Indagando su casi legati a phishing, botnet, transazioni fraudolente e gruppi di hacker criminali, gli esperti di Group-IB utilizzano da molti anni l'analisi grafica per identificare vari tipi di connessioni. Casi diversi hanno i propri set di dati, i propri algoritmi per identificare le connessioni e interfacce su misura per compiti specifici. Tutti questi strumenti sono stati sviluppati internamente da Group-IB ed erano disponibili solo per i nostri dipendenti.

Analisi grafica dell'infrastruttura di rete (grafico di rete) è diventato il primo strumento interno che abbiamo integrato in tutti i prodotti pubblici dell'azienda. Prima di creare il nostro grafico di rete, abbiamo analizzato molti sviluppi simili sul mercato e non abbiamo trovato un solo prodotto che soddisfacesse le nostre esigenze. In questo articolo parleremo di come abbiamo creato il grafico di rete, come lo utilizziamo e quali difficoltà abbiamo incontrato.

Dmitry Volkov, CTO Group-IB e responsabile della cyber intelligence

Cosa può fare il grafo di rete Group-IB?

Indagini

Dalla fondazione del Group-IB nel 2003 ad oggi, identificare, dissacrare e consegnare i criminali informatici alla giustizia è stata una priorità assoluta nel nostro lavoro. Nessuna indagine sugli attacchi informatici è stata completa senza analizzare l’infrastruttura di rete degli aggressori. All'inizio del nostro viaggio, è stato un "lavoro manuale" piuttosto scrupoloso cercare relazioni che potessero aiutare a identificare i criminali: informazioni su nomi di dominio, indirizzi IP, impronte digitali dei server, ecc.

La maggior parte degli aggressori cerca di agire nel modo più anonimo possibile sulla rete. Tuttavia, come tutte le persone, commettono errori. L’obiettivo principale di tale analisi è trovare progetti storici “bianchi” o “grigi” di aggressori che abbiano intersezioni con l’infrastruttura dannosa utilizzata nell’attuale incidente che stiamo indagando. Se è possibile rilevare i "progetti bianchi", trovare l'aggressore, di regola, diventa un compito banale. Nel caso di quelli “grigi”, la ricerca richiede più tempo e fatica, poiché i proprietari cercano di anonimizzare o nascondere i dati di registrazione, ma le possibilità rimangono piuttosto alte. Di norma, all'inizio delle loro attività criminali, gli aggressori prestano meno attenzione alla propria sicurezza e commettono più errori, quindi più a fondo possiamo immergerci nella storia, maggiori sono le possibilità di un'indagine di successo. Ecco perché un grafico di rete con una buona storia è un elemento estremamente importante di tale indagine. In poche parole, più i dati storici di cui dispone un’azienda sono approfonditi, migliore è il suo grafico. Diciamo che una storia di 5 anni può aiutare a risolvere, condizionatamente, 1-2 crimini su 10, e una storia di 15 anni dà la possibilità di risolverli tutti e dieci.

Rilevamento di phishing e frodi

Ogni volta che riceviamo un collegamento sospetto a una risorsa di phishing, fraudolenta o piratata, creiamo automaticamente un grafico delle risorse di rete correlate e controlliamo tutti gli host trovati per contenuti simili. In questo modo è possibile trovare sia vecchi siti di phishing attivi ma sconosciuti, sia siti completamente nuovi preparati per attacchi futuri ma non ancora utilizzati. Un esempio elementare che si verifica abbastanza spesso: abbiamo trovato un sito di phishing su un server con solo 5 siti. Controllandoli ciascuno, troviamo contenuti di phishing su altri siti, il che significa che possiamo bloccarne 5 invece di 1.

Cerca backend

Questo processo è necessario per determinare dove risiede effettivamente il server dannoso.
Il 99% dei negozi di carte, dei forum di hacker, di molte risorse di phishing e di altri server dannosi si nascondono dietro i propri server proxy e proxy di servizi legittimi, ad esempio Cloudflare. Per le indagini è molto importante la conoscenza del backend reale: si scopre a quale provider di hosting può essere sequestrato il server ed è possibile creare collegamenti con altri progetti dannosi.

