იძიებს ფიშინგს, ბოტნეტებს, თაღლითურ ტრანზაქციებს და კრიმინალურ ჰაკერულ ჯგუფებს, Group-IB ექსპერტები მრავალი წლის განმავლობაში იყენებდნენ გრაფიკის ანალიზს სხვადასხვა სახის კავშირების დასადგენად. სხვადასხვა შემთხვევებს აქვთ საკუთარი მონაცემთა ნაკრები, საკუთარი ალგორითმები კავშირების იდენტიფიცირებისთვის და კონკრეტული ამოცანებისთვის მორგებული ინტერფეისები. ყველა ეს ინსტრუმენტი შემუშავებული იყო Group-IB-ის მიერ და ხელმისაწვდომი იყო მხოლოდ ჩვენი თანამშრომლებისთვის.

ქსელის ინფრასტრუქტურის გრაფიკული ანალიზი (ქსელის გრაფიკი) გახდა პირველი შიდა ინსტრუმენტი, რომელიც ჩვენ ჩავუშვით კომპანიის ყველა საჯარო პროდუქტში. ჩვენი ქსელის გრაფიკის შექმნამდე, ჩვენ გავაანალიზეთ ბევრი მსგავსი განვითარება ბაზარზე და ვერ ვიპოვნეთ ერთი პროდუქტი, რომელიც დააკმაყოფილებდა ჩვენს საჭიროებებს. ამ სტატიაში ვისაუბრებთ იმაზე, თუ როგორ შევქმენით ქსელის გრაფიკი, როგორ ვიყენებთ მას და რა სირთულეები შეგვხვდა.

დიმიტრი ვოლკოვი, CTO Group-IB და კიბერ დაზვერვის ხელმძღვანელი

რისი გაკეთება შეუძლია Group-IB ქსელის გრაფიკს?

გამოძიებები

2003 წელს Group-IB-ის დაარსებიდან დღემდე, კიბერდანაშაულების იდენტიფიცირება, გამორიცხვა და მართლმსაჯულების წინაშე წარდგენა ჩვენი მუშაობის მთავარი პრიორიტეტია. არც ერთი კიბერშეტევის გამოძიება არ დასრულებულა თავდამსხმელთა ქსელური ინფრასტრუქტურის გაანალიზების გარეშე. ჩვენი მოგზაურობის დასაწყისშივე, საკმაოდ შრომატევადი „ხელით სამუშაო“ იყო ისეთი ურთიერთობების ძიება, რომლებიც დაეხმარებოდა დამნაშავეების იდენტიფიცირებას: ინფორმაცია დომენის სახელების, IP მისამართების, სერვერების ციფრული თითის ანაბეჭდების შესახებ და ა.შ.

თავდამსხმელების უმეტესობა ცდილობს ქსელში რაც შეიძლება ანონიმურად იმოქმედოს. თუმცა, როგორც ყველა ადამიანი, ისინიც უშვებენ შეცდომებს. ასეთი ანალიზის მთავარი მიზანია თავდამსხმელების „თეთრი“ ან „ნაცრისფერი“ ისტორიული პროექტების პოვნა, რომლებსაც აქვთ კვეთა იმ მავნე ინფრასტრუქტურასთან, რომელიც გამოიყენება მიმდინარე ინციდენტში, რომელსაც ჩვენ ვიძიებთ. თუ შესაძლებელია „თეთრი პროექტების“ აღმოჩენა, მაშინ თავდამსხმელის პოვნა, როგორც წესი, ტრივიალური ამოცანა ხდება. „ნაცრისფერი“ შემთხვევაში, ძიებას მეტი დრო და ძალისხმევა სჭირდება, რადგან მათი მფლობელები ცდილობენ რეგისტრაციის მონაცემების ანონიმიზაციას ან დამალვას, მაგრამ შანსები საკმაოდ მაღალი რჩება. როგორც წესი, კრიმინალური საქმიანობის დასაწყისში თავდამსხმელები ნაკლებ ყურადღებას აქცევენ საკუთარ უსაფრთხოებას და უშვებენ მეტ შეცდომებს, ამიტომ რაც უფრო ღრმად შევძლებთ სიუჟეტში ჩაღრმავებას, მით მეტია წარმატებული გამოძიების შანსები. სწორედ ამიტომ, კარგი ისტორიის მქონე ქსელის გრაფიკი ასეთი გამოძიების უაღრესად მნიშვნელოვანი ელემენტია. მარტივად რომ ვთქვათ, რაც უფრო ღრმა ისტორიული მონაცემები აქვს კომპანიას, მით უკეთესია მისი გრაფიკი. ვთქვათ, რომ 5-წლიანი ისტორია შეიძლება დაგვეხმაროს პირობითად 1-დან 2-10 დანაშაულის გახსნაში, ხოლო 15-წლიანი ისტორია იძლევა ათივე ამოხსნის შანსს.

