Фишингке, ботнеттерге, алаяқтық транзакцияларға және қылмыстық хакерлер топтарына қатысты істерді зерттей отырып, Group-IB сарапшылары әртүрлі байланыс түрлерін анықтау үшін көптеген жылдар бойы графикалық талдауды пайдаланып келеді. Әртүрлі жағдайлардың өз деректер жиыны, қосылымдарды анықтауға арналған өз алгоритмдері және нақты тапсырмаларға бейімделген интерфейстері бар. Бұл құралдардың барлығы Group-IB компаниясында әзірленген және тек біздің қызметкерлерге ғана қолжетімді болды.

Желілік инфрақұрылымның графикалық талдауы (желілік график) біз компанияның барлық қоғамдық өнімдеріне енгізген бірінші ішкі құрал болды. Желілік графикті жасамас бұрын, біз нарықтағы көптеген ұқсас оқиғаларды талдадық және өз қажеттіліктерімізді қанағаттандыратын бірде-бір өнімді таппадық. Бұл мақалада біз желілік графикті қалай жасағанымыз, оны қалай қолданатынымыз және қандай қиындықтарға тап болғанымыз туралы айтатын боламыз.

Дмитрий Волков, CTO Group-IB және кибер барлау бөлімінің басшысы

Group-IB желілік графигі не істей алады?

Зерттеулер

2003 жылы Group-IB негізі қаланған сәттен бастап бүгінгі күнге дейін киберқылмыскерлерді анықтау, оларды жою және сотқа тарту біздің жұмысымыздың басты басымдығы болып табылады. Бірде-бір кибершабуыл тергеуі шабуылдаушылардың желілік инфрақұрылымын талдамай аяқталмады. Біздің саяхатымыздың басында қылмыскерлерді анықтауға көмектесетін қарым-қатынастарды іздеу өте қиын «қол жұмысы» болды: домендік атаулар, IP мекенжайлары, серверлердің цифрлық саусақ іздері және т.б.

Көптеген шабуылдаушылар желіде мүмкіндігінше жасырын әрекет етуге тырысады. Дегенмен, барлық адамдар сияқты, олар да қателеседі. Мұндай талдаудың негізгі мақсаты - біз зерттеп жатқан ағымдағы оқиғада пайдаланылған зиянды инфрақұрылыммен қиылысуы бар шабуылдаушының «ақ» немесе «сұр» тарихи жобаларын табу. Егер «ақ жобаларды» анықтау мүмкін болса, шабуылдаушыны табу, әдетте, тривиальды тапсырмаға айналады. «Сұр» болған жағдайда, іздеу көп уақыт пен күш жұмсайды, өйткені олардың иелері тіркеу деректерін жасыруға немесе жасыруға тырысады, бірақ мүмкіндік өте жоғары болып қалады. Әдетте, қылмыстық әрекеттерінің басында шабуылдаушылар өздерінің қауіпсіздігіне аз көңіл бөледі және көп қателіктер жібереді, сондықтан оқиғаға неғұрлым тереңірек үңілсек, сәтті тергеу мүмкіндігі соғұрлым жоғары болады. Сондықтан жақсы тарихы бар желілік графика мұндай тергеудің өте маңызды элементі болып табылады. Қарапайым тілмен айтқанда, компанияның тарихи деректері неғұрлым терең болса, оның графигі соғұрлым жақсы болады. Айталық, 5 жылдық тарих шартты түрде 1 қылмыстың 2-10-ін ашуға көмектеседі, ал 15 жылдық тарих барлық он қылмысты ашуға мүмкіндік береді.

Фишинг және алаяқтықты анықтау

Біз фишинг, алаяқтық немесе қарақшылық ресурсқа күдікті сілтеме алған сайын, біз автоматты түрде сәйкес желі ресурстарының графигін құрастырамыз және барлық табылған хосттарды ұқсас мазмұнға тексереміз. Бұл белсенді, бірақ белгісіз ескі фишингтік сайттарды, сондай-ақ болашақ шабуылдарға дайындалған, бірақ әлі пайдаланылмаған мүлдем жаңаларын табуға мүмкіндік береді. Жиі кездесетін қарапайым мысал: біз тек 5 сайты бар серверде фишинг сайтын таптық. Олардың әрқайсысын тексере отырып, біз басқа сайттардан фишингтік мазмұнды табамыз, яғни 5-нің орнына 1-ті блоктай аламыз.

