Group-IB の専門家は、フィッシング、ボットネット、不正取引、犯罪ハッカー グループに関連する事件を調査し、長年にわたってグラフ分析を使用してさまざまな種類のつながりを特定してきました。 さまざまなケースに、独自のデータセット、接続を識別するための独自のアルゴリズム、および特定のタスクに合わせて調整されたインターフェイスがあります。 これらのツールはすべて Group-IB によって内部開発され、従業員のみが利用できました。

ネットワークインフラのグラフ分析（ネットワークグラフ) は、当社のすべての公開製品に組み込まれた最初の内部ツールとなりました。 ネットワーク グラフを作成する前に、市場での同様の開発を多数分析しましたが、独自のニーズを満たす製品は XNUMX つも見つかりませんでした。 この記事では、ネットワーク グラフをどのように作成し、どのように使用し、どのような困難に遭遇したかについて説明します。

ドミトリー・ヴォルコフ Group-IB の CTO およびサイバー インテリジェンスの責任者

Group-IB ネットワーク グラフでは何ができますか?

調査

2003 年の Group-IB の設立以来、現在に至るまで、サイバー犯罪者を特定し、非難し、裁判にかけることが私たちの仕事の最優先事項となっています。 攻撃者のネットワーク インフラストラクチャを分析せずに完了したサイバー攻撃調査は XNUMX つもありません。 私たちの旅の最初の段階では、ドメイン名、IP アドレス、サーバーのデジタル指紋などの情報など、犯罪者の特定に役立つ可能性のある関係を検索するのはかなり骨の折れる「手作業」でした。

ほとんどの攻撃者は、ネットワーク上で可能な限り匿名で行動しようとします。 しかし、すべての人々と同じように、間違いを犯します。 このような分析の主な目的は、私たちが調査している現在のインシデントで使用された悪意のあるインフラストラクチャと交差する攻撃者の「ホワイト」または「グレー」の歴史的プロジェクトを見つけることです。 「ホワイト プロジェクト」を検出できれば、通常、攻撃者を見つけるのは簡単な作業になります。 「グレー」の場合、所有者が登録データを匿名化または隠蔽しようとするため、検索にはより多くの時間と労力がかかりますが、可能性は依然として非常に高いです。 一般に、犯罪行為の初期段階では、攻撃者は自分の安全にあまり注意を払わず、より多くの間違いを犯すため、ストーリーを深く掘り下げることができればできるほど、捜査が成功する可能性が高くなります。 そのため、良好な履歴を持つネットワーク グラフは、このような調査において非常に重要な要素となります。 簡単に言うと、企業が保有する過去のデータが深いほど、そのグラフはより優れたものになります。 5 年間の履歴が条件付きで 1 件の犯罪のうち 2 ～ 10 件を解決するのに役立ち、15 年間の履歴が XNUMX 件すべてを解決するチャンスがあるとします。

フィッシングと詐欺の検出

フィッシング、詐欺、または海賊版リソースへの疑わしいリンクを受信するたびに、関連するネットワーク リソースのグラフを自動的に作成し、見つかったすべてのホストで同様のコンテンツがないかチェックします。 これにより、活動していたが知られていない古いフィッシング サイトと、将来の攻撃に備えているがまだ使用されていないまったく新しいフィッシング サイトの両方を見つけることができます。 非常に頻繁に発生する基本的な例です。サイトが 5 つしかないサーバー上でフィッシング サイトが見つかりました。 それぞれをチェックすると、他のサイトでフィッシング コンテンツが見つかります。つまり、5 つではなく 1 つをブロックできることになります。

バックエンドを検索する

このプロセスは、悪意のあるサーバーが実際に存在する場所を特定するために必要です。
カード ショップ、ハッカー フォーラム、多くのフィッシング リソース、その他の悪意のあるサーバーの 99% は、独自のプロキシ サーバーと正規のサービス (Cloudflare など) のプロキシの両方の背後に隠されています。 実際のバックエンドに関する知識は調査にとって非常に重要です。サーバーを押収できるホスティング プロバイダーが判明し、他の悪意のあるプロジェクトとの接続を構築することが可能になります。