Ad esempio, hai un sito di phishing per la raccolta dei dati delle carte bancarie che si risolve nell'indirizzo IP 11.11.11.11 e un indirizzo di un negozio di carte che si risolve nell'indirizzo IP 22.22.22.22. Dall'analisi può risultare che sia il sito di phishing che il negozio di carte hanno un indirizzo IP backend comune, ad esempio 33.33.33.33. Questa conoscenza ci consente di creare una connessione tra gli attacchi di phishing e un negozio di carte in cui i dati delle carte bancarie potrebbero essere venduti.

Correlazione degli eventi

Quando hai due trigger diversi (diciamo su un IDS) con malware diversi e server diversi per controllare l'attacco, li tratterai come due eventi indipendenti. Ma se esiste una buona connessione tra le infrastrutture dannose, diventa ovvio che non si tratta di attacchi diversi, ma di fasi di un attacco a più fasi più complesso. E se uno degli eventi è già attribuito a un gruppo di aggressori, anche il secondo può essere attribuito allo stesso gruppo. Naturalmente, il processo di attribuzione è molto più complesso, quindi consideralo un semplice esempio.

Arricchimento dell'indicatore

Non presteremo molta attenzione a questo, poiché questo è lo scenario più comune per l’utilizzo dei grafici nella sicurezza informatica: fornisci un indicatore come input e come output ottieni una serie di indicatori correlati.

Identificare modelli

Identificare i modelli è essenziale per una caccia efficace. I grafici consentono non solo di trovare elementi correlati, ma anche di identificare proprietà comuni caratteristiche di un particolare gruppo di hacker. La conoscenza di tali caratteristiche uniche consente di riconoscere l’infrastruttura dell’aggressore già in fase di preparazione e senza prove che confermino l’attacco, come e-mail di phishing o malware.

Perché abbiamo creato il nostro grafico di rete?

Ancora una volta, abbiamo esaminato le soluzioni di diversi fornitori prima di giungere alla conclusione che dovevamo sviluppare il nostro strumento in grado di fare qualcosa che nessun prodotto esistente poteva fare. Ci sono voluti diversi anni per realizzarlo, durante i quali l'abbiamo cambiato completamente più volte. Ma, nonostante il lungo periodo di sviluppo, non abbiamo ancora trovato un solo analogo che soddisfi le nostre esigenze. Utilizzando il nostro prodotto, alla fine siamo riusciti a risolvere quasi tutti i problemi che abbiamo scoperto nei grafici di rete esistenti. Di seguito considereremo questi problemi in dettaglio:

Problema
Soluzione

Mancanza di un provider con diverse raccolte di dati: domini, DNS passivo, SSL passivo, record DNS, porte aperte, servizi in esecuzione sulle porte, file che interagiscono con nomi di dominio e indirizzi IP. Spiegazione. In genere, i fornitori forniscono tipi di dati separati e per avere un quadro completo è necessario acquistare abbonamenti da tutti. Tuttavia non è sempre possibile ottenere tutti i dati: alcuni provider SSL passivi forniscono dati solo sui certificati emessi da CA attendibili e la loro copertura dei certificati autofirmati è estremamente scarsa. Altri forniscono dati anche utilizzando certificati autofirmati, ma li raccolgono solo da porte standard.
Abbiamo raccolto noi stessi tutte le raccolte di cui sopra. Ad esempio, per raccogliere dati sui certificati SSL, abbiamo scritto il nostro servizio che li raccoglie sia da CA attendibili sia scansionando l'intero spazio IPv4. I certificati sono stati raccolti non solo dall'IP, ma anche da tutti i domini e sottodomini del nostro database: se hai il dominio example.com e il suo sottodominio www.example.com e risolvono tutti nell'IP 1.1.1.1, quindi quando provi a ottenere un certificato SSL dalla porta 443 su un IP, dominio e relativo sottodominio, puoi ottenere tre risultati diversi. Per raccogliere dati sulle porte aperte e sui servizi in esecuzione, abbiamo dovuto creare il nostro sistema di scansione distribuito, perché altri servizi spesso avevano gli indirizzi IP dei loro server di scansione su “liste nere”. Anche i nostri server di scansione finiscono nelle blacklist, ma il risultato nel rilevare i servizi di cui abbiamo bisogno è superiore a quello di chi si limita a scansionare quante più porte possibili e vendere l'accesso a questi dati.