Бейнені іздеу

Бұл процесс зиянды сервер нақты қай жерде орналасқанын анықтау үшін қажет.
Карточкалық дүкендердің, хакерлер форумдарының, көптеген фишингтік ресурстардың және басқа зиянды серверлердің 99%-ы өздерінің прокси-серверлерінің және заңды қызметтердің, мысалы, Cloudflare проксилерінің артында жасырылған. Тергеу үшін нақты сервер туралы білім өте маңызды: серверді басып алуға болатын хостинг провайдері белгілі болады және басқа зиянды жобалармен байланыс орнатуға болады.

Мысалы, сізде 11.11.11.11 IP мекенжайына шешілетін банк картасы деректерін жинауға арналған фишинг сайты және 22.22.22.22 IP мекенжайына шешілетін карта дүкенінің мекенжайы бар. Талдау кезінде фишинг сайтында да, карта дүкенінде де ортақ сервер IP мекенжайы бар екені белгілі болуы мүмкін, мысалы, 33.33.33.33. Бұл білім фишингтік шабуылдар мен банк картасының деректері сатылуы мүмкін карта дүкені арасында байланыс орнатуға мүмкіндік береді.

Оқиға корреляциясы

Сізде шабуылды басқару үшін әртүрлі зиянды бағдарламалары және әртүрлі серверлері бар екі түрлі триггерлер (IDS-де айталық) болғанда, сіз оларды екі тәуелсіз оқиға ретінде қарастырасыз. Бірақ егер зиянды инфрақұрылымдар арасында жақсы байланыс болса, онда бұл әртүрлі шабуылдар емес, бір күрделірек көп сатылы шабуылдың кезеңдері екені анық болады. Ал егер оқиғалардың біреуі шабуылдаушылар тобына қатысты болса, екіншісін де сол топқа жатқызуға болады. Әрине, атрибуция процесі әлдеқайда күрделі, сондықтан оны қарапайым мысал ретінде қарастырыңыз.

Көрсеткіштерді байыту

Біз бұған көп мән бермейміз, өйткені бұл киберқауіпсіздікте графиктерді пайдаланудың ең көп тараған сценарийі: кіріс ретінде бір көрсеткішті бересіз, ал шығыс ретінде байланысты көрсеткіштердің жиымын аласыз.

Үлгілерді анықтау

Нәтижелі аң аулау үшін үлгілерді анықтау өте маңызды. Графиктер тек байланысты элементтерді табуға ғана емес, сонымен қатар хакерлердің белгілі бір тобына тән жалпы қасиеттерді анықтауға мүмкіндік береді. Мұндай бірегей сипаттамаларды білу сізге шабуылдаушының инфрақұрылымын тіпті дайындық сатысында және фишингтік электрондық пошта немесе зиянды бағдарлама сияқты шабуылды растайтын дәлелдерсіз тануға мүмкіндік береді.

Неліктен біз өзіміздің желілік графикті жасадық?

Қайтадан, біз ешбір өнім жасай алмайтын нәрсені жасай алатын өз құралымызды жасауымыз керек деген қорытындыға келмес бұрын әртүрлі жеткізушілердің шешімдерін қарастырдық. Оны жасауға бірнеше жыл қажет болды, осы уақыт ішінде біз оны бірнеше рет толығымен өзгерттік. Бірақ, ұзақ даму кезеңіне қарамастан, біз әлі де біздің талаптарды қанағаттандыратын бір аналогты таба алмадық. Өз өнімімізді пайдалана отырып, біз ақыр соңында бар желілік графиктерде тапқан барлық дерлік мәселелерді шеше алдық. Төменде біз бұл мәселелерді егжей-тегжейлі қарастырамыз:

проблема
шешім

Әр түрлі деректер жинақтары бар провайдердің жоқтығы: домендер, пассивті DNS, пассивті SSL, DNS жазбалары, ашық порттар, порттарда іске қосылған қызметтер, домен атауларымен және IP мекенжайларымен әрекеттесетін файлдар. Түсіндіру. Әдетте, провайдерлер деректердің бөлек түрлерін ұсынады және толық суретті алу үшін сіз барлығынан жазылымдарды сатып алуыңыз керек. Дегенмен, барлық деректерді алу әрқашан мүмкін бола бермейді: кейбір пассивті SSL провайдерлері тек сенімді CA шығарған сертификаттар туралы деректерді береді және олардың өздігінен қол қойылған сертификаттарды қамтуы өте нашар. Басқалары да өздігінен қол қойылған сертификаттарды пайдаланып деректерді береді, бірақ оны тек стандартты порттардан жинайды.
Жоғарыда аталған жинақтардың барлығын өзіміз жинадық. Мысалы, SSL сертификаттары туралы деректерді жинау үшін біз оларды сенімді CA-дан және бүкіл IPv4 кеңістігін сканерлеу арқылы жинайтын өз қызметімізді жаздық. Сертификаттар тек IP-ден ғана емес, сонымен қатар біздің дерекқорымыздағы барлық домендерден және қосалқы домендерден жиналды: егер сізде example.com домені және оның қосалқы домені болса. www.example.com және олардың барлығы IP 1.1.1.1 бойынша шешіледі, содан кейін IP, домен және оның қосалқы доменіндегі 443 портынан SSL сертификатын алуға әрекеттенгенде, үш түрлі нәтиже алуға болады. Ашық порттар мен іске қосылған қызметтер туралы деректерді жинау үшін біз өзіміздің бөлінген сканерлеу жүйесін құруға тура келді, өйткені басқа қызметтерде сканерлеу серверлерінің IP мекенжайлары «қара тізімдерде» жиі болатын. Біздің сканерлеу серверлеріміз де қара тізімге түседі, бірақ бізге қажет қызметтерді анықтау нәтижесі мүмкіндігінше көп порттарды сканерлеп, осы деректерге қолжетімділікті сататындарға қарағанда жоғары.

Тарихи жазбалардың барлық дерекқорына қол жеткізудің болмауы. Түсіндіру. Әрбір қалыпты жеткізушінің жақсы жинақталған тарихы бар, бірақ табиғи себептерге байланысты біз клиент ретінде барлық тарихи деректерге қол жеткізе алмадық. Анау. Бір жазба үшін бүкіл тарихты алуға болады, мысалы, домен немесе IP мекенжайы бойынша, бірақ сіз барлығының тарихын көре алмайсыз - онсыз толық суретті көре алмайсыз.
Домендер бойынша мүмкіндігінше көп тарихи жазбаларды жинау үшін біз әртүрлі дерекқорларды сатып алдық, осы тарихы бар көптеген ашық ресурстарды талдадық (олардың көп болғаны жақсы) және домендік атауларды тіркеушілермен келіссөздер жүргіздік. Біздің жеке жинақтарымыздың барлық жаңартулары, әрине, толық қайта қарау тарихымен сақталады.

Барлық қолданыстағы шешімдер графикті қолмен құруға мүмкіндік береді. Түсіндіру. Сіз барлық ықтимал деректер жеткізушілерінен (әдетте «байытқыштар» деп аталады) көптеген жазылымдарды сатып алдыңыз делік. Графикті құру қажет болғанда, сіз «қолдармен» қажетті қосылым элементінен құрастыру командасын бересіз, содан кейін пайда болған элементтердің ішінен қажеттісін таңдап, олардан қосылымдарды аяқтау командасын бересіз және т.б. Бұл жағдайда графиктің қаншалықты жақсы құрастырылатынына жауапкершілік толығымен адамға жүктеледі.
Біз графиктерді автоматты түрде құрастырдық. Анау. егер сізге график құру қажет болса, онда бірінші элементтен қосылымдар автоматты түрде, содан кейін барлық кейінгілерден де құрастырылады. Маман тек сызбаны салу керек тереңдікті көрсетеді. Графиктерді автоматты түрде толтыру процесі қарапайым, бірақ басқа жеткізушілер оны жүзеге асырмайды, өйткені ол маңызды емес нәтижелердің үлкен санын береді, және біз де бұл кемшілікті ескеруіміз керек болды (төменде қараңыз).

