Фишингге, ботнеттерге, алдамчылык транзакцияларга жана кылмыштуу хакердик топторго байланыштуу иштерди иликтеп жаткан Group-IB эксперттери байланыштардын ар кандай түрлөрүн аныктоо үчүн көп жылдар бою графикалык анализди колдонуп келишет. Ар кандай учурларда өздөрүнүн маалымат топтому, байланыштарды аныктоо үчүн өз алгоритмдери жана конкреттүү тапшырмалар үчүн ылайыкташтырылган интерфейстер бар. Бул куралдардын баары Group-IB тарабынан иштелип чыккан жана биздин кызматкерлер үчүн гана жеткиликтүү болгон.
Тармактык инфраструктуранын графикалык анализи (тармактык график) биз компаниянын бардык коомдук продуктыларына орнотулган биринчи ички курал болуп калды. Тармактык графикти түзүүдөн мурун, биз рынокто көптөгөн окшош окуяларды талдап чыктык жана өзүбүздүн муктаждыктарыбызды канааттандырган бир дагы продуктуну таба алган жокпуз. Бул макалада биз тармактык графикти кантип жаратканыбыз, аны кантип колдонгонубуз жана кандай кыйынчылыктарга дуушар болгонубуз жөнүндө сүйлөшөбүз.
Дмитрий Волков, CTO Group-IB жана кибер чалгындоо бөлүмүнүн башчысы
Group-IB тармак графиги эмне кыла алат?
изилдөө
2003-жылы Group-IB негизделгенден бери бүгүнкү күнгө чейин киберкылмышкерлерди аныктоо, деанондон бошотуу жана жоопкерчиликке тартуу биздин ишибиздин башкы приоритети болуп саналат. Кол салуучулардын тармактык инфраструктурасын талдоосуз бир дагы киберчабуул иликтөөсү аяктаган эмес. Биздин саякатыбыздын эң башында кылмышкерлерди аныктоого жардам бере турган мамилелерди издөө бир топ түйшүктүү “кол иш” болду: домендик аталыштар, IP даректер, серверлердин санарип манжа издери ж.б.у.с.
Көпчүлүк чабуулчулар тармакта мүмкүн болушунча жашыруун аракеттенүүгө аракет кылышат. Бирок, бардык адамдар сыяктуу эле, алар да ката кетиришет. Мындай анализдин негизги максаты - азыркы учурда биз иликтеп жаткан окуяда колдонулган зыяндуу инфраструктура менен кесилишкен чабуулчулардын "ак" же "боз" тарыхый долбоорлорун табуу. Эгер "ак долбоорлорду" аныктоо мүмкүн болсо, анда чабуулчуну табуу, эреже катары, анча маанилүү эмес иш болуп калат. "Боз" болгон учурда, издөө көбүрөөк убакытты жана күч-аракетти талап кылат, анткени алардын ээлери каттоо маалыматтарын жашыруун кылууга же жашырууга аракет кылышат, бирок мүмкүнчүлүктөр кыйла жогору бойдон калууда. Эреже катары, кылмыштуу аракеттеринин башталышында кол салгандар өздөрүнүн коопсуздугуна азыраак көңүл буруп, көп ката кетиришет, андыктан окуяга канчалык тереңирээк сүңгүп кирсек, иликтөөнүн ийгиликтүү өтүү мүмкүнчүлүгү ошончолук жогору болот. Мына ошондуктан жакшы тарыхы бар тармактык график мындай иликтөөнүн өтө маанилүү элементи болуп саналат. Жөнөкөй сөз менен айтканда, компаниянын тарыхый маалыматтары канчалык терең болсо, анын графиги ошончолук жакшы болот. 5 жылдык тарых шарттуу түрдө 1 кылмыштын 2-10син ачууга жардам берет дейли, ал эми 15 жылдык тарых он кылмыштын баарын ачууга мүмкүнчүлүк берет.