Mancanza di accesso all'intero database di documenti storici. Spiegazione. Ogni normale fornitore ha una buona storia accumulata, ma per ragioni naturali noi, come clienti, non abbiamo potuto accedere a tutti i dati storici. Quelli. Puoi ottenere l'intera cronologia per un singolo record, ad esempio per dominio o indirizzo IP, ma non puoi vedere la cronologia di tutto e senza di essa non puoi vedere il quadro completo.
Per raccogliere il maggior numero possibile di record storici sui domini, abbiamo acquistato vari database, analizzato molte risorse aperte che avevano questa cronologia (è positivo che ce ne fossero molte) e negoziato con i registrar dei nomi di dominio. Tutti gli aggiornamenti alle nostre collezioni sono ovviamente conservati con una cronologia completa delle revisioni.

Tutte le soluzioni esistenti ti consentono di costruire un grafico manualmente. Spiegazione. Supponiamo che tu abbia acquistato molti abbonamenti da tutti i possibili fornitori di dati (solitamente chiamati "arricchitori"). Quando è necessario costruire un grafico, le “mani” danno il comando di costruire dall'elemento di connessione desiderato, quindi selezionare quelli necessari dagli elementi visualizzati e dare il comando di completare le connessioni da essi, e così via. In questo caso, la responsabilità della qualità della costruzione del grafico spetta interamente alla persona.
Abbiamo realizzato la costruzione automatica dei grafici. Quelli. se è necessario creare un grafico, le connessioni dal primo elemento vengono costruite automaticamente, quindi anche da tutti quelli successivi. Lo specialista indica solo la profondità alla quale deve essere costruito il grafico. Il processo di completamento automatico dei grafici è semplice, ma altri fornitori non lo implementano perché produce un numero enorme di risultati irrilevanti e abbiamo dovuto tenere conto anche di questo inconveniente (vedi sotto).

Molti risultati irrilevanti rappresentano un problema con tutti i grafici degli elementi di rete. Spiegazione. Ad esempio, un "dominio dannoso" (partecipato a un attacco) è associato a un server a cui sono associati altri 10 domini negli ultimi 500 anni. Quando si aggiunge manualmente o si costruisce automaticamente un grafico, nel grafico dovrebbero apparire anche tutti questi 500 domini, sebbene non siano correlati all'attacco. Oppure, ad esempio, controlli l'indicatore IP dal rapporto sulla sicurezza del fornitore. In genere, tali rapporti vengono rilasciati con un ritardo significativo e spesso durano un anno o più. Molto probabilmente, nel momento in cui leggi il rapporto, il server con questo indirizzo IP è già affittato ad altre persone con altre connessioni e la costruzione di un grafico ti porterà nuovamente a ottenere risultati irrilevanti.
Abbiamo addestrato il sistema a identificare elementi irrilevanti utilizzando la stessa logica utilizzata manualmente dai nostri esperti. Ad esempio, stai controllando un dominio errato example.com, che ora si risolve nell'IP 11.11.11.11 e un mese fa nell'IP 22.22.22.22. Oltre al dominio example.com, l'IP 11.11.11.11 è associato anche a example.ru e l'IP 22.22.22.22 è associato ad altri 25mila domini. Il sistema, come una persona, capisce che 11.11.11.11 è molto probabilmente un server dedicato e poiché il dominio example.ru è simile nell'ortografia a example.com, quindi, con un'alta probabilità, sono connessi e dovrebbero essere sul grafico; ma l'IP 22.22.22.22 appartiene all'hosting condiviso, quindi non è necessario includere tutti i suoi domini nel grafico a meno che non ci siano altre connessioni che mostrano che è necessario includere anche uno di questi 25mila domini (ad esempio example.net) . Prima che il sistema capisca che le connessioni devono essere interrotte e che alcuni elementi non devono essere spostati nel grafico, prende in considerazione molte proprietà degli elementi e dei cluster in cui questi elementi sono combinati, nonché la forza delle connessioni attuali. Ad esempio, se abbiamo un piccolo cluster (50 elementi) sul grafico, che include un dominio difettoso, e un altro grande cluster (5mila elementi) ed entrambi i cluster sono collegati da una connessione (linea) con resistenza (peso) molto bassa , tale connessione verrà interrotta e gli elementi del cluster di grandi dimensioni verranno rimossi. Ma se ci sono molte connessioni tra cluster piccoli e grandi e la loro forza aumenta gradualmente, in questo caso la connessione non verrà interrotta e gli elementi necessari di entrambi i cluster rimarranno sul grafico.