たとえば、IP アドレス 11.11.11.11 に解決される銀行カード データを収集するフィッシング サイトと、IP アドレス 22.22.22.22 に解決されるカードショップのアドレスがあるとします。 分析中に、フィッシング サイトとカードショップの両方が共通のバックエンド IP アドレス (たとえば、33.33.33.33) を持っていることが判明する場合があります。 この知識により、フィッシング攻撃と銀行カードのデータが販売されるカード ショップとの関係を構築することができます。

イベントの相関関係

攻撃を制御するために、異なるマルウェアと異なるサーバーを使用した XNUMX つの異なるトリガー (たとえば、IDS 上) がある場合、それらを XNUMX つの独立したイベントとして扱います。 しかし、悪意のあるインフラストラクチャ間に良好な関係がある場合、これらは異なる攻撃ではなく、XNUMX つのより複雑な多段階攻撃の段階であることが明らかになります。 また、イベントの XNUMX つがすでに攻撃者のグループによるものである場合、XNUMX 番目のイベントも同じグループによるものである可能性があります。 もちろん、帰属プロセスはさらに複雑なので、これは単純な例として扱ってください。

インジケーターの強化

これはサイバーセキュリティでグラフを使用する最も一般的なシナリオであるため、これにはあまり注意を払いません。入力として XNUMX つの指標を与え、出力として関連する指標の配列を取得します。

パターンの識別

パターンを特定することは、効果的な狩猟のために不可欠です。 グラフを使用すると、関連する要素を見つけるだけでなく、特定のハッカー グループに特徴的な共通のプロパティを識別することもできます。 このような固有の特性を知ることで、準備段階やフィッシングメールやマルウェアなどの攻撃を裏付ける証拠がなくても、攻撃者のインフラストラクチャを認識できるようになります。

なぜ独自のネットワーク グラフを作成したのでしょうか?

繰り返しになりますが、既存の製品ではできないことを実行できる独自のツールを開発する必要があるという結論に達する前に、さまざまなベンダーのソリューションを検討しました。 作成には数年かかり、その間に何度か完全に変更しました。 しかし、長い開発期間にもかかわらず、私たちの要件を満たす類似品はまだ見つかっていません。 独自の製品を使用することで、最終的に、既存のネットワーク グラフで発見されたほぼすべての問題を解決することができました。 以下では、これらの問題について詳しく検討します。

問題
ソリューション

さまざまなデータのコレクションを備えたプロバイダーの欠如: ドメイン、パッシブ DNS、パッシブ SSL、DNS レコード、オープン ポート、ポート上で実行中のサービス、ドメイン名および IP アドレスと対話するファイル。 説明。 通常、プロバイダーは別々の種類のデータを提供するため、全体像を把握するには、すべてのプロバイダーからサブスクリプションを購入する必要があります。 それでも、常にすべてのデータを取得できるわけではありません。一部のパッシブ SSL プロバイダーは、信頼できる CA が発行した証明書に関するデータのみを提供しており、自己署名証明書のカバー範囲は非常に貧弱です。 自己署名証明書を使用してデータを提供するサービスもありますが、標準ポートからのみデータを収集します。
上記のコレクションはすべて自分たちで集めました。 たとえば、SSL 証明書に関するデータを収集するために、信頼できる CA から、および IPv4 空間全体をスキャンすることによって証明書を収集する独自のサービスを作成しました。 証明書は IP からだ​​けでなく、データベースのすべてのドメインとサブドメインからも収集されました。ドメイン example.com とそのサブドメインがある場合 www.example.com これらはすべて IP 1.1.1.1 に解決されるため、IP、ドメイン、およびそのサブドメインのポート 443 から SSL 証明書を取得しようとすると、XNUMX つの異なる結果が得られます。 他のサービスのスキャン サーバーの IP アドレスが「ブラック リスト」に登録されていることが多かったため、開いているポートや実行中のサービスに関するデータを収集するには、独自の分散スキャン システムを作成する必要がありました。 当社のスキャン サーバーも最終的にはブラックリストに掲載されますが、必要なサービスを検出する結果は、単にできるだけ多くのポートをスキャンしてこのデータへのアクセスを販売するサーバーよりも高くなります。