Фишинг жана алдамчылыкты аныктоо
Фишингге, алдамчылыкка же каракчылыкка шектүү шилтеме алган сайын, биз автоматтык түрдө тиешелүү тармак ресурстарынын графигин түзөбүз жана бардык табылган хосттордо окшош мазмунду текшеребиз. Бул сизге активдүү, бирок белгисиз болгон эски фишинг сайттарын, ошондой эле келечектеги чабуулдарга даярдалган, бирок колдонула элек таптакыр жаңыларын табууга мүмкүндүк берет. Эң эле көп кездешүүчү элементардык мисал: биз 5 гана сайты бар серверден фишинг сайтын таптык. Алардын ар бирин текшерүү менен биз башка сайттардан фишинг мазмунун табабыз, демек 5дин ордуна 1ти бөгөттөй алабыз.
Backends издөө
Бул процесс зыяндуу сервер чындыгында кайда экенин аныктоо үчүн зарыл.
Карта дүкөндөрүнүн, хакердик форумдардын, көптөгөн фишингдик ресурстардын жана башка зыяндуу серверлердин 99% өздөрүнүн прокси серверлеринин жана мыйзамдуу кызматтардын проксилеринин артында жашырылган, мисалы, Cloudflare. Чыныгы бэкенд жөнүндө билим иликтөөлөр үчүн абдан маанилүү: серверди тартып ала турган хостинг провайдери белгилүү болуп, башка зыяндуу долбоорлор менен байланыш түзүүгө мүмкүн болот.
Мисалы, сизде 11.11.11.11 IP дарегине чечүүчү банк картасынын маалыматтарын чогултуу үчүн фишинг сайты жана 22.22.22.22 IP дарегине чечүүчү карта дүкөнүнүн дареги бар. Талдоо учурунда фишинг сайтында да, карта дүкөнүндө да жалпы IP дареги бар экени белгилүү болушу мүмкүн, мисалы, 33.33.33.33. Бул билим бизге фишингдик чабуулдар менен банк картасынын маалыматтары сатыла турган карта дүкөнүнүн ортосунда байланыш түзүүгө мүмкүндүк берет.
Окуянын корреляциясы
Сизде эки башка триггер (мисалы, IDSде) болгондо, чабуулду көзөмөлдөө үчүн ар кандай зыяндуу программалар жана ар кандай серверлер бар, сиз аларды эки көз карандысыз окуя катары карайсыз. Бирок зыяндуу инфраструктуралардын ортосунда жакшы байланыш бар болсо, анда бул ар кандай чабуулдар эмес, бир кыйла татаал көп баскычтуу чабуулдун этаптары экени айкын болот. Ал эми окуялардын бири кол салуучулардын кандайдыр бир тобуна таандык болсо, экинчиси да ошол эле топко таандык кылынышы мүмкүн. Албетте, атрибуция процесси алда канча татаал, андыктан муну жөнөкөй мисал катары караңыз.
Көрсөткүчтөрдү байытуу
Биз буга көп көңүл бурбайбыз, анткени бул киберкоопсуздукта графиктерди колдонуунун эң кеңири таралган сценарийи: сиз бир индикаторду киргизүү катары бересиз, ал эми жыйынтык катары сиз тиешелүү индикаторлордун массивин аласыз.
Үлгүлөрдү аныктоо
Натыйжалуу аңчылык үчүн үлгүлөрдү аныктоо зарыл. Графиктер сизге тиешелүү элементтерди табууга гана эмес, ошондой эле хакерлердин белгилүү бир тобуна мүнөздүү болгон жалпы касиеттерди аныктоого мүмкүндүк берет. Мындай уникалдуу мүнөздөмөлөрдү билүү сизге чабуулчунун инфраструктурасын даярдоо стадиясында да жана фишинг электрондук почталары же кесепеттүү программа сыяктуу чабуулду тастыктаган далилдерсиз таанууга мүмкүндүк берет.
Эмне үчүн биз өзүбүздүн тармактык графикти түздүк?
