חוקר מקרים הקשורים להתחזות, רשתות בוטים, עסקאות הונאה וקבוצות האקרים פליליות, מומחי Group-IB משתמשים בניתוח גרפים במשך שנים רבות כדי לזהות סוגים שונים של קשרים. למקרים שונים יש מערכי נתונים משלהם, אלגוריתמים משלהם לזיהוי חיבורים וממשקים המותאמים למשימות ספציפיות. כל הכלים הללו פותחו באופן פנימי על ידי Group-IB והיו זמינים רק לעובדים שלנו.

ניתוח גרף של תשתית רשת (גרף רשת) הפך לכלי הפנימי הראשון שבנינו בכל המוצרים הציבוריים של החברה. לפני יצירת גרף הרשת שלנו, ניתחנו הרבה התפתחויות דומות בשוק ולא מצאנו מוצר אחד שעונה על הצרכים שלנו. במאמר זה נדבר על איך יצרנו את גרף הרשת, איך אנחנו משתמשים בו ובאילו קשיים נתקלנו.

דמיטרי וולקוב, CTO Group-IB וראש מודיעין סייבר

מה יכול גרף הרשת של Group-IB לעשות?

חקירות

מאז הקמתה של Group-IB בשנת 2003 ועד היום, זיהוי, הכרזה והבאת פושעי סייבר לדין היו בראש סדר העדיפויות בעבודתנו. אף חקירת מתקפת סייבר אחת לא הושלמה מבלי לנתח את תשתית הרשת של התוקפים. ממש בתחילת דרכנו, זו הייתה "עבודה ידנית" קפדנית למדי לחפש מערכות יחסים שיכולות לסייע בזיהוי פושעים: מידע על שמות דומיין, כתובות IP, טביעות אצבע דיגיטליות של שרתים וכו'.

רוב התוקפים מנסים לפעול בצורה אנונימית ככל האפשר ברשת. עם זאת, כמו כל האנשים, הם עושים טעויות. המטרה העיקרית של ניתוח כזה היא למצוא פרויקטים היסטוריים "לבנים" או "אפורים" של תוקפים שיש להם צמתים עם התשתית הזדונית המשמשת בתקרית הנוכחית שאנו חוקרים. אם אפשר לזהות "פרויקטים לבנים", אז מציאת התוקף, ככלל, הופכת למשימה טריוויאלית. במקרה של "אפורים", החיפוש לוקח יותר זמן ומאמץ, מכיוון שבעליהם מנסים לעשות אנונימיות או להסתיר את נתוני הרישום, אך הסיכויים עדיין גבוהים למדי. ככלל, בתחילת פעילותם הפלילית, התוקפים פחות שמים לב לביטחונם שלהם ועושים יותר טעויות, כך שככל שנוכל לצלול עמוק יותר לתוך הסיפור, כך גדלים הסיכויים להצלחת החקירה. לכן גרף רשת עם היסטוריה טובה הוא מרכיב חשוב ביותר בחקירה כזו. במילים פשוטות, ככל שיש לחברה נתונים היסטוריים עמוקים יותר, כך הגרף שלה טוב יותר. נניח שהיסטוריה של 5 שנים יכולה לעזור לפתור, בתנאי, 1-2 מתוך 10 פשעים, והיסטוריה של 15 שנים נותנת הזדמנות לפתור את כל עשרה.

זיהוי דיוג והונאה

בכל פעם שאנו מקבלים קישור חשוד למשאב דיוג, הונאה או פיראטי, אנו בונים אוטומטית גרף של משאבי רשת קשורים ובודקים את כל המארחים שנמצאו עבור תוכן דומה. זה מאפשר לך למצוא גם אתרי פישינג ישנים שהיו פעילים אך לא ידועים, וגם אתרים חדשים לגמרי שמוכנים להתקפות עתידיות, אך עדיין לא נעשה בהם שימוש. דוגמה אלמנטרית שמתרחשת לעתים קרובות למדי: מצאנו אתר פישינג בשרת עם 5 אתרים בלבד. על ידי סימון כל אחד מהם, אנו מוצאים תוכן דיוג באתרים אחרים, מה שאומר שאנו יכולים לחסום 5 במקום 1.