履歴記録のデータベース全体にアクセスできない。 説明。 通常のサプライヤーはどれも、蓄積された良好な履歴を持っていますが、当然の理由により、クライアントである私たちはすべての履歴データにアクセスすることができませんでした。 それらの。 たとえば、ドメインや IP アドレスごとに XNUMX つのレコードの履歴全体を取得することはできますが、すべての履歴を確認することはできません。これがなければ全体像を確認することはできません。
ドメインに関するできるだけ多くの履歴記録を収集するために、私たちはさまざまなデータベースを購入し、この履歴を持つ多くのオープン リソースを解析し (たくさんあるのは良いことです)、ドメイン名レジストラと交渉しました。 もちろん、私たち自身のコレクションに対するすべての更新は、完全な改訂履歴とともに保管されます。

既存のソリューションではすべて、手動でグラフを作成できます。 説明。 考えられるすべてのデータ プロバイダー (通常は「エンリッチャー」と呼ばれます) から大量のサブスクリプションを購入したとします。 グラフを構築する必要がある場合、必要な接続要素から構築するコマンドを「手動で」与え、表示される要素から必要なものを選択し、そこから接続を完了するコマンドを与える、といった具合です。 この場合、グラフがどの程度うまく構築されるかについての責任は完全にその人にあります。
グラフの自動構築を行いました。 それらの。 グラフを構築する必要がある場合、最初の要素からの接続が自動的に構築され、その後、後続のすべての要素からも接続が構築されます。 スペシャリストは、グラフを構築する必要がある深さを示すだけです。 グラフを自動的に完成させるプロセスは簡単ですが、無関係な結果が大量に生成されるため、他のベンダーはこのプロセスを実装していません。また、この欠点も考慮する必要がありました (下記を参照)。

多くの無関係な結果は、すべてのネットワーク要素グラフに問題があります。 説明。 たとえば、（攻撃に参加した）「不正なドメイン」は、過去 10 年間に 500 の他のドメインが関連付けられているサーバーに関連付けられています。 グラフを手動で追加または自動的に構築する場合、攻撃に関連していませんが、これらの 500 のドメインもすべてグラフに表示されるはずです。 または、たとえば、ベンダーのセキュリティ レポートから IP インジケータを確認します。 通常、このようなレポートは大幅に遅れてリリースされ、XNUMX 年以上にわたることもよくあります。 おそらく、レポートを読んだ時点で、この IP アドレスを持つサーバーはすでに他の接続を持つ他の人にレンタルされており、グラフを構築すると、再び無関係な結果が得られることになります。
私たちは、専門家が手動で行ったのと同じロジックを使用して、無関係な要素を識別するようにシステムをトレーニングしました。 たとえば、不正なドメイン example.com をチェックすると、現在は IP 11.11.11.11 に解決され、22.22.22.22 か月前は IP 11.11.11.11 に解決されます。 example.com ドメインに加えて、IP 22.22.22.22 は example.ru に関連付けられ、IP 25 は他の 11.11.11.11 のドメインに関連付けられます。 システムは人間と同じように、22.22.22.22 が専用サーバーである可能性が高いことを理解しています。また、example.ru ドメインのスペルは example.com と似ているため、高い確率でそれらは接続されており、グラフ; ただし、IP 25 は共有ホスティングに属しているため、これら 50 のドメインのいずれかを含める必要があることを示す他の接続がない限り、そのすべてのドメインをグラフに含める必要はありません (example.net など)。 。 システムは、接続を切断する必要があり、一部の要素をグラフに移動しない必要があることを認識する前に、要素とこれらの要素が結合されるクラスターの多くのプロパティ、および現在の接続の強度を考慮します。 たとえば、グラフ上に不良ドメインを含む小さなクラスター (5 要素) と、別の大きなクラスター (XNUMX 要素) があり、両方のクラスターが非常に低い強度 (重み) の接続 (線) で接続されているとします。の場合、そのような接続は切断され、大きなクラスターから要素が削除されます。 しかし、小さなクラスターと大きなクラスターの間に多くの接続があり、それらの強度が徐々に増加する場合、この場合、接続は切断されず、両方のクラスターからの必要な要素がグラフ上に残ります。