ფიშინგი და თაღლითობის გამოვლენა

ყოველ ჯერზე, როცა ვიღებთ საეჭვო ბმულს ფიშინგთან, თაღლითურ ან პირატული რესურსით, ჩვენ ავტომატურად ვქმნით დაკავშირებული ქსელის რესურსების გრაფიკს და ვამოწმებთ ყველა ნაპოვნი ჰოსტს მსგავსი შინაარსისთვის. ეს საშუალებას გაძლევთ იპოვოთ როგორც ძველი ფიშინგის საიტები, რომლებიც აქტიური, მაგრამ უცნობი იყო, ასევე სრულიად ახალი, რომლებიც მომზადებულია მომავალი თავდასხმებისთვის, მაგრამ ჯერ არ არის გამოყენებული. ელემენტარული მაგალითი, რომელიც საკმაოდ ხშირად გვხვდება: სერვერზე აღმოვაჩინეთ ფიშინგის საიტი, რომელსაც აქვს მხოლოდ 5 საიტი. თითოეული მათგანის შემოწმებით, სხვა საიტებზე ვხვდებით ფიშინგის შინაარსს, რაც იმას ნიშნავს, რომ ჩვენ შეგვიძლია 5 -ის ნაცვლად დაბლოკოს 1.

მოძებნეთ უკანა პლანზე

ეს პროცესი აუცილებელია იმის დასადგენად, თუ სად მდებარეობს მავნე სერვერი.
ბარათების მაღაზიების, ჰაკერების ფორუმების, ფიშინგის მრავალი რესურსის და სხვა მავნე სერვერების 99% იმალება როგორც საკუთარი პროქსი სერვერების, ასევე ლეგიტიმური სერვისების მარიონეტების მიღმა, მაგალითად, Cloudflare. რეალური backend-ის შესახებ ცოდნა ძალზე მნიშვნელოვანია გამოკვლევებისთვის: ცნობილი ხდება ჰოსტინგის პროვაიდერი, რომლისგანაც შესაძლებელია სერვერის წართმევა და შესაძლებელი ხდება კავშირების დამყარება სხვა მავნე პროექტებთან.

მაგალითად, თქვენ გაქვთ ფიშინგის საიტი საბანკო ბარათის მონაცემების შესაგროვებლად, რომელიც გადადის IP მისამართზე 11.11.11.11 და ბარათის მაღაზიის მისამართი, რომელიც გადადის IP მისამართზე 22.22.22.22. ანალიზის დროს შეიძლება აღმოჩნდეს, რომ როგორც ფიშინგის საიტს, ასევე ბარათის მაღაზიას აქვთ საერთო backend IP მისამართი, მაგალითად, 33.33.33.33. ეს ცოდნა საშუალებას გვაძლევს დავამყაროთ კავშირი ფიშინგ შეტევებსა და ბარათების მაღაზიას შორის, სადაც შესაძლებელია საბანკო ბარათის მონაცემების გაყიდვა.

ღონისძიების კორელაცია

როდესაც თქვენ გაქვთ ორი განსხვავებული ტრიგერი (ვთქვათ IDS-ზე) სხვადასხვა მავნე პროგრამით და სხვადასხვა სერვერებით შეტევის გასაკონტროლებლად, თქვენ მათ განიხილავთ როგორც ორ დამოუკიდებელ მოვლენას. მაგრამ თუ არსებობს კარგი კავშირი მავნე ინფრასტრუქტურებს შორის, მაშინ აშკარა ხდება, რომ ეს არ არის სხვადასხვა შეტევები, არამედ ერთი, უფრო რთული მრავალსაფეხურიანი შეტევის ეტაპები. და თუ ერთ-ერთი მოვლენა უკვე მიეკუთვნება თავდამსხმელთა რომელიმე ჯგუფს, მაშინ მეორეც შეიძლება მიეწეროს იმავე ჯგუფს. რა თქმა უნდა, ატრიბუციის პროცესი ბევრად უფრო რთულია, ამიტომ განიხილეთ ეს, როგორც მარტივი მაგალითი.

ინდიკატორის გამდიდრება

ჩვენ ამას დიდ ყურადღებას არ მივაქცევთ, რადგან ეს არის კიბერუსაფრთხოებაში გრაფიკების გამოყენების ყველაზე გავრცელებული სცენარი: თქვენ აძლევთ ერთ ინდიკატორს შეყვანად, ხოლო გამომავალს მიიღებთ დაკავშირებული ინდიკატორების მასივს.

ნიმუშების იდენტიფიცირება

ნიმუშების იდენტიფიცირება აუცილებელია ეფექტური ნადირობისთვის. გრაფიკები საშუალებას გაძლევთ არა მხოლოდ იპოვოთ დაკავშირებული ელემენტები, არამედ დაადგინოთ საერთო თვისებები, რომლებიც დამახასიათებელია ჰაკერების კონკრეტული ჯგუფისთვის. ასეთი უნიკალური მახასიათებლების ცოდნა საშუალებას გაძლევთ ამოიცნოთ თავდამსხმელის ინფრასტრუქტურა მომზადების ეტაპზეც კი და თავდასხმის დამადასტურებელი მტკიცებულებების გარეშე, როგორიცაა ფიშინგული ელ.წერილი ან მავნე პროგრამა.