Көптеген маңызды емес нәтижелер барлық желі элементтерінің графиктеріне қатысты мәселе болып табылады. Түсіндіру. Мысалы, «жаман домен» (шабуылға қатысқан) соңғы 10 жылда онымен байланысты 500 басқа домені бар сервермен байланысты. Графикті қолмен қосқанда немесе автоматты түрде құрастырған кезде, шабуылға қатысты болмаса да, осы 500 доменнің барлығы графикте пайда болуы керек. Немесе, мысалы, жеткізушінің қауіпсіздік есебіндегі IP көрсеткішін тексересіз. Әдетте мұндай есептер айтарлықтай кідіріспен шығарылады және көбінесе бір жыл немесе одан да көп уақытты қамтиды. Сіз есепті оқыған кезде, осы IP мекенжайы бар сервер басқа қосылымдары бар басқа адамдарға жалға алынған болуы мүмкін және графикті құру қайтадан маңызды емес нәтижелерге әкеледі.
Біз жүйені сарапшыларымыз қолмен жасаған логиканы пайдаланып, маңызды емес элементтерді анықтауға үйреттік. Мысалы, сіз қазір IP 11.11.11.11 және бір ай бұрын IP 22.22.22.22 болып шешілетін example.com нашар доменін тексеріп жатырсыз. example.com доменінен басқа IP 11.11.11.11 де example.ru, ал IP 22.22.22.22 25 мың басқа домендермен байланысты. Жүйе, адам сияқты, 11.11.11.11, ең алдымен, бөлінген сервер екенін түсінеді және example.ru домені example.com-ға жазылуы бойынша ұқсас болғандықтан, олар жоғары ықтималдықпен қосылған және желіде болуы керек. график; бірақ IP 22.22.22.22 ортақ хостингке жатады, сондықтан осы 25 мың доменнің біреуін қосу қажет екенін көрсететін басқа қосылымдар болмаса, оның барлық домендерін графикке қосудың қажеті жоқ (мысалы, example.net) . Жүйе байланыстарды үзу және кейбір элементтерді графикке жылжытпау қажет екенін түсінбес бұрын, ол осы элементтер біріктірілген элементтер мен кластерлердің көптеген қасиеттерін, сондай-ақ ағымдағы байланыстардың беріктігін ескереді. Мысалы, егер графикте нашар доменді қамтитын шағын кластер (50 элемент) болса және тағы бір үлкен кластер (5 мың элемент) болса және екі кластер де өте төмен беріктігі (салмағы) бар байланыс (сызық) арқылы қосылған болса. , содан кейін мұндай байланыс үзіліп, үлкен кластерден элементтер жойылады. Бірақ шағын және үлкен кластерлер арасында көптеген байланыстар болса және олардың күші бірте-бірте жоғарыласа, онда бұл жағдайда байланыс үзілмейді және екі кластерден қажетті элементтер графикте қалады.