חפש קצה אחורי

תהליך זה נחוץ כדי לקבוע היכן השרת הזדוני באמת שוכן.
99% מחנויות הכרטיסים, פורומי האקרים, משאבי דיוג רבים ושרתים זדוניים אחרים מוסתרים הן מאחורי שרתי ה-proxy שלהם והן מאחורי השרתים הלגיטימיים שלהם, למשל, Cloudflare. הידע על ה-backend האמיתי חשוב מאוד לחקירות: ספק האחסון ממנו ניתן לתפוס את השרת נודע, ומתאפשר ליצור קשרים עם פרויקטים זדוניים אחרים.

לדוגמה, יש לך אתר פישינג לאיסוף נתוני כרטיס בנק שמתייחס לכתובת ה-IP 11.11.11.11, וכתובת Cardshop שפותרת לכתובת ה-IP 22.22.22.22. במהלך הניתוח, עשוי להתברר שגם לאתר ההתחזות וגם ל-cardshop יש כתובת IP משותפת של קצה אחורי, למשל 33.33.33.33. הידע הזה מאפשר לנו לבנות קשר בין התקפות פישינג לחנות כרטיסים שבה ניתן למכור נתוני כרטיסי בנק.

מתאם אירוע

כאשר יש לך שני טריגרים שונים (נניח ב-IDS) עם תוכנות זדוניות שונות ושרתים שונים לשלוט בהתקפה, תתייחס אליהם כשני אירועים עצמאיים. אבל אם יש קשר טוב בין תשתיות זדוניות, אז ברור שלא מדובר בהתקפות שונות, אלא בשלבים של מתקפה אחת, מורכבת יותר, רב-שלבית. ואם אחד מהאירועים כבר מיוחס לקבוצת תוקפים כלשהי, אז ניתן לייחס את השני גם לאותה קבוצה. כמובן שתהליך הייחוס מורכב הרבה יותר, אז התייחסו לזה כדוגמה פשוטה.

העשרת מחוונים

לא נקדיש לכך תשומת לב רבה, מכיוון שזהו התרחיש הנפוץ ביותר לשימוש בגרפים באבטחת סייבר: אתה נותן אינדיקטור אחד כקלט, וכפלט אתה מקבל מערך של אינדיקטורים קשורים.

זיהוי דפוסים

זיהוי דפוסים חיוני לציד יעיל. גרפים מאפשרים לך לא רק למצוא אלמנטים קשורים, אלא גם לזהות מאפיינים נפוצים האופייניים לקבוצה מסוימת של האקרים. הכרת מאפיינים ייחודיים כאלה מאפשרת לך לזהות את התשתית של התוקף גם בשלב ההכנה וללא ראיות המאשרות את המתקפה, כגון מיילים דיוג או תוכנות זדוניות.

מדוע יצרנו גרף רשת משלנו?

שוב, בדקנו פתרונות של ספקים שונים לפני שהגענו למסקנה שאנחנו צריכים לפתח כלי משלנו שיוכל לעשות משהו שאף מוצר קיים לא יכול לעשות. לקח כמה שנים ליצור אותו, ובמהלכן שינינו אותו לחלוטין כמה פעמים. אבל, למרות תקופת הפיתוח הארוכה, עדיין לא מצאנו אנלוג אחד שיענה על הדרישות שלנו. באמצעות המוצר שלנו, הצלחנו בסופו של דבר לפתור כמעט את כל הבעיות שגילינו בגרפי רשת קיימים. להלן נשקול את הבעיות הללו בפירוט:

בעיה
החלטה

חוסר בספק עם אוספי נתונים שונים: דומיינים, DNS פסיבי, SSL פסיבי, רשומות DNS, יציאות פתוחות, הפעלת שירותים על פורטים, קבצים המקיימים אינטראקציה עם שמות דומיין וכתובות IP. הֶסבֵּר. בדרך כלל, ספקים מספקים סוגים נפרדים של נתונים, וכדי לקבל את התמונה המלאה, אתה צריך לקנות מנויים מכולם. למרות זאת, לא תמיד ניתן להשיג את כל הנתונים: חלק מספקי SSL פסיביים מספקים נתונים רק על אישורים שהונפקו על ידי CAs מהימנים, והכיסוי שלהם לתעודות בחתימה עצמית גרוע ביותר. אחרים גם מספקים נתונים באמצעות אישורים בחתימה עצמית, אך אוספים אותם רק מיציאות סטנדרטיות.
את כל האוספים הנ"ל אספנו בעצמנו. לדוגמה, כדי לאסוף נתונים על תעודות SSL, כתבנו שירות משלנו שאוסף אותם הן מ-CAs מהימנים והן על ידי סריקת כל שטח ה-IPv4. אישורים נאספו לא רק מ-IP, אלא גם מכל הדומיינים ותת-הדומיינים ממסד הנתונים שלנו: אם יש לך את הדומיין example.com ותת-הדומיין שלו www.example.com וכולם נפתרים ל-IP 1.1.1.1, ואז כאשר אתה מנסה להשיג אישור SSL מיציאה 443 על IP, דומיין ותת הדומיין שלו, אתה יכול לקבל שלוש תוצאות שונות. כדי לאסוף נתונים על יציאות פתוחות ושירותים פועלים, היינו צריכים ליצור מערכת סריקה מבוזרת משלנו, מכיוון שלשירותים אחרים היו לעתים קרובות כתובות ה-IP של שרתי הסריקה שלהם ב"רשימות שחורות". גם שרתי הסריקה שלנו מגיעים לרשימות שחורות, אבל התוצאה של זיהוי השירותים שאנחנו צריכים היא גבוהה מזו של אלה שפשוט סורקים כמה שיותר פורטים ומוכרים גישה לנתונים האלה.

חוסר גישה למאגר הנתונים ההיסטוריים כולו. הֶסבֵּר. לכל ספק רגיל יש היסטוריה מצטברת טובה, אך מסיבות טבעיות לא הצלחנו, כלקוח, לקבל גישה לכל הנתונים ההיסטוריים. הָהֵן. אתה יכול לקבל את כל ההיסטוריה עבור רשומה בודדת, למשל, לפי דומיין או כתובת IP, אבל אתה לא יכול לראות את ההיסטוריה של הכל - ובלי זה אתה לא יכול לראות את התמונה המלאה.
כדי לאסוף כמה שיותר רשומות היסטוריות על דומיינים, קנינו מסדי נתונים שונים, ניתחנו משאבים פתוחים רבים בעלי ההיסטוריה הזו (טוב שהיו רבים מהם), וניהלנו משא ומתן עם רשמי שמות דומיינים. כל העדכונים לאוספים שלנו נשמרים כמובן עם היסטוריית גרסאות מלאה.

כל הפתרונות הקיימים מאפשרים לבנות גרף באופן ידני. הֶסבֵּר. נניח שקנית הרבה מנויים מכל ספקי הנתונים האפשריים (נקראים בדרך כלל "מעשירים"). כשצריך לבנות גרף, "הידיים" נותנות את הפקודה לבנות מאלמנט החיבור הרצוי, ואז בוחרים את הנחוצים מהאלמנטים שמופיעים ונותנים את הפקודה להשלמת החיבורים מהם, וכן הלאה. במקרה זה, האחריות לאופן בניית הגרף מוטלת כולה על האדם.
עשינו בנייה אוטומטית של גרפים. הָהֵן. אם אתה צריך לבנות גרף, אז החיבורים מהאלמנט הראשון נבנים באופן אוטומטי, ואז גם מכל החיבורים הבאים. המומחה מציין רק את העומק שבו צריך לבנות את הגרף. תהליך ההשלמה האוטומטית של גרפים הוא פשוט, אבל ספקים אחרים לא מיישמים אותו מכיוון שהוא מייצר מספר עצום של תוצאות לא רלוונטיות, וגם היינו צריכים לקחת בחשבון את החיסרון הזה (ראה להלן).

