNS na-agafe agafe, SSL na-agafe agafe, ndekọ DNS, ọdụ ụgbọ mmiri na-emeghe, ọrụ na-agba ọsọ na ọdụ ụgbọ mmiri, faịlụ na-emekọrịta na aha ngalaba na adreesị IP. Nkọwa. Dịka, ndị na-enye ọrụ na-enye ụdị data dị iche iche, yana iji nweta foto zuru ezu, ịkwesịrị ịzụta ndenye aha n'aka onye ọ bụla. N'agbanyeghị nke a, ọ bụghị mgbe niile ka ọ ga-ekwe omume ịnweta data niile: ụfọdụ ndị na-enye SSL na-agafe agafe na-enye data naanị maka asambodo ndị CA tụkwasịrị obi nyere, na mkpuchi ha nke asambodo ndị binyere aka n'aka onwe ha dị oke njọ. Ndị ọzọ na-enyekwa data site na iji asambodo ejiri aka ha bịanyere aka na ya, mana nakọta ya naanị site na ọdụ ụgbọ mmiri ọkọlọtọ.
Anyị chịkọtara mkpokọta niile dị n'elu n'onwe anyị. Dịka ọmụmaatụ, iji nakọta data gbasara asambodo SSL, anyị dere ọrụ nke anyị na-anakọta ha abụọ site na CA ndị tụkwasịrị obi yana site na inyocha oghere IPv4 niile. Anakọtara asambodo ọ bụghị naanị site na IP, kamakwa site na ngalaba na subdomains niile sitere na nchekwa data anyị: ọ bụrụ na ị nwere ngalaba example.com na subdomain ya. na ha niile kpebiri na IP 1.1.1.1, mgbe ahụ mgbe ị na-agbalị ịnweta SSL akwụkwọ si n'ọdụ ụgbọ mmiri 443 na IP, ngalaba na subdomain, ị nwere ike nweta atọ dị iche iche pụta. Iji nakọta data na ọdụ ụgbọ mmiri mepere emepe na ọrụ na-agba ọsọ, anyị ga-emepụta sistemụ nyocha nkesa nkesa, n'ihi na ọrụ ndị ọzọ na-enwekarị adreesị IP nke sava nyocha ha na “ndepụta ojii.” Sava nyocha anyị na-ejedebe na blacklists, mana nsonaazụ nke ịchọpụta ọrụ anyị chọrọ dị elu karịa nke ndị na-enyocha ọtụtụ ọdụ ụgbọ mmiri dị ka o kwere mee ma na-ere ohere ịnweta data a.
Enweghị ohere ịnweta nchekwa data niile nke ndekọ akụkọ ihe mere eme. Nkọwa. Onye ọ bụla na-ebubata ngwaahịa nwere ezigbo akụkọ ihe mere eme, mana maka ebumnuche okike anyị, dịka onye ahịa, enweghị ike ịnweta data akụkọ ihe mere eme niile. Ndị ahụ. Ị nwere ike nweta akụkọ ihe mere eme dum maka otu ndekọ, dịka ọmụmaatụ, site na ngalaba ma ọ bụ adreesị IP, mana ị nweghị ike ịhụ akụkọ ihe mere eme nke ihe niile - na-enweghị nke a, ị gaghị ahụ foto zuru ezu.
Iji nakọta ọtụtụ ihe ndekọ akụkọ ihe mere eme na ngalaba dị ka o kwere mee, anyị zụtara ọdụ data dị iche iche, na-atụgharị ọtụtụ ihe ndị mepere emepe nke nwere akụkọ ihe mere eme a (ọ dị mma na e nwere ọtụtụ n'ime ha), ma kwurịta ya na ndị na-edeba aha aha ngalaba. A na-edobe mmelite niile na mkpokọta nke anyị na akụkọ nlegharị anya zuru oke.