რატომ შევქმენით ჩვენი საკუთარი ქსელის გრაფიკი?

ისევ, ჩვენ გადავხედეთ სხვადასხვა გამყიდველების გადაწყვეტილებებს, სანამ მივიდოდით დასკვნამდე, რომ გვჭირდებოდა საკუთარი ხელსაწყოს შემუშავება, რომელსაც შეეძლო ისეთი რამის გაკეთება, რისი გაკეთებაც არცერთ არსებულ პროდუქტს არ შეეძლო. მის შექმნას რამდენიმე წელი დასჭირდა, რომლის განმავლობაშიც რამდენჯერმე მთლიანად შევცვალეთ. მაგრამ, მიუხედავად ხანგრძლივი განვითარების პერიოდისა, ჩვენ ჯერ ვერ ვიპოვნეთ ერთი ანალოგი, რომელიც დააკმაყოფილებდა ჩვენს მოთხოვნებს. ჩვენი საკუთარი პროდუქტის გამოყენებით, ჩვენ საბოლოოდ შევძელით გადაჭრა თითქმის ყველა პრობლემა, რომელიც აღმოვაჩინეთ არსებულ ქსელურ გრაფიკებში. ქვემოთ განვიხილავთ ამ პრობლემებს დეტალურად:

პრობლემა
გადაწყვეტილება

პროვაიდერის ნაკლებობა მონაცემთა სხვადასხვა კოლექციით: დომენები, პასიური DNS, პასიური SSL, DNS ჩანაწერები, ღია პორტები, გაშვებული სერვისები პორტებზე, ფაილები, რომლებიც ურთიერთქმედებენ დომენის სახელებთან და IP მისამართებთან. ახსნა. როგორც წესი, პროვაიდერები უზრუნველყოფენ ცალკეული ტიპის მონაცემებს და სრული სურათის მისაღებად, თქვენ უნდა შეიძინოთ ხელმოწერები ყველასგან. მიუხედავად ამისა, ყოველთვის არ არის შესაძლებელი ყველა მონაცემის მოპოვება: ზოგიერთი პასიური SSL პროვაიდერი აწვდის მონაცემებს მხოლოდ სანდო CA-ების მიერ გაცემული სერთიფიკატების შესახებ და მათი მიერ ხელმოწერილი სერთიფიკატების გაშუქება უკიდურესად ცუდია. სხვები ასევე აწვდიან მონაცემებს ხელმოწერილი სერთიფიკატების გამოყენებით, მაგრამ აგროვებენ მათ მხოლოდ სტანდარტული პორტებიდან.
ყველა ზემოაღნიშნული კოლექცია ჩვენ თვითონ მოვაგროვეთ. მაგალითად, SSL სერთიფიკატების შესახებ მონაცემების შესაგროვებლად, ჩვენ დავწერეთ ჩვენი სერვისი, რომელიც აგროვებს მათ როგორც სანდო CA-ებიდან, ასევე მთელი IPv4 სივრცის სკანირებით. სერთიფიკატები შეგროვდა არა მხოლოდ IP-დან, არამედ ყველა დომენიდან და ქვედომენიდან ჩვენი მონაცემთა ბაზიდან: თუ გაქვთ დომენი example.com და მისი ქვედომენი www.example.com და ისინი ყველა გადაწყვეტენ IP 1.1.1.1-ს, მაშინ როდესაც თქვენ ცდილობთ მიიღოთ SSL სერთიფიკატი 443 პორტიდან IP-ზე, დომენზე და მის ქვედომენზე, შეგიძლიათ მიიღოთ სამი განსხვავებული შედეგი. ღია პორტებისა და გაშვებული სერვისების შესახებ მონაცემების შესაგროვებლად, ჩვენ უნდა შეგვექმნა საკუთარი განაწილებული სკანირების სისტემა, რადგან სხვა სერვისებს ხშირად ჰქონდათ მათი სკანირების სერვერების IP მისამართები „შავ სიებში“. ჩვენი სკანირების სერვერები ასევე ხვდებიან შავ სიებში, მაგრამ ჩვენთვის საჭირო სერვისების გამოვლენის შედეგი უფრო მაღალია, ვიდრე მათ, ვინც უბრალოდ სკანირებს რაც შეიძლება მეტ პორტს და ყიდის ამ მონაცემებზე წვდომას.