Дагы бир жолу, биз ар кандай сатуучулардын чечимдерин карап чыктык, биз өзүбүздүн куралыбызды иштеп чыгышыбыз керек, ал эч кандай учурдагы продукт жасай албаган нерсени жасай алат. Аны түзүү үчүн бир нече жыл өттү, анын ичинде биз аны бир нече жолу толугу менен өзгөрттүк. Бирок, узак өнүгүү мезгилине карабастан, биздин талаптарды канааттандыра турган бир дагы аналогун таба элекпиз. Өзүбүздүн өнүмүбүздү колдонуп, биз бар болгон тармактык графиктерде тапкан дээрлик бардык көйгөйлөрдү чече алдык. Төмөндө биз бул көйгөйлөрдү майда-чүйдөсүнө чейин карап чыгабыз:
маселе
чечим
Маалыматтардын ар кандай коллекциялары менен камсыздоочунун жоктугу: домендер, пассивдүү DNS, пассивдүү SSL, DNS жазуулары, ачык порттор, порттордо иштеп жаткан кызматтар, домендик аталыштар жана IP даректер менен иштешкен файлдар. Түшүндүрмө. Адатта, провайдерлер маалыматтардын өзүнчө түрлөрүн беришет жана толук сүрөттү алуу үчүн ар бир адамдан жазылууну сатып алышыңыз керек. Ошентсе да, бардык маалыматтарды алуу дайыма эле мүмкүн боло бербейт: кээ бир пассивдүү SSL провайдерлери ишенимдүү CAлар тарабынан берилген сертификаттар жөнүндө гана маалыматтарды беришет жана алардын өз алдынча кол коюлган сертификаттарды камтуусу өтө начар. Башкалары да өз алдынча кол коюлган сертификаттарды колдонуу менен маалыматтарды беришет, бирок аны стандарттуу порттордон гана чогултушат.
Жогорудагы коллекциялардын баарын өзүбүз чогулттук. Мисалы, SSL сертификаттары жөнүндө маалыматтарды чогултуу үчүн, биз аларды ишенимдүү CAлардан жана бүт IPv4 мейкиндигин сканерлөө аркылуу чогулткан өз кызматыбызды жаздык. Сертификаттар IPден гана эмес, биздин маалымат базасынан бардык домендерден жана субдомендерден чогултулган: эгерде сизде example.com домени жана анын субдомени болсо жана алардын баары IP 1.1.1.1 чечет, андан кийин сиз IP, домен жана анын субдомениндеги 443 портунан SSL сертификатын алууга аракет кылганыңызда, үч түрдүү натыйжаларды ала аласыз. Ачык порттор жана иштеп жаткан кызматтар боюнча маалыматтарды чогултуу үчүн, биз өзүбүздүн бөлүштүрүлгөн сканерлөө тутумубузду түзүшүбүз керек болчу, анткени башка кызматтардын сканерлөөчү серверлеринин IP даректери көбүнчө “кара тизмелерде” болгон. Биздин сканерлөө серверлери да кара тизмеге кирет, бирок бизге керектүү кызматтарды аныктоонун натыйжасы мүмкүн болушунча көп портторду сканерлеп, бул маалыматтарга кирүү мүмкүнчүлүгүн саткандарга караганда жогору.
Тарыхый жазуулардын бардык маалыматтар базасына жетүүнүн жоктугу. Түшүндүрмө. Ар бир кадимки жеткирүүчүнүн жакшы топтолгон тарыхы бар, бирок табигый себептерден улам биз кардар катары бардык тарыхый маалыматтарга кире алган жокпуз. Ошол. Сиз бир жазуу үчүн бүт тарыхты ала аласыз, мисалы, домен же IP дареги боюнча, бирок бардык нерсенин тарыхын көрө албайсыз - ансыз толук сүрөттү көрө албайсыз.
Домендер боюнча мүмкүн болушунча көп тарыхый жазууларды чогултуу үчүн, биз ар кандай маалымат базаларын сатып алдык, бул тарыхы бар көптөгөн ачык ресурстарды талдап чыктык (алардын көп болгону жакшы) жана домендик аталыштарды каттоочулар менен сүйлөшүүлөрдү жүргүздүк. Биздин коллекцияларыбызга бардык жаңыртуулар, албетте, толук оңдоо тарыхы менен сакталат.
Бар болгон чечимдер графикти кол менен түзүүгө мүмкүндүк берет. Түшүндүрмө. Келгиле, сиз бардык мүмкүн болгон маалымат провайдерлеринен (адатта "байыткычтар" деп аталат) көп жазылууларды сатып алдыңыз дейли. График куруу керек болгондо, сиз “колдоруңуз” керектүү байланыш элементинен курууга буйрук бересиз, андан кийин пайда болгон элементтердин ичинен керектүүсүн тандап, алардан байланыштарды бүтүрүү буйругун бересиз ж.б. Бул учурда, график канчалык жакшы курула тургандыгы үчүн жоопкерчилик толугу менен адамга жүктөлөт.