サーバーとドメインの所有権の間隔は考慮されません。 説明。 「不正なドメイン」は遅かれ早かれ有効期限が切れ、悪意のある目的または正当な目的で再び購入されることになります。 防弾ホスティング サーバーであっても、さまざまなハッカーにレンタルされているため、特定のドメイン/サーバーが 11.11.11.11 人の所有者の制御下にあった期間を把握し、考慮することが重要です。 IP 2 のサーバーが現在銀行ボットの C&C として使用されており、XNUMX か月前にはランサムウェアによって制御されていたという状況によく遭遇します。 所有権の間隔を考慮せずに接続を構築すると、実際には接続がないにもかかわらず、銀行ボットネットの所有者とランサムウェアの間に接続があるように見えます。 私たちの仕事では、このようなエラーは重大です。
私たちはシステムに所有権の間隔を決定するように教えました。 ドメインの場合、これは比較的簡単です。なぜなら、Whois には登録の開始日と有効期限が含まれていることが多く、Whois の変更の完全な履歴がある場合、間隔を決定するのが簡単だからです。 ドメインの登録の有効期限が切れていないが、その管理が他の所有者に移管されている場合も、追跡することができます。 SSL 証明書の場合は、一度発行されると更新や譲渡がされないため、このような問題はありません。 ただし、自己署名証明書の場合、証明書の有効期間に指定された日付を信頼することはできません。これは、SSL 証明書を今すぐ生成でき、証明書の開始日を 2010 年から指定できるためです。 最も難しいのは、サーバーの所有期間を決定することです。日付とレンタル期間を持っているのはホスティング プロバイダーだけであるためです。 サーバーの所有期間を決定するために、ポート スキャンの結果を使用し、ポート上で実行中のサービスのフィンガープリントを作成し始めました。 この情報を使用すると、サーバーの所有者がいつ変更されたかをかなり正確に知ることができます。

つながりが少ない。 説明。 現在では、Whois に特定の電子メール アドレスが含まれるドメインの無料リストを取得したり、特定の IP アドレスに関連付けられているすべてのドメインを見つけたりすることは、それほど問題ではありません。 しかし、追跡を困難にするために最善を尽くしているハッカーに関しては、新しいプロパティを見つけて新しい接続を構築するための追加のトリックが必要です。
私たちは、従来の方法では利用できなかったデータを抽出する方法を研究することに多くの時間を費やしました。 明白な理由により、それがどのように機能するかをここで説明することはできませんが、特定の状況下では、ハッカーがドメインを登録したり、サーバーをレンタルして設定したりするときに、電子メール アドレス、ハッカーのエイリアス、およびバックエンド アドレスを見つけ出す可能性がある間違いを犯します。 抽出する接続が多いほど、より正確なグラフを構築できます。

グラフの仕組み

ネットワーク グラフの使用を開始するには、ドメイン、IP アドレス、電子メール、または SSL 証明書のフィンガープリントを検索バーに入力する必要があります。 アナリストが制御できる条件は、時間、ステップの深さ、クリアの XNUMX つです。