ისტორიული ჩანაწერების მთელ მონაცემთა ბაზაზე წვდომის ნაკლებობა. ახსნა. ყველა ნორმალურ მომწოდებელს აქვს კარგი დაგროვილი ისტორია, მაგრამ ბუნებრივი მიზეზების გამო ჩვენ, როგორც კლიენტი, ვერ მივიღეთ წვდომა ყველა ისტორიულ მონაცემზე. იმათ. თქვენ შეგიძლიათ მიიღოთ მთელი ისტორია ერთი ჩანაწერისთვის, მაგალითად, დომენის ან IP მისამართის მიხედვით, მაგრამ თქვენ ვერ ხედავთ ყველაფრის ისტორიას - და ამის გარეშე ვერ ნახავთ სრულ სურათს.
დომენებზე რაც შეიძლება მეტი ისტორიული ჩანაწერის შესაგროვებლად, ჩვენ ვიყიდეთ სხვადასხვა მონაცემთა ბაზები, გავაანალიზეთ მრავალი ღია რესურსი, რომლებსაც ჰქონდათ ეს ისტორია (კარგია, რომ ბევრი მათგანი იყო) და მოლაპარაკება მოვახდინეთ დომენის სახელების რეგისტრატორებთან. ჩვენი საკუთარი კოლექციების ყველა განახლება, რა თქმა უნდა, ინახება სრული გადასინჯვის ისტორიით.

ყველა არსებული გადაწყვეტა საშუალებას გაძლევთ შექმნათ გრაფიკი ხელით. ახსნა. ვთქვათ, თქვენ იყიდეთ ბევრი ხელმოწერა მონაცემთა ყველა შესაძლო პროვაიდერისგან (ჩვეულებრივ უწოდებენ "გამდიდრებს"). როცა გრაფის აწყობა გჭირდებათ, „ხელები“ ​​აძლევთ ბრძანებას აშენება სასურველი კავშირის ელემენტიდან, შემდეგ გამოჩენილი ელემენტებიდან ირჩევთ საჭიროებს და აძლევთ მათგან კავშირების დასრულებას და ა.შ. ამ შემთხვევაში, პასუხისმგებლობა იმაზე, თუ რამდენად კარგად იქნება აწყობილი გრაფიკი, მთლიანად ეკისრება ადამიანს.
გავაკეთეთ გრაფიკების ავტომატური აგება. იმათ. თუ თქვენ გჭირდებათ გრაფის შექმნა, მაშინ კავშირები პირველი ელემენტიდან ავტომატურად აშენდება, შემდეგ ყველა მომდევნოდან. სპეციალისტი მხოლოდ მიუთითებს იმ სიღრმეზე, რომელზედაც საჭიროა გრაფიკის აგება. გრაფიკების ავტომატურად შევსების პროცესი მარტივია, მაგრამ სხვა მომწოდებლები არ ახორციელებენ მას, რადგან ის იძლევა უამრავ შეუსაბამო შედეგებს და ჩვენ ასევე უნდა გავითვალისწინოთ ეს ნაკლი (იხ. ქვემოთ).

ბევრი შეუსაბამო შედეგი არის პრობლემა ქსელის ყველა ელემენტის გრაფიკთან. ახსნა. მაგალითად, "ცუდი დომენი" (შეტევაში მონაწილე) ასოცირდება სერვერთან, რომელსაც აქვს მასთან დაკავშირებული 10 სხვა დომენი ბოლო 500 წლის განმავლობაში. გრაფის ხელით დამატების ან ავტომატურად აგებისას, ყველა ეს 500 დომენი ასევე უნდა გამოჩნდეს გრაფიკზე, თუმცა ისინი არ არიან დაკავშირებული შეტევასთან. ან, მაგალითად, თქვენ შეამოწმეთ IP ინდიკატორი გამყიდველის უსაფრთხოების ანგარიშიდან. როგორც წესი, ასეთი მოხსენებები გამოქვეყნდება მნიშვნელოვანი დაგვიანებით და ხშირად მოიცავს ერთ წელს ან მეტს. დიდი ალბათობით, მოხსენების წაკითხვის დროს, ამ IP მისამართის სერვერი უკვე გაქირავებულია სხვა ადამიანებზე, რომლებსაც აქვთ სხვა კავშირები და გრაფიკის აგება კვლავ გამოიწვევს არარელევანტურ შედეგებს.
ჩვენ ვავარჯიშეთ სისტემა არარელევანტური ელემენტების იდენტიფიცირებისთვის იმავე ლოგიკის გამოყენებით, რასაც ჩვენი ექსპერტები აკეთებდნენ ხელით. მაგალითად, თქვენ ამოწმებთ ცუდ დომენს example.com, რომელიც ახლა გადადის IP 11.11.11.11, ხოლო ერთი თვის წინ - IP 22.22.22.22. დომენის example.com-ის გარდა, IP 11.11.11.11 ასევე ასოცირდება example.ru-სთან, ხოლო IP 22.22.22.22 დაკავშირებულია 25 ათას სხვა დომენთან. სისტემას, ისევე როგორც ადამიანს, ესმის, რომ 11.11.11.11, დიდი ალბათობით, არის გამოყოფილი სერვერი და რადგან example.ru დომენი მართლწერით მსგავსია example.com-ს, მაშინ, დიდი ალბათობით, ისინი დაკავშირებულია და უნდა იყოს გრაფიკი; მაგრამ IP 22.22.22.22 ეკუთვნის საერთო ჰოსტინგს, ამიტომ მისი ყველა დომენი არ არის საჭირო გრაფიკში ჩართვა, თუ არ არის სხვა კავშირები, რომლებიც აჩვენებს, რომ ამ 25 ათასი დომენიდან ერთ-ერთი უნდა იყოს ჩართული (მაგალითად, მაგალითი.net) . სანამ სისტემა გაიგებს, რომ კავშირები უნდა გაწყდეს და ზოგიერთი ელემენტი არ გადავიდეს გრაფიკზე, ის ითვალისწინებს ელემენტებისა და კლასტერების ბევრ თვისებას, რომლებშიც ეს ელემენტებია გაერთიანებული, ასევე მიმდინარე კავშირების სიძლიერეს. მაგალითად, თუ გრაფიკზე გვაქვს პატარა კლასტერი (50 ელემენტი), რომელიც მოიცავს ცუდ დომენს და კიდევ ერთი დიდი კლასტერი (5 ათასი ელემენტი) და ორივე კლასტერი დაკავშირებულია ძალიან დაბალი სიმტკიცით (წონით) კავშირით (ხაზით). , მაშინ ასეთი კავშირი გაწყდება და დიდი კლასტერიდან ელემენტები მოიხსნება. მაგრამ თუ მცირე და დიდ კლასტერებს შორის ბევრი კავშირია და მათი სიძლიერე თანდათან იზრდება, მაშინ ამ შემთხვევაში კავშირი არ გაწყდება და ორივე მტევნისგან საჭირო ელემენტები დარჩება გრაფიკზე.