Ihe ngwọta niile dị na-enye gị ohere iji aka wuo eserese. Nkọwa. Ka anyị kwuo na ị zụtara ọtụtụ ndenye aha n'aka ndị na-eweta data niile nwere ike ime (a na-akpọkarị "ndị na-emewanye ihe"). Mgbe ịchọrọ ịmepụta eserese, ị "aka" na-enye iwu iji wuo site na njikọ njikọ achọrọ, wee họrọ ndị dị mkpa site na ihe ndị na-apụta ma nye iwu iji mezue njikọ site na ha, na ihe ndị ọzọ. N'okwu a, ọrụ maka etu a ga-esi rụọ eserese ahụ nke ọma dabere kpamkpam na onye ahụ.
Anyị mere eserese na-akpaghị aka. Ndị ahụ. Ọ bụrụ na ịchọrọ ịmepụta eserese, mgbe ahụ, a na-ewu njikọ sitere na nke mbụ na-akpaghị aka, mgbe ahụ site na ihe niile na-esote, kwa. Ọkachamara ahụ na-egosi naanị omimi nke achọrọ iji wuo eserese ahụ. Usoro nke ịmecha eserese na-akpaghị aka dị mfe, mana ndị na-ere ahịa ndị ọzọ anaghị eme ya n'ihi na ọ na-emepụta ọnụ ọgụgụ dị ukwuu nke nsonaazụ na-adịghị mkpa, anyị kwesịkwara iburu n'uche ihe ndọghachi azụ a (lee n'okpuru).
Ọtụtụ nsonaazụ na-adịghị mkpa bụ nsogbu na eserese mmewere netwọkụ niile. Nkọwa. Dịka ọmụmaatụ, "ngalaba ọjọọ" (na-ekere òkè na mbuso agha) jikọtara ya na ihe nkesa nwere 10 ngalaba ndị ọzọ metụtara ya n'ime afọ 500 gara aga. Mgbe iji aka na-agbakwunye ma ọ bụ na-arụ ọrụ eserese na-akpaghị aka, ngalaba 500 ndị a niile kwesịkwara ịpụta na eserese ahụ, n'agbanyeghị na ha emetụtaghị ọgụ ahụ. Ma ọ bụ, dịka ọmụmaatụ, ị na-elele ihe ngosi IP site na mkpesa nchekwa nke onye na-ere ahịa. Dị ka ọ na-adịkarị, a na-ewepụta akụkọ ndị dị otú ahụ na ogologo oge na-ewekarị otu afọ ma ọ bụ karịa. O yikarịrị, n'oge ị na-agụ akụkọ ahụ, a na-akwụ ụgwọ ihe nkesa nwere adreesị IP a nye ndị ọzọ nwere njikọ ndị ọzọ, na ịmepụta eserese ga-eme ka ị nweta nsonaazụ na-adịghị mkpa.
Anyị zụrụ usoro iji chọpụta ihe ndị na-adịghị mkpa na-eji otu mgbagha ahụ ndị ọkachamara anyị ji aka mee. Dịka ọmụmaatụ, ị na-elele ngalaba ọjọọ example.com, nke na-ekpebi IP 11.11.11.11 na otu ọnwa gara aga - na IP 22.22.22.22. Na mgbakwunye na ngalaba example.com, IP 11.11.11.11 na-ejikọta ya na example.ru, na IP 22.22.22.22 jikọtara ya na 25 puku ngalaba ndị ọzọ. Usoro ahụ, dị ka mmadụ, ghọtara na 11.11.11.11 yikarịrị ka ọ bụ ihe nkesa raara onwe ya nye, na ebe ọ bụ na ngalaba example.ru yiri nke a na-asụpe okwu na example.com, mgbe ahụ, na-enwe ike dị elu, ha jikọtara ya na kwesịrị ịdị na ya. eserese; ma IP 22.22.22.22 bụ nke òkè Bochum, yabụ na ngalaba ya niile adịghị mkpa ka etinye ya na eserese ahụ ma ọ bụrụ na enwere njikọ ndị ọzọ na-egosi na otu n'ime ngalaba 25 puku ndị a kwesịkwara ịgụnye (dịka ọmụmaatụ, example.net) . Tupu usoro ahụ aghọta na njikọ dị mkpa ka agbajikwa na ụfọdụ ihe adịghị ebugharị na eserese ahụ, ọ na-eburu n'uche ọtụtụ ihe onwunwe nke ihe na ụyọkọ nke ihe ndị a na-ejikọta, yana ike nke njikọ dị ugbu a. Dịka ọmụmaatụ, ọ bụrụ na anyị nwere obere ụyọkọ (ihe 50) na eserese, nke na-agụnye ngalaba ọjọọ, na nnukwu ụyọkọ ọzọ (5 puku ihe) na ụyọkọ abụọ ahụ jikọtara ya na njikọ (akara) nwere ike dị ala (ibu). , mgbe ahụ, njikọ dị otú ahụ ga-agbaji ma wepụ ihe ndị sitere na nnukwu ụyọkọ ahụ. Ma ọ bụrụ na enwere ọtụtụ njikọ n'etiti obere na nnukwu ụyọkọ na ike ha ji nwayọọ nwayọọ na-abawanye, mgbe ahụ na nke a, njikọ ahụ agaghị agbaji ma ihe ndị dị mkpa sitere na ụyọkọ abụọ ahụ ga-anọgide na eserese.