Графиктерди автоматтык түрдө түздүк. Ошол. эгерде сизге графикти куруу керек болсо, анда биринчи элементтен байланыштар автоматтык түрдө курулат, андан кийин бардык кийинкилерден да. Адис графикти куруу керек болгон тереңдикти гана көрсөтөт. Графиктерди автоматтык түрдө толтуруу процесси жөнөкөй, бирок башка сатуучулар аны ишке ашырышпайт, анткени ал өтө көп сандагы тиешеси жок натыйжаларды берет жана биз бул кемчиликти да эске алышыбыз керек болчу (төмөндө караңыз).
Көптөгөн тиешеси жок натыйжалар бардык тармак элементтеринин графиктеринде көйгөй болуп саналат. Түшүндүрмө. Мисалы, "жаман домен" (чабуулга катышкан) акыркы 10 жылда аны менен байланышкан 500 башка домендерге ээ сервер менен байланышкан. Графикти кол менен кошкондо же автоматтык түрдө курууда, бул 500 домендин баары кол салууга тиешеси жок болсо да, графикте пайда болушу керек. Же, мисалы, сатуучунун коопсуздук отчетунан IP көрсөткүчүн текшересиз. Эреже катары, мындай отчеттор олуттуу кечигүү менен чыгарылат жана көбүнчө бир жыл же андан көп убакытты камтыйт. Кыязы, сиз отчетту окуп жаткан учурда, бул IP дареги бар сервер башка байланыштары бар башка адамдарга ижарага алынган жана графикти түзүү кайрадан сизге тиешеси жок натыйжаларга алып келет.
Биз системаны биздин эксперттер кол менен жасаган логиканы колдонуп, тиешеси жок элементтерди аныктоого үйрөттүк. Мисалы, сиз азыр IP 11.11.11.11ге, ал эми бир ай мурун IP 22.22.22.22ге чечилген жаман example.com доменин текшерип жатасыз. example.com доменинен тышкары IP 11.11.11.11 да example.ru менен, ал эми IP 22.22.22.22 25 миң башка домендер менен байланышкан. Система, адам сыяктуу эле, 11.11.11.11, кыязы, арналган сервер экенин түшүнөт жана example.ru домени example.com менен жазылышы боюнча окшош болгондуктан, жогорку ыктымалдуулук менен, алар туташып турат жана болушу керек. график; бирок IP 22.22.22.22 жалпы хостингге таандык, андыктан анын бардык домендерин графикке кошуунун кажети жок, эгерде бул 25 миң домендин бирин да кошуу керек экенин көрсөткөн башка байланыштар жок болсо (мисалы, example.net) . Система байланыштарды үзүү жана кээ бир элементтерди графикке жылдырбоо керектигин түшүнүүдөн мурун, бул элементтер бириктирилген элементтердин жана кластерлердин көптөгөн касиеттерин, ошондой эле учурдагы байланыштардын күчүн эске алат. Мисалы, эгерде биз графикте начар доменди камтыган кичинекей кластер (50 элемент) бар болсо жана дагы бир чоң кластер (5 миң элемент) жана эки кластер тең күчтүү (салмагы) менен байланыш (сызык) менен туташтырылган болсо. , анда мындай байланыш үзүлүп, чоң кластердин элементтери жок кылынат. Бирок кичине жана чоң кластерлердин ортосунда көп байланыштар болуп, алардын күчү акырындап өссө, анда бул учурда байланыш үзүлбөйт жана эки кластерден керектүү элементтер графикте кала берет.
Серверге жана доменге ээ болуу аралыгы эске алынбайт. Түшүндүрмө. "Жаман домендердин" мөөнөтү эртеби-кечпи бүтөт жана зыяндуу же мыйзамдуу максаттар үчүн кайра сатып алынат. Атүгүл ок өтпөс хостинг серверлери ар кандай хакерлерге ижарага берилет, ошондуктан белгилүү бир домен/сервер бир ээсинин көзөмөлүндө болгон интервалды билүү жана эске алуу абдан маанилүү. Биз көбүнчө IP 11.11.11.11 сервери банктык бот үчүн C&C катары колдонулган жана 2 ай мурун аны Ransomware башкарган жагдайга туш болобуз. Эгерде биз ээликтин интервалдарын эсепке албастан байланыш түзсөк, анда банк ботнетинин ээлери менен ransomware ортосунда байланыш бар окшойт, бирок чындыгында эч ким жок. Биздин ишибизде мындай катачылык курч.