სერვერისა და დომენის მფლობელობის ინტერვალი არ არის გათვალისწინებული. ახსნა. „ცუდი დომენები“ ადრე თუ გვიან ამოიწურება და კვლავ შეძენილი იქნება მავნე ან ლეგიტიმური მიზნებისთვის. ტყვიაგაუმტარი ჰოსტინგის სერვერებიც კი ქირავდება სხვადასხვა ჰაკერებზე, ამიტომ მნიშვნელოვანია იცოდეთ და გაითვალისწინოთ ის ინტერვალი, როდესაც კონკრეტული დომენი/სერვერი იყო ერთი მფლობელის კონტროლის ქვეშ. ხშირად ვაწყდებით სიტუაციას, როდესაც სერვერი IP 11.11.11.11-ით ახლა გამოიყენება როგორც C&C საბანკო ბოტისთვის და 2 თვის წინ მას აკონტროლებდა Ransomware. თუ ჩვენ ავაშენებთ კავშირს მფლობელობის ინტერვალების გათვალისწინების გარეშე, ისე გამოიყურება, რომ არსებობს კავშირი საბანკო ბოტნეტის მფლობელებსა და გამოსასყიდ პროგრამას შორის, თუმცა სინამდვილეში ეს არ არსებობს. ჩვენს საქმიანობაში, ასეთი შეცდომა კრიტიკულია.
ჩვენ ვასწავლეთ სისტემას საკუთრების ინტერვალების განსაზღვრა. დომენებისთვის ეს შედარებით მარტივია, რადგან whois ხშირად შეიცავს რეგისტრაციის დაწყების და ვადის გასვლის თარიღებს და, როდესაც Whois ცვლილებების სრული ისტორიაა, ადვილია ინტერვალების დადგენა. როდესაც დომენის რეგისტრაციას ვადა არ გაუვიდა, მაგრამ მისი მენეჯმენტი გადაეცა სხვა მფლობელებს, მისი თვალყურის დევნებაც შესაძლებელია. SSL სერთიფიკატებზე ასეთი პრობლემა არ არსებობს, რადგან ისინი ერთხელ გაიცემა და არ განახლდება ან გადადის. მაგრამ თვით ხელმოწერილი სერთიფიკატების შემთხვევაში, თქვენ არ შეგიძლიათ ენდოთ სერტიფიკატის მოქმედების პერიოდში მითითებულ თარიღებს, რადგან შეგიძლიათ SSL სერთიფიკატის გენერირება დღეს და მიუთითოთ სერთიფიკატის დაწყების თარიღი 2010 წლიდან. ყველაზე რთულია სერვერებისთვის საკუთრების ინტერვალების დადგენა, რადგან მხოლოდ ჰოსტინგის პროვაიდერებს აქვთ გაქირავების თარიღები და პერიოდები. სერვერის საკუთრების პერიოდის დასადგენად, ჩვენ დავიწყეთ პორტების სკანირების შედეგების გამოყენება და პორტებზე გაშვებული სერვისების თითის ანაბეჭდების შექმნა. ამ ინფორმაციის გამოყენებით, საკმაოდ ზუსტად შეგვიძლია ვთქვათ, როდის შეიცვალა სერვერის მფლობელი.