Сервер мен домен иелену аралығы есепке алынбайды. Түсіндіру. «Жаман домендердің» мерзімі ерте ме, кеш пе аяқталады және зиянды немесе заңды мақсаттар үшін қайтадан сатып алынады. Тіпті оқ өткізбейтін хостинг серверлері әртүрлі хакерлерге жалға беріледі, сондықтан белгілі бір домен/сервер бір иесінің бақылауында болған уақыт аралығын білу және ескеру өте маңызды. Біз IP 11.11.11.11 сервер қазір банктік бот үшін C&C ретінде пайдаланылатын және 2 ай бұрын оны Ransomware басқаратын жағдайға жиі тап боламыз. Байланысты иелену аралықтарын есепке алмасақ, ол банктік ботнет пен төлем бағдарламалық құралының иелері арасында байланыс бар сияқты болады, бірақ іс жүзінде жоқ. Біздің жұмысымызда мұндай қателік өте маңызды.
Біз жүйені иелену аралықтарын анықтауды үйреттік. Домендер үшін бұл салыстырмалы түрде қарапайым, себебі whois жиі тіркеудің басталу және жарамдылық мерзімін қамтиды және whois өзгерістерінің толық тарихы болған кезде аралықтарды анықтау оңай. Доменді тіркеу мерзімі аяқталмаған, бірақ оны басқару басқа иелерге берілгенде, оны да бақылауға болады. SSL сертификаттары үшін мұндай проблема жоқ, өйткені олар бір рет шығарылады және жаңартылмайды немесе берілмейді. Бірақ өздігінен қол қойылған сертификаттармен сіз сертификаттың жарамдылық мерзімінде көрсетілген күндерге сене алмайсыз, себебі бүгін SSL сертификатын жасай аласыз және сертификаттың басталу күнін 2010 жылдан бастап көрсете аласыз. Ең қиыны серверлерге иелік ету аралықтарын анықтау болып табылады, өйткені тек хостинг-провайдерлерде күндер мен жалға алу мерзімі бар. Серверді иелену мерзімін анықтау үшін біз порттарды сканерлеу және порттарда іске қосылған қызметтердің саусақ іздерін жасау нәтижелерін пайдалана бастадық. Бұл ақпаратты пайдалана отырып, біз сервер иесінің қашан өзгергенін дәл айта аламыз.

Қосылымдар аз. Түсіндіру. Қазіргі уақытта whois-де белгілі бір электрондық пошта мекенжайы бар домендердің тегін тізімін алу немесе белгілі бір IP мекенжайымен байланыстырылған барлық домендерді табу қиын емес. Бірақ бақылау қиын болу үшін барын салатын хакерлерге келетін болсақ, бізге жаңа қасиеттерді табу және жаңа байланыстар құру үшін қосымша амалдар қажет.
Біз әдеттегі жолмен қол жетімді емес деректерді қалай алуға болатынын зерттеуге көп уақыт жұмсадық. Біз бұл жерде оның қалай жұмыс істейтінін анық себептермен сипаттай алмаймыз, бірақ белгілі бір жағдайларда хакерлер домендерді тіркеу немесе серверлерді жалға алу және орнату кезінде электрондық пошта мекенжайларын, хакерлік бүркеншік аттарды және серверлік мекенжайларды табуға мүмкіндік беретін қателіктер жібереді. Неғұрлым көп қосылымдарды шығарсаңыз, соғұрлым дәлірек графиктер жасай аласыз.

Біздің график қалай жұмыс істейді

Желілік графикті пайдалануды бастау үшін іздеу жолағына доменді, IP мекенжайын, электрондық поштаны немесе SSL сертификатының саусақ ізін енгізу керек. Талдаушы басқара алатын үш шарт бар: уақыт, қадам тереңдігі және тазарту.

Время

Уақыт – ізделетін элемент зиянды мақсаттарда пайдаланылған күн немесе аралық. Бұл параметрді көрсетпесеңіз, жүйенің өзі осы ресурстың соңғы иелену аралығын анықтайды. Мысалы, 11 шілдеде Есет шықты есеп Buhtrap кибер тыңшылық үшін 0 күндік эксплойтты қалай пайдаланатыны туралы. Есептің соңында 6 көрсеткіш бар. Олардың бірі, security-telemetry[.]net 16 шілдеде қайта тіркелді. Сондықтан, егер сіз 16 шілдеден кейін графикті құрсаңыз, сіз маңызды емес нәтижелерге қол жеткізесіз. Бірақ бұл доменнің осы күнге дейін пайдаланылғанын көрсетсеңіз, графикте Eset есебінде тізімде жоқ 126 жаңа домен, 69 IP мекенжайы бар:

• ukrfreshnews[.]com
• unian-search[.]com
• vesti-world[.]info
• runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]ақпарат
• rian-ua[.]net
• және басқалар.