L'intervallo di proprietà del server e del dominio non viene preso in considerazione. Spiegazione. I “domini dannosi” prima o poi scadranno e verranno acquistati nuovamente per scopi dannosi o legittimi. Anche i server di hosting a prova di proiettile vengono affittati a diversi hacker, quindi è fondamentale conoscere e tenere in considerazione l'intervallo in cui un particolare dominio/server era sotto il controllo di un proprietario. Spesso ci imbattiamo in una situazione in cui un server con IP 11.11.11.11 viene ora utilizzato come C&C per un bot bancario e 2 mesi fa era controllato da Ransomware. Se creiamo una connessione senza tenere conto degli intervalli di proprietà, sembrerà che esista una connessione tra i proprietari della botnet bancaria e del ransomware, anche se in realtà non esiste. Nel nostro lavoro, un simile errore è fondamentale.
Abbiamo insegnato al sistema a determinare gli intervalli di proprietà. Per i domini questo è relativamente semplice, perché whois spesso contiene date di inizio e scadenza della registrazione e, quando c'è una cronologia completa delle modifiche whois, è facile determinare gli intervalli. Quando la registrazione di un dominio non è scaduta, ma la sua gestione è stata trasferita ad altri proprietari, è possibile anche tracciarlo. Questo problema non esiste per i certificati SSL, perché vengono emessi una volta e non vengono né rinnovati né trasferiti. Ma con i certificati autofirmati, non puoi fidarti delle date specificate nel periodo di validità del certificato, perché puoi generare un certificato SSL oggi e specificare la data di inizio del certificato dal 2010. La cosa più difficile è determinare gli intervalli di proprietà dei server, perché solo i provider di hosting hanno date e periodi di noleggio. Per determinare il periodo di proprietà del server, abbiamo iniziato a utilizzare i risultati della scansione delle porte e a creare impronte digitali dei servizi in esecuzione sulle porte. Utilizzando queste informazioni, possiamo dire con sufficiente precisione quando è cambiato il proprietario del server.

Pochi collegamenti. Spiegazione. Al giorno d'oggi non è nemmeno un problema ottenere un elenco gratuito di domini il cui whois contiene un indirizzo email specifico o scoprire tutti i domini associati a un indirizzo IP specifico. Ma quando si tratta di hacker che fanno del loro meglio per essere difficili da rintracciare, abbiamo bisogno di ulteriori trucchi per trovare nuove proprietà e costruire nuove connessioni.
Abbiamo dedicato molto tempo alla ricerca di come estrarre dati che non erano disponibili in modo convenzionale. Non possiamo descrivere qui come funziona per ovvi motivi, ma in determinate circostanze gli hacker, quando registrano domini o noleggiano e configurano server, commettono errori che consentono loro di scoprire indirizzi email, alias hacker e indirizzi backend. Più connessioni estrai, più grafici accurati puoi creare.

Come funziona il nostro grafico

Per iniziare a utilizzare il grafico di rete, è necessario inserire il dominio, l'indirizzo IP, l'e-mail o l'impronta digitale del certificato SSL nella barra di ricerca. Ci sono tre condizioni che l'analista può controllare: tempo, profondità del passo e compensazione.