תוצאות רבות שאינן רלוונטיות מהוות בעיה בכל גרפי רכיבי הרשת. הֶסבֵּר. לדוגמה, "דומיין רע" (השתתף במתקפה) משויך לשרת שיש לו עוד 10 דומיינים הקשורים אליו במהלך 500 השנים האחרונות. בעת הוספה ידנית או בנייה אוטומטית של גרף, כל 500 הדומיינים הללו צריכים להופיע גם על הגרף, למרות שהם אינם קשורים למתקפה. או, למשל, אתה בודק את מחוון ה-IP מדוח האבטחה של הספק. בדרך כלל, דוחות כאלה מתפרסמים באיחור משמעותי ולעיתים נמשכים שנה או יותר. סביר להניח שבזמן שקראתם את הדוח, השרת עם כתובת ה-IP הזו כבר מושכר לאנשים אחרים עם חיבורים אחרים, ובניית גרף שוב תגרום לכך שתקבלו תוצאות לא רלוונטיות.
אימנו את המערכת לזהות אלמנטים לא רלוונטיים תוך שימוש באותו היגיון כפי שעשו המומחים שלנו באופן ידני. לדוגמה, אתה בודק דומיין פגום, example.com, אשר נפתר כעת ל-IP 11.11.11.11, ולפני חודש - ל-IP 22.22.22.22. בנוסף לדומיין example.com, IP 11.11.11.11 משויך גם ל-example.ru, ו-IP 22.22.22.22 משויך ל-25 אלף דומיינים אחרים. המערכת, כמו אדם, מבינה שסביר להניח ש-11.11.11.11 הוא שרת ייעודי, ומכיוון שהדומיין example.ru דומה באיות ל-example.com, אז, בסבירות גבוהה, הם מחוברים וצריכים להיות ב- גרָף; אבל IP 22.22.22.22 שייך לאירוח משותף, כך שאין צורך לכלול את כל הדומיינים שלו בגרף אלא אם יש חיבורים אחרים שמראים שצריך לכלול גם אחד מ-25 אלף הדומיינים האלה (לדוגמה, example.net) . לפני שהמערכת מבינה שצריך לנתק חיבורים וכמה אלמנטים לא להזיז לגרף, היא לוקחת בחשבון מאפיינים רבים של האלמנטים והאשכולות אליהם משולבים האלמנטים הללו, כמו גם את חוזק החיבורים הנוכחיים. לדוגמה, אם יש לנו אשכול קטן (50 אלמנטים) על הגרף, הכולל תחום רע, ועוד אשכול גדול (5 אלמנטים) ושני האשכולות מחוברים בחיבור (קו) בעל חוזק (משקל) נמוך מאוד. , אז חיבור כזה יינתק ואלמנטים מהאשכול הגדול יוסרו. אבל אם יש הרבה קשרים בין אשכולות קטנים לגדולים וחוזקם גדל בהדרגה, אז במקרה זה הקשר לא יינתק והאלמנטים הדרושים משני האשכולות יישארו על הגרף.