A naghị eburu ihe nkesa na oge nwe ngalaba n'uche. Nkọwa. "Ngalaba ọjọọ" ga-eme ngwa ngwa ma ọ bụ mechaa kubie ume ma zụta ya ọzọ maka ebumnuche ọjọọ ma ọ bụ nke ziri ezi. A na-agbazinye ọbụna sava nnabata mgbọ maka ndị ọchụnta ego dị iche iche, yabụ ọ dị oke mkpa ịmara na iburu n'uche oge ahụ mgbe otu ngalaba/ nkesa nọ n'okpuru njikwa nke otu onye nwe ya. Anyị na-ezutekarị ọnọdụ ebe a na-eji ihe nkesa nwere IP 11.11.11.11 dị ka C & C maka bot ụlọ akụ, na ọnwa 2 gara aga, Ransomware na-achịkwa ya. Ọ bụrụ na anyị na-ewu njikọ na-enweghị na-eburu n'uche oge nke nwe, ọ ga-adị ka enwere njikọ n'etiti ndị nwe ụlọ akụ botnet na ransomware, ọ bụ ezie na n'ezie ọ dịghị. N'ọrụ anyị, njehie dị otú ahụ dị oke egwu.
Anyị kuziri usoro iji chọpụta oge nke onye nwe. Maka ngalaba nke a dị mfe, n'ihi na whois na-enwekarị mmalite ndebanye aha na ụbọchị njedebe na, mgbe enwere akụkọ zuru oke nke mgbanwe whois, ọ dị mfe ikpebi oge. Mgbe ndebanye aha ngalaba agwụbeghị, mana ebufela njikwa ya n'aka ndị nwe ndị ọzọ, enwere ike soro ya. Enweghị nsogbu dị otú ahụ maka asambodo SSL, n'ihi na a na-enye ha otu ugboro na anaghị emeghari ma ọ bụ bufee ya. Mana site na asambodo ejiri aka gị bịanye aka na ya, ị nweghị ike ịtụkwasị obi ụbọchị ndị akọwapụtara na oge nkwado nke asambodo ahụ, n'ihi na ị nwere ike wepụta asambodo SSL taa, wee kọwapụta ụbọchị mbido akwụkwọ ahụ site na 2010. Ihe kachasị sie ike bụ ikpebi oge ikike nke sava, n'ihi na ọ bụ naanị ndị na-eweta nnabata nwere ụbọchị na oge mgbazinye. Iji chọpụta oge nwe ihe nkesa, anyị malitere iji nsonaazụ nyocha ọdụ ụgbọ mmiri na ịmepụta akara mkpịsị aka nke ọrụ na-agba ọsọ na ọdụ ụgbọ mmiri. Iji ozi a, anyị nwere ike ikwu n'ụzọ ziri ezi mgbe onye nwe ihe nkesa gbanwere.
Njikọ ole na ole. Nkọwa. N'oge a, ọ bụghịdị nsogbu ịnweta ndepụta ngalaba n'efu nke whois nwere adreesị ozi-e akọwapụtara, ma ọ bụ ịchọpụta ngalaba niile ejikọtara na adreesị IP akọwapụtara. Mana a bịa n'ihe gbasara ndị hackers na-eme ike ha niile ka ha sie ike soro, anyị chọrọ aghụghọ ọzọ iji chọta akụrụngwa ọhụrụ wee wuo njikọ ọhụrụ.