Биз системага ээлик интервалдарын аныктоону үйрөттүк. Домендер үчүн бул салыштырмалуу жөнөкөй, анткени whois көбүнчө каттоонун башталышы жана жарактуулук мөөнөтүн камтыйт жана whois өзгөртүүлөрүнүн толук тарыхы болгондо, интервалдарды аныктоо оңой. Домендин каттоо мөөнөтү бүтө элек, бирок аны башкаруу башка ээлерге өткөрүлүп берилгенде, ага да көз салууга болот. SSL сертификаттары үчүн мындай көйгөй жок, анткени алар бир жолу чыгарылат жана жаңыланбайт жана өткөрүлбөйт. Бирок өз алдынча кол коюлган сертификаттар менен сиз сертификаттын жарактуу мөөнөтүндө көрсөтүлгөн даталарга ишене албайсыз, анткени бүгүн SSL сертификатын түзүп, сертификаттын башталышын 2010-жылдан баштап көрсөтсөңүз болот. Эң кыйыны серверлердин ээлик интервалдарын аныктоо, анткени хостинг-провайдерлерде гана даталар жана ижара мөөнөтү бар. Серверге ээлик кылуу мөөнөтүн аныктоо үчүн биз портторду сканерлөөнүн натыйжаларын жана порттордо иштеп жаткан кызматтардын манжа изин түзө баштадык. Бул маалыматты колдонуу менен биз сервердин ээси качан өзгөргөнүн так айта алабыз.
Бир нече байланыштар. Түшүндүрмө. Азыркы учурда, кимде белгилүү бир электрондук почта дареги камтылган домендердин акысыз тизмесин алуу же белгилүү бир IP дареги менен байланышкан бардык домендерди билүү кыйынчылык деле жаратпайт. Бирок көз салуу кыйын болушу үчүн колунан келгендин баарын кылган хакерлерге келгенде, жаңы касиеттерди табуу жана жаңы байланыштарды куруу үчүн бизге кошумча амалдар керек.
Биз кадимки жол менен жеткиликтүү болбогон маалыматтарды кантип чыгара аларыбызды изилдөөгө көп убакыт короттук. Биз бул жерде анын кандайча иштээрин ачык-айкын себептер менен сүрөттөп бере албайбыз, бирок белгилүү бир шарттарда хакерлер домендерди каттоодо же серверлерди ижарага алууда жана орнотууда каталарды кетирип, электрондук почта даректерин, хакерлердин лакап аттарын жана бэкэнд даректерин табууга мүмкүндүк берет. Канчалык көп байланыштарды чыгарсаңыз, ошончолук так графиктерди түзө аласыз.
Биздин график кандай иштейт
Тармактык графикти колдонууну баштоо үчүн издөө тилкесине доменди, IP даректи, электрондук почтаны же SSL сертификатынын манжа изин киргизишиңиз керек. Аналитик көзөмөлдөй турган үч шарт бар: убакыт, кадам тереңдиги жана тазалоо.
Время
Убакыт – изделген элемент зыяндуу максаттарда колдонулган күн же интервал. Бул параметрди көрсөтпөсөңүз, система өзү бул ресурс үчүн акыркы ээлик аралыгын аныктайт. Маселен, 11-июлда «Эсет» басмасы чыкты Buhtrap кибер шпиондук үчүн 0 күндүк эксплуатацияны кантип колдонгону жөнүндө. Отчеттун аягында 6 көрсөткүч бар. Алардын бири, security-telemetry[.]net 16-июлда кайра катталды. Ошондуктан, 16-июлдан кийин графикти курсаңыз, маанисиз жыйынтыктарды аласыз. Бирок, эгерде сиз бул домен ушул күнгө чейин колдонулганын көрсөтсөңүз, анда графикте Eset отчетунда көрсөтүлбөгөн 126 жаңы домен, 69 IP даректер бар:
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-world[.]info
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- жана башка.