Желі көрсеткіштерінен басқа, біз осы инфрақұрылыммен байланысы бар зиянды файлдармен қосылымдарды және Meterpreter және AZORult пайдаланылғанын көрсететін тегтерді бірден табамыз.

Ең жақсысы, сіз бұл нәтижені бір секунд ішінде аласыз және деректерді талдауға күн жұмсаудың қажеті жоқ. Әрине, бұл тәсіл кейде тергеу уақытын айтарлықтай қысқартады, бұл көбінесе өте маңызды.

График құрастырылатын қадамдар саны немесе рекурсия тереңдігі

Әдепкі бойынша тереңдік 3. Бұл барлық тікелей байланысты элементтер қажетті элементтен табылатынын, содан кейін әрбір жаңа элементтен басқа элементтерге жаңа қосылымдар құрылатынын және соңғы элементтердің жаңа элементтерінен жаңа элементтердің жасалатынын білдіреді. қадам.

APT және 0 күндік эксплойттарға қатысы жоқ мысалды алайық. Жақында Habré сайтында криптовалюталарға қатысты қызықты алаяқтық оқиғасы сипатталды. Есепте алаяқтар Miner Coin Exchange және трафикті тарту үшін телефон арқылы іздеу[.]xyz деп есептейтін веб-сайтты орналастыру үшін пайдаланатын themcx[.]co домені туралы айтылған.

Схема трафикті жалған ресурстарға тарту үшін жеткілікті үлкен инфрақұрылымды қажет ететіні сипаттамадан анық. Біз бұл инфрақұрылымды 4 қадамнан тұратын график құру арқылы қарауды шештік. Шығару 230 домен мен 39 IP мекенжайы бар график болды. Әрі қарай, біз домендерді 2 санатқа бөлеміз: криптовалюталармен жұмыс істеу қызметтеріне ұқсас және телефон арқылы тексеру қызметтері арқылы трафикті жүргізуге арналған:

Криптовалютаға қатысты
Телефонды тесу қызметтерімен байланысты

coinkeeper[.]cc
қоңырау шалушы жазбасы[.]сайты.

mcxwallet[.]co
phone-records[.]кеңістігі

btcnoise[.]com
fone-uncover[.]xyz

криптоминер[.]сағат
нөмірді ашу[.]ақпарат

Тазалау

Әдепкі бойынша, «Графикті тазалау» опциясы қосылады және барлық қатысы жоқ элементтер графиктен жойылады. Айтпақшы, ол барлық алдыңғы мысалдарда қолданылған. Мен табиғи сұрақты болжап отырмын: маңызды нәрсе жойылмағанына қалай көз жеткізуге болады? Мен жауап беремін: графиктерді қолмен салуды ұнататын талдаушылар үшін автоматтандырылған тазалауды өшіріп, қадамдар санын = 1 таңдауға болады. Содан кейін талдаушы өзіне қажетті элементтерден графикті толтырып, элементтерді алып тастай алады. тапсырмаға қатысы жоқ график.

Графикте қазірдің өзінде талдаушыға whois, DNS, сондай-ақ ашық порттар мен оларда жұмыс істейтін қызметтердегі өзгерістер тарихы қолжетімді болады.

Қаржылық фишинг

Біз бірнеше жыл бойы әртүрлі аймақтардағы әртүрлі банктердің клиенттеріне қарсы фишингтік шабуылдар жасаған бір APT тобының қызметін зерттедік. Бұл топтың ерекшелігі нақты банктердің атауларына өте ұқсас домендерді тіркеу болды және фишингтік сайттардың көпшілігінің дизайны бірдей болды, айырмашылық тек банктердің атауларында және олардың логотиптерінде болды.

Бұл жағдайда автоматтандырылған графикалық талдау бізге көп көмектесті. Олардың бірі - lloydsbnk-uk[.]com доменін ала отырып, біз бірнеше секунд ішінде тереңдігі 3 қадамдық графикті құрдық, ол осы топ 250 жылдан бері пайдаланған және әлі де пайдаланылып келе жатқан 2015-ден астам зиянды домендерді анықтады. . Бұл домендердің кейбірін банктер сатып алған, бірақ тарихи жазбалар олардың бұрын шабуылдаушыларға тіркелгенін көрсетеді.