Anyị nọrọ ọtụtụ oge nyocha ka anyị ga-esi wepụta data na-adịghị adị n'ụzọ nkịtị. Anyị enweghị ike ịkọwa ebe a ka o si arụ ọrụ maka ihe doro anya, mana n'ọnọdụ ụfọdụ, ndị na-agba ọsọ, mgbe ị na-edebanye aha ngalaba ma ọ bụ ịgbazinye ego na ịtọlite sava, na-emehie ihe na-enye ha ohere ịchọpụta adreesị ozi-e, aliases hacker, na adreesị azụ azụ. Ka ị na-ewepụtakwu njikọ, ka ị nwere ike wulite eserese ndị ziri ezi karị.
Ka eserese anyị si arụ ọrụ
Iji malite iji eserese netwọkụ, ịkwesịrị ịbanye ngalaba, adreesị IP, email, ma ọ bụ akara mkpịsị aka akwụkwọ SSL n'ime mmanya ọchụchọ. Enwere ọnọdụ atọ onye nyocha nwere ike ịchịkwa: oge, omimi nzọụkwụ, na ikpochapụ.
Время
Oge - ụbọchị ma ọ bụ etiti oge ejiri ihe achọrọ maka ebumnuche ọjọọ. Ọ bụrụ na ị kọwapụtaghị oke a, sistemụ n'onwe ya ga-ekpebi oge nwe ikpeazụ maka akụrụngwa a. Dịka ọmụmaatụ, na Julaị 11, Eset bipụtara banyere ka Buhtrap si eji ụbọchị 0 eme ihe maka nledo cyber. Enwere ihe ngosi 6 na njedebe nke akụkọ ahụ. Otu n'ime ha, safe-telemetry[.]net, ka edegharịrị aha na Julaị 16. Ya mere, ọ bụrụ na ị wulite eserese ka Julaị 16 gachara, ị ga-enweta nsonaazụ na-adịghị mkpa. Mana ọ bụrụ na igosi na ejiri ngalaba a tupu ụbọchị a, eserese ahụ gụnyere ngalaba ọhụrụ 126, adreesị IP 69 na-edeghị na akụkọ Eset:
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-world[.] ozi
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.] ama
- rian-ua[.] netwọk
- na ndị ọzọ.
Na mgbakwunye na ihe ngosi netwọkụ, anyị na-ahụ ozugbo njikọ na faịlụ ọjọọ nwere njikọ na akụrụngwa a yana mkpado na-agwa anyị na ejiri Meterpreter na AZORult mee ihe.
Ihe ukwu bụ na ị nwetara nsonaazụ a n'ime otu sekọnd ma ọ dịghịkwa mkpa ka ị nọrọ ụbọchị nyocha data ahụ. N'ezie, ụzọ a mgbe ụfọdụ na-ebelata oge nyocha nke ukwuu, nke na-adịkarị mkpa.
Ọnụọgụ nke usoro ma ọ bụ omimi nlọghachi nke a ga-eji wuo eserese ahụ
Site na ndabara, omimi bụ 3. Nke a pụtara na a ga-achọta ihe niile metụtara ya site na ihe achọrọ, mgbe ahụ, a ga-ewu njikọ ọhụrụ site na ihe ọhụrụ ọ bụla na ihe ndị ọzọ, a ga-emepụta ihe ọhụrụ site na ihe ọhụrụ site na nke ikpeazụ. nzọụkwụ.
Ka anyị were ihe atụ na-emetụtaghị APT na nrigbu ụbọchị 0. N'oge na-adịbeghị anya, a kọwara okwu na-adọrọ mmasị nke aghụghọ metụtara cryptocurrencies na Habré. Akụkọ ahụ kwuru na ngalaba themcx[.]co, nke ndị scammers na-eji na-akwado webụsaịtị nke na-ekwu na ọ bụ mgbanwe ego Miner na ịchọ ekwentị[.]xyz iji dọta okporo ụzọ.