Тармактын индикаторлорунан тышкары, биз дароо эле бул инфраструктура менен байланышы бар зыяндуу файлдар менен байланыштарды табабыз жана Meterpreter жана AZORult колдонулгандыгын кабарлайт.
Эң сонун нерсе, бул натыйжаны бир секунддун ичинде аласыз жана мындан ары маалыматтарды талдоо үчүн күн коротуунун кереги жок. Албетте, бул ыкма кээде олуттуу изилдөө үчүн убакытты кыскартат, бул көп учурда маанилүү.
График түзүлө турган кадамдардын саны же рекурсиянын тереңдиги
Демейки боюнча, тереңдик 3. Бул бардык түздөн-түз байланышкан элементтер керектүү элементтен табылып, андан кийин ар бир жаңы элементтен башка элементтерге жаңы байланыштар курулат жана акыркы элементтерден жаңы элементтер түзүлөт дегенди билдирет. кадам.
APT жана 0 күндүк эксплуатацияларга тиешеси жок мисалды алалы. Жакында эле Habré сайтында криптовалюталарга байланыштуу алдамчылыктын кызыктуу окуясы баяндалган. Отчетто шылуундар Miner Coin Exchange жана трафикти тартуу үчүн телефон аркылуу издөө[.]xyz деген сайтты жайгаштыруу үчүн колдонгон themcx[.]co домени айтылат.
Сүрөттөөдөн көрүнүп тургандай, схема алдамчылык ресурстарга трафикти тартуу үчүн кыйла чоң инфраструктураны талап кылат. Биз бул инфраструктураны 4 кадамдан турган графикти куруу менен карап көрүүнү чечтик. Чыгуу 230 домен жана 39 IP дареги бар график болду. Андан кийин, биз домендерди 2 категорияга бөлөбүз: криптовалюталар менен иштөө кызматтарына окшош болгондор жана телефон аркылуу текшерүү кызматтары аркылуу трафикти тартууга арналгандар:
cryptocurrency байланыштуу
Телефонду ачуу кызматтары менен байланышкан
coinkeeper[.]cc
чалуучуну жазуу[.]сайты.
mcxwallet[.]co
phone-records[.]мейкиндиги
btcnoise[.]com
fone-uncover[.]xyz
криптоминер[.]саат
санды ачуу[.]маалымат
тазалоо
Демейки боюнча, "Графикти тазалоо" опциясы иштетилген жана бардык тиешеси жок элементтер графиктен алынып салынат. Айтмакчы, ал мурунку бардык мисалдарда колдонулган. Мен табигый суроону алдын ала көрөм: маанилүү нерсе жок кылынбагандыгын кантип текшере алабыз? Мен жооп берем: графикаларды кол менен курганды жактырган аналитиктер үчүн автоматташтырылган тазалоону өчүрүп, кадамдардын санын тандап алса болот = 1. Андан кийин аналитик өзүнө керектүү элементтерден графикти бүтүрүп, андан элементтерди алып сала алат. тапшырмага тиешеси жок график.
График боюнча, whois, DNS, ошондой эле ачык порттор жана аларда иштеген кызматтардагы өзгөрүүлөрдүн тарыхы талдоочуга жеткиликтүү болот.
Каржылык фишинг
Биз бир нече жыл бою ар кайсы аймактардагы ар кандай банктардын кардарларына фишингдик чабуулдарды жасаган бир APT тобунун ишмердүүлүгүн иликтедик. Бул топтун мүнөздүү өзгөчөлүгү чыныгы банктардын атына абдан окшош домендерди каттоо болгон жана фишинг сайттарынын көбү бирдей дизайнга ээ болгон, айырмачылыктар банктардын аталыштарында жана алардын логотипинде гана болгон.
Бул учурда автоматташтырылган график анализи бизге чоң жардам берди. Алардын домендеринин бирин алып - lloydsbnk-uk[.]com, биз бир нече секунданын ичинде 3 кадам тереңдиктеги графикти курдук, анда бул топ 250-жылдан бери колдонулуп келген жана колдонулуп келе жаткан 2015дөн ашык зыяндуу домендерди аныктады. . Бул домендердин айрымдары буга чейин банктар тарабынан сатылып алынган, бирок тарыхый жазуулар алар мурда чабуулчуларга катталганын көрсөтүп турат.