Түсінікті болу үшін суретте 2 қадам тереңдігі бар график көрсетілген.

Бір қызығы, 2019 жылы шабуылдаушылар өздерінің тактикасын біршама өзгертіп, веб-фишингті орналастыру үшін банктердің домендерін ғана емес, сонымен қатар фишингтік хаттарды жіберуге арналған әртүрлі консалтингтік компаниялардың домендерін де тіркей бастады. Мысалы, swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com домендері.

Кобальт тобы

2018 жылдың желтоқсан айында банктерге мақсатты шабуыл жасауға маманданған Cobalt хакерлер тобы Қазақстан Ұлттық банкі атынан пошталық науқан жіберді.

Хаттарда hXXps://nationalbank.bz/Doc/Prikaz.doc сілтемелері бар. Жүктелген құжатта %Temp%einmrmdmy.exe файлында hXXp://wateroilclub.com/file/dwm.exe файлын жүктеп, орындауға әрекет ететін Powershell іске қосатын макрос бар. %Temp%einmrmdmy.exe aka dwm.exe файлы hXXp://admvmsopp.com/rilruietguadvtoefmuy серверімен әрекеттесу үшін конфигурацияланған CobInt статер болып табылады.

Бұл фишингтік электрондық хаттарды ала алмайсыз және зиянды файлдарға толық талдау жасай алмайтыныңызды елестетіп көріңіз. Nationalbank[.]bz зиянды доменінің графигі басқа зиянды домендермен қосылымдарды бірден көрсетеді, оны топқа атрибуттайды және шабуылда қандай файлдар пайдаланылғанын көрсетеді.

Осы графиктен 46.173.219[.]152 IP мекенжайын алып, одан графикті бір өтуде тұрғызып, тазалауды өшірейік. Онымен байланысты 40 домен бар, мысалы, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

Домендік атауларға қарағанда, олар алаяқтық схемаларда қолданылатын сияқты, бірақ тазалау алгоритмі олардың бұл шабуылға қатысы жоқ екенін түсінді және оларды графикке салмады, бұл талдау және атрибуция процесін айтарлықтай жеңілдетеді.

Егер сіз Nationalbank[.]bz көмегімен графикті қайта құрсаңыз, бірақ графикті тазалау алгоритмін өшірсеңіз, онда 500-ден астам элементтер болады, олардың көпшілігі Cobalt тобына немесе олардың шабуылдарына ешқандай қатысы жоқ. Мұндай графиктің мысалы төменде келтірілген:

қорытынды

Бірнеше жыл бойы дәл баптаудан, нақты тергеулерде тестілеуден, қауіп-қатерді зерттеуден және шабуылдаушыларды іздеуден кейін біз бірегей құрал жасап қана қоймай, сонымен қатар компаниядағы сарапшылардың оған деген көзқарасын өзгерте алдық. Бастапқыда техникалық сарапшылар графикті құру процесін толық бақылауды қалайды. Оларды көп жылдық тәжірибесі бар адамға қарағанда автоматты график құрастыру жақсырақ жасай алатынына сендіру өте қиын болды. Барлығы уақытпен және графиктің нәтижесін бірнеше рет «қолмен» тексеру арқылы шешілді. Енді біздің мамандар жүйеге сеніп қана қоймай, оның алған нәтижелерін күнделікті жұмысында пайдаланады. Бұл технология біздің әрбір жүйеміздің ішінде жұмыс істейді және кез келген түрдегі қауіптерді жақсырақ анықтауға мүмкіндік береді. Қолмен графикалық талдауға арналған интерфейс барлық Group-IB өнімдеріне енгізілген және киберқылмыстарды аулау мүмкіндіктерін айтарлықтай кеңейтеді. Бұл біздің клиенттердің талдаушы шолуларымен расталады. Ал біз өз кезегімізде графикті деректермен байытуды жалғастырамыз және ең дәл желілік графикті жасау үшін жасанды интеллект арқылы жаңа алгоритмдермен жұмыс істейміз.

Ақпарат көзі: www.habr.com