O doro anya na nkọwa ahụ na atụmatụ ahụ chọrọ nnukwu akụrụngwa iji dọta okporo ụzọ gaa na akụrụngwa aghụghọ. Anyị kpebiri ileba anya na akụrụngwa a site na ịmepụta eserese na 4 nzọụkwụ. Nsonaazụ a bụ eserese nwere ngalaba 230 yana adreesị IP 39. Na-esote, anyị na-ekewa ngalaba n'ime ụzọ abụọ: ndị yiri ọrụ maka ịrụ ọrụ na cryptocurrencies na ndị e bu n'obi ịkwaga okporo ụzọ site na ọrụ nkwenye ekwentị:
Ejikọtara na cryptocurrency
Ejikọtara ya na ọrụ ịkụ ọkpọ ekwentị
onye na-akpa ego[.]cc
ndekọ oku [.] saịtị.
mcxwallet[.]co
ndekọ ekwentị[.] oghere
btcnoise[.]com
fone-uncover[.]xyz
cryptominer[.] nche
nọmba-kpughee[.] ozi
Nhicha
Site na ndabara, agbanyere nhọrọ “Nhicha eserese” na a ga-ewepụ ihe niile na-adịghị mkpa na eserese ahụ. Site n'ụzọ, a na-eji ya na ihe atụ niile gara aga. M na-ahụ a eke ajụjụ: kedu ka anyị ga-esi hụ na ihe dị mkpa na-adịghị ehichapụ? M ga-aza: maka ndị nyocha na-amasị iji aka iji wuo eserese, akpaghị aka ihicha nwere ike nwee nkwarụ na ọnụ ọgụgụ nke nzọụkwụ nwere ike họrọ = 1. Na-esote, onye nyocha ga-enwe ike mezue eserese ahụ site na ihe ndị ọ chọrọ ma wepụ ihe ndị dị na ya. eserese na-adịghị mkpa na ọrụ ahụ.
Ugbua na eserese ahụ, akụkọ ihe mere eme nke mgbanwe na whois, DNS, yana ọdụ ụgbọ mmiri na ọrụ na-agba ọsọ na ha ga-adịrị onye nyocha.
phishing ego
Anyị nyochara ọrụ nke otu APT, bụ ndị na-ebuso ndị ahịa nke ụlọ akụ dị iche iche ọgụ na mpaghara dị iche iche ruo ọtụtụ afọ. Ihe e ji mara ndị otu a bụ ndebanye aha ngalaba dị ka aha ezigbo ụlọ akụ, na ọtụtụ saịtị phishing nwere otu nhazi ahụ, naanị ihe dị iche bụ aha ụlọ akụ na akara ngosi ha.
N'okwu a, nyocha eserese akpaaka nyeere anyị aka nke ukwuu. Na-ewere otu n'ime ngalaba ha - lloydsbnk-uk[.] com, n'ime sekọnd ole na ole, anyị wuru eserese nwere omimi nke nzọụkwụ 3, bụ nke chọpụtara ihe karịrị 250 ngalaba ọjọọ ndị otu a na-eji kemgbe 2015 wee nọgide na-eji ya. . Ụlọ akụ azụrụla ụfọdụ ngalaba ndị a, mana ihe ndekọ akụkọ ihe mere eme na-egosi na e debaburu ha aha maka ndị mwakpo.
Maka idoanya, ọnụ ọgụgụ a na-egosi eserese nwere omimi nke nzọụkwụ 2.
Ọ bụ ihe kwesịrị ịrịba ama na ugbua na 2019, ndị mwakpo ahụ gbanwere ụzọ ha nke ọma wee malite ịdenye aha ọ bụghị naanị ngalaba nke ụlọ akụ maka nnabata web phishing, kamakwa ngalaba nke ụlọ ọrụ nyocha dị iche iche maka izipu ozi ịntanetị phishing. Dịka ọmụmaatụ, ngalaba swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Ndị otu Cobalt
Na Disemba 2018, ndị otu hacker Cobalt, bụ ọkachamara na mwakpo ezubere iche na ụlọ akụ, zipụrụ mkpọsa ozi n'aha National Bank of Kazakhstan.