Tempo

Ora: data o intervallo in cui l'elemento cercato è stato utilizzato per scopi dannosi. Se non si specifica questo parametro, il sistema stesso determinerà l'ultimo intervallo di proprietà per questa risorsa. Ad esempio, l'11 luglio Eset ha pubblicato segnalare su come Buhtrap utilizza l'exploit 0-day per lo spionaggio informatico. Ci sono 6 indicatori alla fine del rapporto. Uno di questi, secure-telemetry[.]net, è stato registrato nuovamente il 16 luglio. Pertanto, se costruisci un grafico dopo il 16 luglio, otterrai risultati irrilevanti. Ma se indichi che questo dominio è stato utilizzato prima di questa data, il grafico include 126 nuovi domini, 69 indirizzi IP che non sono elencati nel rapporto Eset:

• ukrfreshnews[.]com
• unian-search[.]com
• vesti-world[.]info
• runnewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]info
• rian-ua[.]net
• др и.

Oltre agli indicatori di rete, troviamo immediatamente collegamenti con file dannosi che avevano collegamenti con questa infrastruttura e tag che ci dicono che sono stati utilizzati Meterpreter e AZORult.

La cosa bella è che ottieni questo risultato in un secondo e non avrai più bisogno di passare giorni ad analizzare i dati. Naturalmente, questo approccio a volte riduce notevolmente i tempi delle indagini, che spesso sono fondamentali.

Il numero di passaggi o la profondità di ricorsione con cui verrà costruito il grafico

Per impostazione predefinita, la profondità è 3. Ciò significa che tutti gli elementi direttamente correlati verranno trovati dall'elemento desiderato, quindi verranno create nuove connessioni da ciascun nuovo elemento ad altri elementi e nuovi elementi verranno creati dai nuovi elementi dell'ultimo fare un passo.

Prendiamo un esempio non correlato ad APT e agli exploit 0-day. Recentemente su Habré è stato descritto un interessante caso di frode legata alle criptovalute. Il rapporto menziona il dominio themcx[.]co, utilizzato dai truffatori per ospitare un sito Web che pretende di essere un Miner Coin Exchange e una ricerca telefonica[.]xyz per attirare traffico.

Dalla descrizione risulta chiaro che lo schema richiede un'infrastruttura abbastanza grande per attirare traffico verso risorse fraudolente. Abbiamo deciso di esaminare questa infrastruttura costruendo un grafico in 4 passaggi. L'output era un grafico con 230 domini e 39 indirizzi IP. Successivamente, dividiamo i domini in 2 categorie: quelli che sono simili ai servizi per lavorare con le criptovalute e quelli che hanno lo scopo di indirizzare il traffico attraverso i servizi di verifica telefonica:

Relativo alla criptovaluta
Associato ai servizi di punzonatura telefonica

gettoniere[.]cc
registro-chiamante[.]sito.

mcxwallet[.]co
spazio per i registri telefonici[.].

btcnoise[.]com
fone-uncover[.]xyz

orologio cryptominer[.]
numero-scopri[.]info

pulizia

Per impostazione predefinita, l'opzione "Pulizia grafico" è abilitata e tutti gli elementi irrilevanti verranno rimossi dal grafico. A proposito, è stato utilizzato in tutti gli esempi precedenti. Prevedo una domanda naturale: come possiamo assicurarci che qualcosa di importante non venga cancellato? Risponderò: per gli analisti a cui piace costruire grafici a mano, la pulizia automatizzata può essere disabilitata e il numero di passaggi può essere selezionato = 1. Successivamente, l'analista sarà in grado di completare il grafico con gli elementi di cui ha bisogno e rimuovere elementi da il grafico che sono irrilevanti per l'attività.

Già sul grafico diventa disponibile per l'analista la cronologia dei cambiamenti nel whois, nel DNS, nonché nelle porte aperte e nei servizi in esecuzione su di essi.

Phishing finanziario

Abbiamo analizzato le attività di un gruppo APT che per diversi anni ha sferrato attacchi di phishing contro clienti di diverse banche in diverse regioni. Una caratteristica di questo gruppo era la registrazione di domini molto simili ai nomi delle banche vere, e la maggior parte dei siti di phishing avevano lo stesso design, le uniche differenze erano nei nomi delle banche e nei loro loghi.