ცოტა კავშირები. ახსნა. დღესდღეობით, პრობლემაც კი არ არის დომენების უფასო სიის მიღება, რომელთა whois შეიცავს კონკრეტულ ელ.ფოსტის მისამართს, ან ყველა დომენის გარკვევა, რომელიც დაკავშირებული იყო კონკრეტულ IP მისამართთან. მაგრამ რაც შეეხება ჰაკერებს, რომლებიც ყველაფერს აკეთებენ იმისთვის, რომ ძნელად თვალყური ადევნონ, ჩვენ გვჭირდება დამატებითი ხრიკები ახალი თვისებების მოსაძებნად და ახალი კავშირების შესაქმნელად.
ჩვენ დიდ დროს ვუთმობდით იმის კვლევას, თუ როგორ შეგვეძლო გამოგვეტანა მონაცემები, რომლებიც არ იყო ხელმისაწვდომი ჩვეულებრივი გზით. ჩვენ არ შეგვიძლია აღვწეროთ, თუ როგორ მუშაობს ეს გასაგები მიზეზების გამო, მაგრამ გარკვეულ პირობებში, ჰაკერები, დომენების რეგისტრაციისას ან სერვერების დაქირავებისა და დაყენებისას, უშვებენ შეცდომებს, რაც მათ საშუალებას აძლევს გაარკვიონ ელფოსტის მისამართები, ჰაკერების ფსევდონიმები და სარეზერვო მისამართები. რაც უფრო მეტ კავშირს ამოიღებთ, მით უფრო ზუსტი გრაფიკების შექმნა შეგიძლიათ.

როგორ მუშაობს ჩვენი გრაფიკი

ქსელის გრაფიკის გამოყენების დასაწყებად, თქვენ უნდა შეიყვანოთ დომენი, IP მისამართი, ელ.ფოსტა ან SSL სერთიფიკატის თითის ანაბეჭდი საძიებო ზოლში. არსებობს სამი პირობა, რომელსაც ანალიტიკოსს შეუძლია გააკონტროლოს: დრო, ნაბიჯის სიღრმე და გაწმენდა.

დრო

დრო – თარიღი ან ინტერვალი, როდესაც მოძიებული ელემენტი გამოიყენებოდა მავნე მიზნებისთვის. თუ არ მიუთითებთ ამ პარამეტრს, სისტემა თავად განსაზღვრავს ამ რესურსის მფლობელობის ბოლო ინტერვალს. მაგალითად, 11 ივლისს ესეთმა გამოაქვეყნა ანგარიშს იმის შესახებ, თუ როგორ იყენებს Buhtrap 0-დღიან ექსპლუატაციას კიბერ შპიონაჟისთვის. ანგარიშის ბოლოს არის 6 ინდიკატორი. ერთ-ერთი მათგანი, safe-telemetry[.]net, ხელახლა დარეგისტრირდა 16 ივლისს. ამიტომ, თუ 16 ივლისის შემდეგ ააგებთ გრაფიკს, მიიღებთ შეუსაბამო შედეგებს. მაგრამ თუ მიუთითებთ, რომ ეს დომენი გამოიყენებოდა ამ თარიღამდე, მაშინ გრაფიკი მოიცავს 126 ახალ დომენს, 69 IP მისამართს, რომლებიც არ არის ჩამოთვლილი Eset ანგარიშში:

• ukrfreshnews[.]com
• unian-search[.]com
• Vesti-World [.] ინფორმაცია
• runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]info
• რიან-უა [.] ბადე
• ა.შ.

ქსელის ინდიკატორების გარდა, ჩვენ დაუყოვნებლივ ვპოულობთ კავშირებს მავნე ფაილებთან, რომლებსაც ჰქონდათ კავშირები ამ ინფრასტრუქტურასთან და ტეგები, რომლებიც გვეუბნებიან, რომ გამოყენებული იყო Meterpreter და AZORult.

კარგი ის არის, რომ ამ შედეგს ერთ წამში იღებთ და აღარ გჭირდებათ დღეების დახარჯვა მონაცემების ანალიზზე. რა თქმა უნდა, ეს მიდგომა ზოგჯერ მნიშვნელოვნად ამცირებს გამოძიების დროს, რაც ხშირად კრიტიკულია.

ნაბიჯების რაოდენობა ან რეკურსიის სიღრმე, რომლითაც აშენდება გრაფიკი

ნაგულისხმევად, სიღრმე არის 3. ეს ნიშნავს, რომ ყველა პირდაპირ დაკავშირებული ელემენტი მოიძებნება სასურველი ელემენტიდან, შემდეგ აშენდება ახალი კავშირები ყოველი ახალი ელემენტიდან სხვა ელემენტებთან და ახალი ელემენტები შეიქმნება ახალი ელემენტებიდან ბოლოდან. ნაბიჯი.