時間

時刻 – 検索された要素が悪意のある目的で使用された日付または間隔。 このパラメータを指定しない場合、システム自体がこのリソースの最後の所有権間隔を決定します。 たとえば、11 月 XNUMX 日、Eset は レポート Buhtrap がゼロデイ エクスプロイトをサイバースパイ活動にどのように使用するかについて。 レポートの最後には 0 つの指標があります。 そのうちの 6 つである secure-telemetry[.]net は、16 月 16 日に再登録されました。 したがって、126 月 69 日以降にグラフを作成すると、無関係な結果が得られます。 ただし、このドメインがこの日付より前に使用されていたことを示すと、グラフには、Eset レポートにリストされていない XNUMX 個の新しいドメインと XNUMX 個の IP アドレスが含まれます。

• ukrfreshnews[.]com
• unian-search[.]com
• ヴェスティワールド[.]情報
• ルニュースメタ[.]com
• フォックスニュースメタ[.]biz
• sobesednik-meta[.]info
• rian-ua[.]net
• ら。

ネットワーク インジケーターに加えて、このインフラストラクチャとの接続を持つ悪意のあるファイルとの接続、および Meterpreter と AZORult が使用されたことを示すタグがすぐに見つかります。

素晴らしいのは、この結果が XNUMX 秒以内に得られ、データの分析に何日も費やす必要がなくなったことです。 もちろん、このアプローチにより、調査時間が大幅に短縮される場合があり、これは多くの場合重要です。

グラフを構築するステップ数または再帰の深さ

デフォルトでは、深さは 3 です。これは、直接関連するすべての要素が目的の要素から検索され、各新しい要素から他の要素への新しい接続が構築され、最後の要素からの新しい要素から新しい要素が作成されることを意味します。ステップ。

APT とゼロデイ エクスプロイトに関係のない例を見てみましょう。 最近、暗号通貨に関連した興味深い詐欺事件がハブレで説明されました。 このレポートでは、詐欺師がトラフィックを集めるために Miner Coin Exchange や電話検索 [.]xyz を装う Web サイトをホストするために使用するドメイン themcx[.]co について言及しています。

このスキームが不正なリソースにトラフィックを引き付けるためにかなり大規模なインフラストラクチャを必要とすることは、説明から明らかです。 私たちは、4 つのステップでグラフを作成して、このインフラストラクチャを調べることにしました。 出力は、230 のドメインと 39 の IP アドレスを含むグラフでした。 次に、ドメインを 2 つのカテゴリに分類します。XNUMX つは暗号通貨を扱うためのサービスに似たもの、もう XNUMX つは電話認証サービスを通じてトラフィックを促進することを目的としたものです。

暗号通貨関連
電話パンチングサービスに関連するもの

コインキーパー[.]cc
発信者レコード[.]サイト。

mcxwallet[.]co
電話記録[.]スペース

btcnoise[.]com
fone-uncover[.]xyz

クリプトマイナー[.]ウォッチ
番号-uncover[.]情報

クリーニング

デフォルトでは、「グラフのクリーンアップ」オプションが有効になっており、無関係な要素がすべてグラフから削除されます。 ちなみに、これまでのすべての例で使用されていました。 「重要なものが削除されないようにするにはどうすればよいでしょうか?」という当然の疑問が生じると思います。 答えます。手動でグラフを作成したいアナリストの場合、自動クリーニングを無効にして、ステップ数 = 1 を選択できます。次に、アナリストは必要な要素からグラフを完成させ、要素を削除することができます。タスクに関係のないグラフ。

アナリストは、Whois、DNS、オープン ポートとそれらで実行されているサービスの変更履歴がすでにグラフ上に表示されているため、利用できるようになります。

金融フィッシング

私たちは、数年間にわたり、さまざまな地域のさまざまな銀行の顧客に対してフィッシング攻撃を実行していた、ある APT グループの活動を調査しました。 このグループの特徴は、実際の銀行名によく似たドメインを登録していたことで、フィッシングサイトのほとんどは同じデザインで、違いは銀行名とロゴだけでした。