מרווח הבעלות על השרת והדומיין אינו נלקח בחשבון. הֶסבֵּר. "דומיינים גרועים" יפוג במוקדם או במאוחר ויירכש שוב למטרות זדוניות או לגיטימיות. אפילו שרתי אירוח חסיני כדורים מושכרים להאקרים שונים, ולכן חשוב לדעת ולקחת בחשבון את המרווח שבו דומיין/שרת מסוים היה בשליטת בעלים אחד. לעתים קרובות אנו נתקלים במצב שבו שרת עם IP 11.11.11.11 משמש כעת כ-C&C עבור בוט בנקאי, ולפני חודשיים הוא נשלט על ידי Ransomware. אם נבנה חיבור מבלי לקחת בחשבון מרווחי בעלות, זה ייראה שיש קשר בין בעלי הבוטנט הבנקאי לתוכנת הכופר, למרות שלמעשה אין כזה. בעבודתנו, טעות כזו היא קריטית.
לימדנו את המערכת לקבוע מרווחי בעלות. עבור דומיינים זה פשוט יחסית, מכיוון שלעיתים קרובות whois מכיל תאריכי התחלה ותפוגה של רישום, וכאשר יש היסטוריה מלאה של שינויים ב-Whois, קל לקבוע את המרווחים. כאשר הרישום של דומיין לא פג, אך ניהולו הועבר לבעלים אחרים, ניתן גם לעקוב אחריו. אין בעיה כזו לתעודות SSL, כי הן מונפקות פעם אחת ואינן מתחדשות או מועברות. אבל עם אישורים בחתימה עצמית, אתה לא יכול לסמוך על התאריכים שצוינו בתקופת התוקף של האישור, כי אתה יכול ליצור אישור SSL היום, ולציין את תאריך ההתחלה של האישור מ-2010. הדבר הקשה ביותר הוא לקבוע את מרווחי הבעלות עבור שרתים, מכיוון שרק לספקי אחסון יש תאריכים ותקופות השכרה. כדי לקבוע את תקופת הבעלות על השרת, התחלנו להשתמש בתוצאות של סריקת פורטים ויצירת טביעות אצבע של שירותים הפועלים בפורטים. באמצעות מידע זה, אנו יכולים לומר במדויק למדי מתי הבעלים של השרת התחלף.

מעט קשרים. הֶסבֵּר. כיום, אין אפילו בעיה לקבל רשימה חינמית של דומיינים שה-Whois שלהם מכיל כתובת מייל ספציפית, או לברר את כל הדומיינים שהיו משויכים לכתובת IP ספציפית. אבל כשמדובר בהאקרים שעושים כמיטב יכולתם כדי שיהיה קשה לעקוב אחריהם, אנחנו צריכים טריקים נוספים כדי למצוא נכסים חדשים ולבנות קשרים חדשים.
השקענו זמן רב במחקר כיצד נוכל לחלץ נתונים שלא היו זמינים בצורה קונבנציונלית. אנחנו לא יכולים לתאר כאן איך זה עובד מסיבות ברורות, אבל בנסיבות מסוימות, האקרים, בעת רישום דומיינים או השכרה והגדרת שרתים, עושים טעויות המאפשרות להם לגלות כתובות דוא"ל, כינויי האקרים וכתובות עורפיות. ככל שתחלץ יותר קשרים, כך תוכל לבנות גרפים מדויקים יותר.

איך הגרף שלנו עובד

כדי להתחיל להשתמש בגרף הרשת, עליך להזין את הדומיין, כתובת ה-IP, הדואר האלקטרוני או טביעת האצבע של אישור SSL בשורת החיפוש. ישנם שלושה תנאים שהאנליטיקאי יכול לשלוט בהם: זמן, עומק צעד וניקוי.

זמן

זמן - תאריך או מרווח שבו נעשה שימוש ברכיב המבוקש למטרות זדוניות. אם לא תציין פרמטר זה, המערכת עצמה תקבע את מרווח הבעלות האחרון עבור משאב זה. לדוגמה, ב-11 ביולי פרסמה Eset דו"ח על האופן שבו Buhtrap משתמש בניצול של 0 ימים לריגול סייבר. בסוף הדוח יש 6 אינדיקטורים. אחד מהם, secure-telemetry[.]net, נרשם מחדש ב-16 ביולי. לכן, אם תבנה גרף אחרי 16 ביולי, תקבל תוצאות לא רלוונטיות. אבל אם אתה מציין שהדומיין הזה היה בשימוש לפני תאריך זה, הגרף כולל 126 דומיינים חדשים, 69 כתובות IP שאינן רשומות בדוח Eset:

• ukrfreshnews[.]com
• unian-search[.]com
• vesti-world[.]info
• runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]info
• rian-ua[.]net
• וכו '

בנוסף למחווני רשת, אנו מוצאים מיד חיבורים עם קבצים זדוניים שהיו להם חיבורים עם התשתית הזו ותגים שמספרים לנו שהשתמשו ב-Meterpreter ו-AZORult.