ავიღოთ მაგალითი, რომელიც არ არის დაკავშირებული APT-თან და 0-დღიან ექსპლოიტებთან. ცოტა ხნის წინ Habré-ზე კრიპტოვალუტებთან დაკავშირებული თაღლითობის საინტერესო შემთხვევა იყო აღწერილი. მოხსენებაში აღნიშნულია დომენი themcx[.]co, რომელსაც იყენებენ თაღლითები ვებსაიტის მასპინძლობისთვის, რომელიც, როგორც ჩანს, არის Miner Coin Exchange და ტელეფონის ძიება[.]xyz ტრაფიკის მოსაზიდად.

აღწერიდან ირკვევა, რომ სქემა მოითხოვს საკმაოდ დიდ ინფრასტრუქტურას თაღლითური რესურსებისკენ ტრაფიკის მოსაზიდად. ჩვენ გადავწყვიტეთ შევხედოთ ამ ინფრასტრუქტურას 4 საფეხურიანი გრაფიკის შექმნით. გამომავალი იყო გრაფიკი 230 დომენით და 39 IP მისამართით. შემდეგი, ჩვენ ვყოფთ დომენებს 2 კატეგორიად: ისეთები, რომლებიც მსგავსია კრიპტოვალუტებთან მუშაობის სერვისებისა და ისეთები, რომლებიც მიზნად ისახავს ტრაფიკის მართვას ტელეფონის გადამოწმების სერვისების მეშვეობით:

კრიპტოვალუტასთან დაკავშირებული
ასოცირებულია ტელეფონის დაჭერის სერვისებთან

მონეტა[.]სს
აბონენტის ჩანაწერი[.]საიტი.

mcxwallet[.]co
სატელეფონო ჩანაწერები [.] სივრცე

btcnoise [.] com
fone-uncover [.] xyz

Cryptominer [.] Watch
ნომერი-გამოაშკარავება[.]ინფორმაცია

დასუფთავების

ნაგულისხმევად, ჩართულია "გრაფიკის გასუფთავება" ოფცია და ყველა შეუსაბამო ელემენტი წაიშლება გრაფიკიდან. სხვათა შორის, ის გამოიყენებოდა ყველა წინა მაგალითში. მე ვგეგმავ ბუნებრივ კითხვას: როგორ დავრწმუნდეთ, რომ რაღაც მნიშვნელოვანი არ წაიშლება? მე ვპასუხობ: ანალიტიკოსებს, რომლებსაც უყვართ გრაფიკების ხელით აგება, ავტომატური გაწმენდა შეიძლება გამორთოთ და აირჩიონ ნაბიჯების რაოდენობა = 1. შემდეგ, ანალიტიკოსს შეეძლება შეავსოს გრაფიკი მისთვის საჭირო ელემენტებიდან და ამოიღოს ელემენტები. გრაფიკი, რომელიც შეუსაბამოა დავალებისთვის.

უკვე გრაფიკზე, ანალიტიკოსისთვის ხელმისაწვდომი ხდება whois-ის, DNS-ის, ასევე ღია პორტებისა და მათზე გაშვებული სერვისების ცვლილებების ისტორია.

ფინანსური ფიშინგი

ჩვენ გამოვიკვლიეთ ერთი APT ჯგუფის საქმიანობა, რომელიც რამდენიმე წლის განმავლობაში ახორციელებდა ფიშინგ შეტევებს სხვადასხვა ბანკის კლიენტების წინააღმდეგ სხვადასხვა რეგიონში. ამ ჯგუფის დამახასიათებელი თვისება იყო დომენების რეგისტრაცია, რომლებიც ძალიან ჰგავდა რეალური ბანკების სახელებს და ფიშინგ საიტების უმეტესობას იგივე დიზაინი ჰქონდა, განსხვავება მხოლოდ ბანკების სახელებსა და მათ ლოგოებში იყო.

ამ შემთხვევაში, გრაფიკის ავტომატური ანალიზით ბევრი დაგვეხმარა. მათი ერთ-ერთი დომენის - lloydsbnk-uk[.]com-ის აღებით, რამდენიმე წამში ავაშენეთ გრაფიკი 3 ნაბიჯის სიღრმით, რომელმაც გამოავლინა 250-ზე მეტი მავნე დომენი, რომლებიც გამოიყენებოდა ამ ჯგუფის მიერ 2015 წლიდან და კვლავაც გამოიყენება. . ამ დომენის ზოგიერთი ნაწილი უკვე შეიძინა ბანკებმა, მაგრამ ისტორიული ჩანაწერები აჩვენებს, რომ ისინი ადრე დარეგისტრირდნენ თავდამსხმელებზე.

სიცხადისთვის, ფიგურაში ნაჩვენებია გრაფიკი 2 ნაბიჯის სიღრმეზე.

აღსანიშნავია, რომ უკვე 2019 წელს თავდამსხმელებმა გარკვეულწილად შეცვალეს ტაქტიკა და დაიწყეს არა მხოლოდ ბანკების დომენების რეგისტრაცია ვებ ფიშინგის ჰოსტინგისთვის, არამედ სხვადასხვა საკონსულტაციო კომპანიის დომენების დარეგისტრირება ფიშინგ ელ.ფოსტის გასაგზავნად. მაგალითად, დომენები swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.