この場合、自動グラフ分析が非常に役に立ちました。 彼らのドメインの 3 つである lloydsbnk-uk[.]com を使用して、数秒で 250 ステップの深さのグラフを作成しました。これにより、2015 年以来このグループによって使用され、現在も使用されている XNUMX 以上の悪意のあるドメインが特定されました。 。 これらのドメインの一部はすでに銀行によって購入されていますが、過去の記録によると、それらは以前に攻撃者に登録されていました。

わかりやすくするために、図には 2 段階の深さのグラフが示されています。

注目に値するのは、すでに 2019 年に攻撃者が戦術をいくらか変更し、Web フィッシングをホストするために銀行のドメインだけでなく、フィッシングメールを送信するためにさまざまなコンサルティング会社のドメインも登録し始めたことです。 たとえば、ドメイン swift-Department.com、saudconsultancy.com、vbgrigoryanpartners.com などです。

コバルトギャング

2018 年 XNUMX 月、銀行に対する標的型攻撃を専門とするハッカー グループ Cobalt が、カザフスタン国立銀行に代わってメール キャンペーンを送信しました。

手紙には、hXXps://nationalbank.bz/Doc/Prikaz.doc へのリンクが含まれていました。 ダウンロードされたドキュメントには、Powershell を起動するマクロが含まれており、%Temp%einmrmdmy.exe 内の hXXp://wateroilclub.com/file/dwm.exe からファイルをロードして実行しようとします。 ファイル %Temp%einmrmdmy.exe 別名 dwm.exe は、サーバー hXXp://admvmsopp.com/rilruietguadvtoefmuy と対話するように構成された CobInt ステージャーです。

これらのフィッシングメールを受信できず、悪意のあるファイルの完全な分析を実行できないことを想像してください。 悪意のあるドメイン Nationalbank[.]bz のグラフには、他の悪意のあるドメインとの接続がすぐに示され、それがグループに属し、どのファイルが攻撃に使用されたかが示されます。

このグラフから IP アドレス 46.173.219[.]152 を取得し、そこから 40 回のパスでグラフを作成し、クリーニングをオフにしてみましょう。 これには 0 のドメインが関連付けられています (例: blXNUMXckchain[.]ug)
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

ドメイン名から判断すると、これらは不正なスキームに使用されているように見えますが、クリーニング アルゴリズムはそれらが今回の攻撃に関連していないことを認識し、グラフに表示しませんでした。これにより、分析と属性のプロセスが大幅に簡素化されます。

Nationalbank[.]bz を使用してグラフ クリーニング アルゴリズムを無効にしてグラフを再構築すると、500 を超える要素が含まれることになりますが、そのほとんどは Cobalt グループやその攻撃とは何の関係もありません。 このようなグラフがどのようになるかの例を以下に示します。

まとめ

数年間にわたる微調整、実際の調査でのテスト、脅威調査、攻撃者の捜索を経て、私たちは独自のツールを作成しただけでなく、それに対する社内の専門家の態度も変えることができました。 当初、技術専門家はグラフ構築プロセスを完全に制御したいと考えていました。 自動グラフ構築の方が長年の経験を持つ人よりもうまくこれを実行できることを彼らに納得させるのは非常に困難でした。 すべては時間と、グラフが生成した結果の複数の「手動」チェックによって決定されました。 現在、当社の専門家はシステムを信頼しているだけでなく、システムから得られる結果を日常業務に活用しています。 このテクノロジーは当社の各システム内で動作し、あらゆる種類の脅威をより適切に識別できるようになります。 手動グラフ分析用のインターフェイスはすべての Group-IB 製品に組み込まれており、サイバー犯罪ハンティングの機能を大幅に拡張します。 これは、クライアントからのアナリストのレビューによって確認されています。 そして私たちは引き続きグラフをデータで強化し、人工知能を使用して最も正確なネットワーク グラフを作成する新しいアルゴリズムに取り組んでいます。

出所： habr.com