הדבר הגדול הוא שאתה מקבל את התוצאה הזו תוך שנייה אחת ולא צריך עוד להקדיש ימים לניתוח הנתונים. כמובן שלעיתים גישה זו מצמצמת משמעותית את זמן החקירות, שלעתים קרובות הוא קריטי.

מספר הצעדים או עומק הרקורסיה שאיתם יבנה הגרף

כברירת מחדל, העומק הוא 3. זה אומר שכל האלמנטים הקשורים ישירות יימצאו מהאלמנט הרצוי, לאחר מכן ייבנו חיבורים חדשים מכל אלמנט חדש לאלמנטים אחרים, וייווצרו אלמנטים חדשים מהאלמנטים החדשים מהקודם. שלב.

ניקח דוגמה שאינה קשורה ל-APT ולניצול של 0 ימים. לאחרונה תואר ב-Habré מקרה מעניין של הונאה הקשורה למטבעות קריפטוגרפיים. הדו"ח מזכיר את הדומיין themcx[.]co, המשמש את הרמאים לאירוח אתר שמתיימר להיות בורסת מטבעות כורים וחיפוש טלפון[.]xyz כדי למשוך תנועה.

ברור מהתיאור שהתוכנית דורשת תשתית גדולה למדי כדי למשוך תנועה למשאבים הונאה. החלטנו לבחון את התשתית הזו על ידי בניית גרף ב-4 שלבים. הפלט היה גרף עם 230 דומיינים ו-39 כתובות IP. לאחר מכן, אנו מחלקים תחומים ל-2 קטגוריות: אלו הדומים לשירותים לעבודה עם מטבעות קריפטוגרפיים וכאלה שנועדו להניע תעבורה באמצעות שירותי אימות טלפוני:

קשור למטבעות קריפטוגרפיים
משויך לשירותי ניקוב בטלפון

בעל מטבעות[.]cc
מתקשר-רשומה[.]אתר.

mcxwallet[.]co
רשומות טלפון[.]מרחב

btcnoise[.]com
fone-uncover[.]xyz

קריפטומינר[.]צפה
מספר-גילוי[.]מידע

ניקוי

כברירת מחדל, האפשרות "ניקוי גרפים" מופעלת וכל הרכיבים הלא רלוונטיים יוסרו מהגרף. אגב, זה שימש בכל הדוגמאות הקודמות. אני צופה שאלה טבעית: איך נוכל לוודא שמשהו חשוב לא יימחק? אני אענה: לאנליסטים שאוהבים לבנות גרפים בעבודת יד, ניתן להשבית את הניקוי האוטומטי ולבחור את מספר השלבים = 1. לאחר מכן, האנליסט יוכל להשלים את הגרף מהאלמנטים שהוא צריך ולהסיר מהם אלמנטים הגרף שאינם רלוונטיים למשימה.

כבר בגרף, היסטוריית השינויים ב- whois, DNS, כמו גם פורטים ושירותים פתוחים הפועלים עליהם הופכת לזמינה לאנליסט.

דיוג פיננסי

חקרנו את פעילותה של קבוצת APT אחת, שבמשך כמה שנים ביצעה התקפות פישינג נגד לקוחות של בנקים שונים באזורים שונים. מאפיין אופייני לקבוצה זו היה רישום דומיינים הדומים מאוד לשמות של בנקים אמיתיים, ולרוב אתרי הדיוג היה עיצוב זהה, כאשר ההבדלים היחידים הם בשמות הבנקים ובסמליהם.

במקרה זה, ניתוח גרפים אוטומטי עזר לנו מאוד. לוקח אחד מהדומיינים שלהם - lloydsbnk-uk[.]com, תוך כמה שניות בנינו גרף בעומק של 3 שלבים, שזיהה יותר מ-250 דומיינים זדוניים שנמצאים בשימוש על ידי קבוצה זו מאז 2015 וממשיכים בשימוש . חלק מהדומיינים הללו כבר נרכשו על ידי בנקים, אך רישומים היסטוריים מראים שהם נרשמו בעבר לתוקפים.