In questo caso, l’analisi automatica dei grafici ci ha aiutato molto. Prendendo uno dei loro domini - lloydsbnk-uk[.]com, in pochi secondi abbiamo costruito un grafico con una profondità di 3 passaggi, che ha identificato più di 250 domini dannosi che sono stati utilizzati da questo gruppo dal 2015 e continuano ad essere utilizzati . Alcuni di questi domini sono già stati acquistati dalle banche, ma i documenti storici mostrano che erano precedentemente registrati a nome degli aggressori.

Per chiarezza, la figura mostra un grafico con una profondità di 2 passaggi.

È interessante notare che già nel 2019 gli aggressori hanno leggermente cambiato tattica e hanno iniziato a registrare non solo i domini delle banche per l'hosting del web phishing, ma anche i domini di diverse società di consulenza per l'invio di e-mail di phishing. Ad esempio, i domini swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.

Banda del cobalto

Nel dicembre 2018 il gruppo di hacker Cobalt, specializzato in attacchi mirati alle banche, ha lanciato una campagna di mailing per conto della Banca nazionale del Kazakistan.

Le lettere contenevano collegamenti a hXXps://nationalbank.bz/Doc/Prikaz.doc. Il documento scaricato conteneva una macro che avviava Powershell, che tentava di caricare ed eseguire il file da hXXp://wateroilclub.com/file/dwm.exe in %Temp%einmrmdmy.exe. Il file %Temp%einmrmdmy.exe alias dwm.exe è uno stager CobInt configurato per interagire con il server hXXp://admvmsopp.com/rilruietguadvtoefmuy.

Immagina di non poter ricevere queste e-mail di phishing ed eseguire un'analisi completa dei file dannosi. Il grafico del dominio dannoso nationalbank[.]bz mostra immediatamente i collegamenti con altri domini dannosi, lo attribuisce a un gruppo e mostra quali file sono stati utilizzati nell'attacco.

Prendiamo l'indirizzo IP 46.173.219[.]152 da questo grafico e costruiamo un grafico da esso in un solo passaggio e disattiviamo la pulizia. Ci sono 40 domini ad esso associati, ad esempio bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
criptoelips[.]com

A giudicare dai nomi di dominio, sembra che vengano utilizzati in schemi fraudolenti, ma l'algoritmo di pulizia si è reso conto che non erano collegati a questo attacco e non li ha inseriti nel grafico, il che semplifica notevolmente il processo di analisi e attribuzione.

Se ricostruisci il grafico utilizzando nationalbank[.]bz, ma disabilitando l'algoritmo di pulizia del grafico, conterrà più di 500 elementi, la maggior parte dei quali non ha nulla a che fare con il gruppo Cobalt o i loro attacchi. Di seguito è riportato un esempio di come appare un grafico di questo tipo:

conclusione

Dopo diversi anni di messa a punto, test in indagini reali, ricerca sulle minacce e caccia agli aggressori, siamo riusciti non solo a creare uno strumento unico, ma anche a cambiare l'atteggiamento degli esperti all'interno dell'azienda nei suoi confronti. Inizialmente, gli esperti tecnici desiderano il controllo completo sul processo di costruzione del grafico. Convincerli che la costruzione automatica di grafici potesse farlo meglio di una persona con molti anni di esperienza è stato estremamente difficile. Tutto è stato deciso dal tempo e da molteplici controlli “manuali” dei risultati di quanto prodotto dal grafico. Ora i nostri esperti non solo si fidano del sistema, ma utilizzano anche i risultati che ottiene nel loro lavoro quotidiano. Questa tecnologia funziona all'interno di ciascuno dei nostri sistemi e ci consente di identificare meglio minacce di qualsiasi tipo. L'interfaccia per l'analisi manuale dei grafici è integrata in tutti i prodotti Group-IB e amplia significativamente le capacità di caccia al crimine informatico. Ciò è confermato dalle recensioni degli analisti dei nostri clienti. E noi, a nostra volta, continuiamo ad arricchire il grafico con dati e lavoriamo su nuovi algoritmi che utilizzano l'intelligenza artificiale per creare il grafico di rete più accurato.

Fonte: habr.com