Түшүнүктүү болуу үчүн, сүрөттө 2 кадам тереңдиктеги график көрсөтүлгөн.
Белгилей кетсек, 2019-жылы чабуулчулар тактикасын бир аз өзгөртүп, веб-фишинг хостинги үчүн банктардын домендерин гана эмес, фишинг электрондук каттарын жөнөтүү үчүн ар кандай консалтинг компаниялардын домендерин да каттай башташкан. Мисалы, swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com домендери.
Кобальт бандасы
2018-жылдын декабрь айында банктарга максаттуу чабуул жасоого адистешкен Cobalt хакердик тобу Казакстандын Улуттук банкынын атынан почта кампаниясын жөнөткөн.
Каттарда hXXps://nationalbank.bz/Doc/Prikaz.doc шилтемелери камтылган. Жүктөлүп алынган документте %Temp%einmrmdmy.exe файлында hXXp://wateroilclub.com/file/dwm.exe файлын жүктөөгө жана аткарууга аракет кылган Powershellди ишке киргизген макро камтылган. %Temp%einmrmdmy.exe aka dwm.exe файлы hXXp://admvmsopp.com/rilruietguadvtoefmuy сервери менен иштешүү үчүн конфигурацияланган CobInt стазери.
Элестетиңиз, бул фишингдик каттарды ала албай, зыяндуу файлдарга толук анализ жасай албайсыз. Nationalbank[.]bz зыяндуу доменинин графиги дароо башка зыяндуу домендер менен байланыштарды көрсөтүп, аны бир топко атрибуттайт жана чабуулда кайсы файлдар колдонулганын көрсөтөт.
Келгиле, бул графиктен 46.173.219[.]152 IP дарегин алып, андан бир өтүүдө графикти курабыз жана тазалоону өчүрөлү. Аны менен байланышкан 40 домен бар, мисалы, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Домендик аталыштарга караганда, алар алдамчылык схемаларында колдонулат окшойт, бирок тазалоо алгоритми алардын бул чабуулга тиешеси жок экенин түшүндү жана аларды графикке киргизген жок, бул талдоо жана атрибуция процессин абдан жөнөкөйлөтөт.
Эгер сиз Nationalbank[.]bz аркылуу графикти кайра курсаңыз, бирок графикти тазалоо алгоритмин өчүрсөңүз, анда ал 500дөн ашык элементтерди камтыйт, алардын көпчүлүгү Cobalt тобуна же алардын чабуулдарына эч кандай тиешеси жок. Мындай графиктин мисалы төмөндө келтирилген:
жыйынтыктоо
Бир нече жылдар бою так жөндөөлөрдөн, реалдуу иликтөөлөрдөгү тестирлөөдөн, коркунучтарды изилдөөдөн жана чабуулчуларга аңчылык кылуудан кийин биз уникалдуу куралды гана түзбөстөн, компаниянын ичиндеги эксперттердин ага болгон мамилесин да өзгөртө алдык. Башында, техникалык эксперттер граф куруу процессин толук көзөмөлдөөнү каалашат. Көп жылдык тажрыйбасы бар адамга караганда автоматтык графикти куруу муну жакшыраак жасай аларына аларды ынандыруу өтө кыйын болгон. Баары убакыт жана график чыгарган натыйжаларды бир нече жолу "кол менен" текшерүү менен чечилди. Эми биздин адистер системага ишенип гана тим болбостон, анын алган натыйжаларын күнүмдүк иштеринде колдонушат. Бул технология биздин ар бир системабыздын ичинде иштейт жана ар кандай түрдөгү коркунучтарды жакшыраак аныктоого мүмкүндүк берет. Графикти кол менен талдоо интерфейси бардык Group-IB өнүмдөрүндө камтылган жана кибер кылмыштуулукка аңчылык кылуу мүмкүнчүлүктөрүн кыйла кеңейтет. Бул биздин кардарлардын аналитик сын-пикирлер менен тастыкталат. Ал эми биз, өз кезегинде, графикти маалыматтар менен байытууну улантып, эң так тармактык графикти түзүү үчүн жасалма интеллекттин жардамы менен жаңы алгоритмдердин үстүндө иштейбиз.
Source: www.habr.com