Akwụkwọ ozi ndị a nwere njikọ hXXps://nationalbank.bz/Doc/Prikaz.doc. Akwụkwọ ebudatara nwere nnukwu macro malitere Powershell, nke ga-anwa ibu ma mebie faịlụ ahụ site na hXXp://wateroilclub.com/file/dwm.exe na %Temp%einmrmdmy.exe. Faịlụ %Temp%einmrmdmy.exe aka dwm.exe bụ ihe nhazi CobInt ahaziri ka ya na sava hXXp://admvmsopp.com/rilruietguadvtoefmuy na-emekọrịta ihe.
Were ya na ị nweghị ike ịnweta ozi ịntanetị phishing ndị a wee mee nyocha zuru oke nke faịlụ ọjọọ. Eserese maka ngalaba obi ọjọọ nationalbank[.] bz na-egosi ozugbo njikọ na ngalaba ọjọọ ndị ọzọ, na-akọwa ya na otu ma gosi faịlụ ndị ejiri na mbuso agha.
Ka anyị were adreesị IP 46.173.219[.]152 site na eserese a wee wuo eserese site na ya n'otu ngafe wee gbanyụọ nhicha. Enwere ngalaba 40 metụtara ya, dịka ọmụmaatụ, bl0ckchain[.]ug
PayPal.co.uk.qlg6[.]pw
cryptoelips[.]com
Na-ekpe ikpe site na ngalaba aha, o yiri ka a na-eji ha eme ihe na atụmatụ aghụghọ, ma algọridim ihicha ahụ ghọtara na ha emetụtaghị ọgụ a ma tinyeghị ha na eserese ahụ, nke na-eme ka usoro nyocha na njirimara dị mfe.
Ọ bụrụ na ị wughachi eserese ahụ site na iji nationalbank[.] bz, mana gbanyụọ graph ehichapụ algọridim, mgbe ahụ ọ ga-enwe ihe karịrị 500 ọcha, ọtụtụ n'ime ha enweghị ihe jikọrọ ya na otu Cobalt ma ọ bụ ọgụ ha. Enyere ihe atụ nke ihe eserese dị otú ahụ n'okpuru:
nkwubi
Mgbe ọtụtụ afọ nke ọma n'iji ya gee ntị, ule na ezigbo nnyocha, egwu nnyocha na ịchụ nta ndị na-awakpo, anyị jisiri ọ bụghị nanị na ike a pụrụ iche ngwá ọrụ, kamakwa ịgbanwe àgwà nke ndị ọkachamara n'ime ụlọ ọrụ kwupụta ya. Na mbido, ndị ọkachamara n'ịrụ ọrụ chọrọ njikwa zuru oke na usoro iwu ihe eserese. Ime ka ha kwenye na ịrụ ọrụ eserese na-akpaghị aka nwere ike ime nke a karịa onye nwere ahụmịhe ọtụtụ afọ siri ezigbo ike. Ekpebiri ihe niile site na oge yana ọtụtụ nyocha “akwụkwọ ntuziaka” nke nsonaazụ nke eserese ahụ mepụtara. Ugbu a ndị ọkachamara anyị ọ bụghị nanị na-atụkwasị usoro ahụ obi, kamakwa na-ejikwa nsonaazụ ọ na-enweta na ọrụ ha kwa ụbọchị. Teknụzụ a na-arụ ọrụ n'ime sistemụ anyị ọ bụla ma na-enye anyị ohere ịchọpụta ihe iyi egwu nke ụdị ọ bụla. Ewubere interface maka nyocha eserese akwụkwọ ntuziaka n'ime ngwaahịa Group-IB niile ma na-agbasawanye ike maka ịchụ nta cybercrime. A kwadoro nke a site na nyocha nyocha sitere na ndị ahịa anyị. Ma anyị, n'aka nke ya, na-aga n'ihu na-eme ka eserese ahụ na data ma na-arụ ọrụ na algọridim ọhụrụ site na iji ọgụgụ isi na-emepụta ihe ntanetị kachasị mma.
isi: www.habr.com