კობალტის ბანდა

2018 წლის დეკემბერში ჰაკერულმა ჯგუფმა Cobalt-მა, რომელიც სპეციალიზირებულია ბანკებზე მიზანმიმართულ თავდასხმებზე, გაგზავნა საფოსტო კამპანია ყაზახეთის ეროვნული ბანკის სახელით.

ასოებში შედიოდა ბმულები hxxps: //nationalbank.bz/doc/prikaz.doc. გადმოწერილი დოკუმენტი შეიცავდა მაკროს, რომელმაც გაუშვა Powershell, რომელიც შეეცდებოდა ფაილის ჩატვირთვას და შესრულებას hXXp://wateroilclub.com/file/dwm.exe-დან %Temp%einmrmdmy.exe-ში. ფაილის %temp %einmrmdmy.exe aka dwm.exe არის cobint stager, რომელიც კონფიგურებულია სერვერზე

წარმოიდგინეთ, რომ ვერ შეძლებთ ამ ფიშინგის ელ.ფოსტის მიღებას და მავნე ფაილების სრულ ანალიზს. მავნე დომენის Nationalbank[.]bz გრაფიკი დაუყოვნებლივ აჩვენებს კავშირებს სხვა მავნე დომენებთან, ანიჭებს მას ჯგუფს და აჩვენებს, თუ რომელი ფაილი იყო გამოყენებული თავდასხმაში.

ავიღოთ IP მისამართი 46.173.219[.]152 ამ გრაფიკიდან და ავაშენოთ მისგან გრაფიკი ერთი გადასასვლელით და გამორთოთ გაწმენდა. მასთან ასოცირდება 40 დომენი, მაგალითად, bl0ckchain[.]ug
paypal.co.uk.qlg6 [.] PW
cryptoelips[.]com

დომენური სახელების მიხედვით თუ ვიმსჯელებთ, როგორც ჩანს, ისინი გამოიყენება თაღლითურ სქემებში, მაგრამ დასუფთავების ალგორითმი მიხვდა, რომ ისინი არ იყო დაკავშირებული ამ თავდასხმასთან და არ მოათავსა ისინი გრაფიკზე, რაც მნიშვნელოვნად ამარტივებს ანალიზისა და ატრიბუციის პროცესს.

თუ თქვენ ხელახლა ააწყობთ გრაფიკს Nationalbank[.]bz-ის გამოყენებით, მაგრამ გამორთავთ გრაფიკის გაწმენდის ალგორითმს, მაშინ ის შეიცავს 500-ზე მეტ ელემენტს, რომელთა უმეტესობას არანაირი კავშირი არ აქვს კობალტის ჯგუფთან ან მათ შეტევებთან. მაგალითი იმისა, თუ როგორ გამოიყურება ასეთი გრაფიკი, მოცემულია ქვემოთ:

დასკვნა

რამდენიმეწლიანი დახვეწის, რეალურ გამოძიებებში ტესტირების, საფრთხის კვლევისა და თავდამსხმელებზე ნადირობის შემდეგ, ჩვენ მოვახერხეთ არა მხოლოდ უნიკალური ინსტრუმენტის შექმნა, არამედ კომპანიის ექსპერტების დამოკიდებულება მის მიმართ. თავდაპირველად, ტექნიკურ ექსპერტებს სურთ სრული კონტროლი გრაფიკის მშენებლობის პროცესზე. მათ დაარწმუნეთ, რომ ავტომატური გრაფიკის მშენებლობას შეეძლო ამის გაკეთება უკეთესად, ვიდრე მრავალწლიანი გამოცდილების მქონე ადამიანი, ძალიან რთული იყო. ყველაფერი გადაწყვიტეს დროულად და მრავალჯერადი "სახელმძღვანელო" შემოწმებები იმ შედეგების შესახებ, რაც გრაფიკმა წარმოქმნა. ახლა ჩვენი ექსპერტები არა მხოლოდ ენდობიან სისტემას, არამედ იყენებენ იმ შედეგებს, რაც მათ ყოველდღიურ მუშაობაში მიიღებს. ეს ტექნოლოგია მუშაობს ჩვენს თითოეულ სისტემაში და საშუალებას გვაძლევს უკეთესად განვსაზღვროთ ნებისმიერი ტიპის საფრთხეები. გრაფიკის ხელით ანალიზის ინტერფეისი ჩაშენებულია Group-IB-ის ყველა პროდუქტში და მნიშვნელოვნად აფართოებს კიბერდანაშაულზე ნადირობის შესაძლებლობებს. ეს დასტურდება ჩვენი კლიენტების ანალიტიკოსების მიმოხილვით. ჩვენ, თავის მხრივ, ვაგრძელებთ გრაფიკის გამდიდრებას მონაცემებით და ახალ ალგორითმებზე მუშაობას ხელოვნური ინტელექტის გამოყენებით ყველაზე ზუსტი ქსელური გრაფიკის შესაქმნელად.

წყარო: www.habr.com