למען הבהירות, האיור מציג גרף בעומק של 2 שלבים.

ראוי לציין כי כבר בשנת 2019, התוקפים שינו במידת מה את הטקטיקה שלהם והחלו לרשום לא רק את הדומיינים של הבנקים לאירוח דיוג באינטרנט, אלא גם את הדומיינים של חברות ייעוץ שונות למשלוח מיילים פישינג. לדוגמה, הדומיינים swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.

כנופיית קובלט

בדצמבר 2018, קבוצת ההאקרים Cobalt, המתמחה בהתקפות ממוקדות על בנקים, שלחה קמפיין דיוור מטעם הבנק הלאומי של קזחסטן.

המכתבים הכילו קישורים אל hXXps://nationalbank.bz/Doc/Prikaz.doc. המסמך שהורד הכיל מאקרו שהפעיל את Powershell, אשר ינסה לטעון ולהפעיל את הקובץ מ-hXXp://wateroilclub.com/file/dwm.exe ב-%Temp%einmrmdmy.exe. הקובץ %Temp%einmrmdmy.exe aka dwm.exe הוא CobInt stager המוגדר לאינטראקציה עם השרת hXXp://admvmsopp.com/rilruietguadvtoefmuy.

תאר לעצמך שלא תוכל לקבל את הודעות הדיוג האלה ולבצע ניתוח מלא של הקבצים הזדוניים. הגרף של התחום הזדוני nationalbank[.]bz מציג מיד קשרים עם דומיינים זדוניים אחרים, מייחס אותו לקבוצה ומראה באילו קבצים נעשה שימוש בהתקפה.

ניקח את כתובת ה-IP 46.173.219[.]152 מהגרף הזה ונבנה ממנה גרף במעבר אחד ונכבה את הניקוי. ישנם 40 דומיינים הקשורים אליו, למשל, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

אם לשפוט לפי שמות הדומיינים, נראה שהם משמשים בתוכניות הונאה, אבל אלגוריתם הניקוי הבין שהם לא קשורים למתקפה הזו ולא העלה אותם לגרף, מה שמפשט מאוד את תהליך הניתוח והייחוס.

אם תבנה מחדש את הגרף באמצעות nationalbank[.]bz, אך תבטל את אלגוריתם ניקוי הגרפים, אז הוא יכיל יותר מ-500 אלמנטים, שלרובם אין שום קשר לקבוצת Cobalt או להתקפות שלהם. להלן דוגמה לאיך נראה גרף כזה:

מסקנה

לאחר מספר שנים של כוונון עדין, בדיקות בחקירות אמיתיות, חקר איומים וצייד אחר תוקפים, הצלחנו לא רק ליצור כלי ייחודי, אלא גם לשנות את היחס של המומחים בחברה כלפיו. בתחילה, מומחים טכניים רוצים שליטה מלאה על תהליך בניית הגרפים. לשכנע אותם שבניית גרפים אוטומטית יכולה לעשות זאת טוב יותר מאדם עם ניסיון רב שנים היה קשה ביותר. הכל הוחלט על ידי זמן ובדיקות "ידניות" מרובות של התוצאות של מה שהגרף הפיק. כעת המומחים שלנו לא רק סומכים על המערכת, אלא גם משתמשים בתוצאות שהיא משיגה בעבודתם היומיומית. טכנולוגיה זו פועלת בתוך כל אחת מהמערכות שלנו ומאפשרת לנו לזהות טוב יותר איומים מכל סוג. הממשק לניתוח גרפים ידני מובנה בכל מוצרי Group-IB ומרחיב משמעותית את היכולות לציד פשעי סייבר. זה מאושר על ידי ביקורות אנליסטים של לקוחותינו. ואנחנו, בתורנו, ממשיכים להעשיר את הגרף בנתונים ולעבוד על אלגוריתמים חדשים תוך שימוש בבינה מלאכותית כדי ליצור את גרף הרשת המדויק ביותר.

מקור: www.habr.com