Izmeklējot lietas, kas saistītas ar pikšķerēšanu, robottīkliem, krāpnieciskiem darījumiem un noziedzīgām hakeru grupām, Group-IB eksperti jau daudzus gadus ir izmantojuši grafiku analīzi, lai identificētu dažāda veida savienojumus. Dažādiem gadījumiem ir savas datu kopas, savi algoritmi savienojumu identificēšanai un konkrētiem uzdevumiem pielāgotas saskarnes. Visus šos rīkus iekšēji izstrādāja Group-IB, un tie bija pieejami tikai mūsu darbiniekiem.

Tīkla infrastruktūras grafiskā analīze (tīkla grafiks) kļuva par pirmo iekšējo rīku, ko iestrādājām visos uzņēmuma publiskajos produktos. Pirms tīkla diagrammas izveides mēs analizējām daudzas līdzīgas norises tirgū un neatradām nevienu produktu, kas apmierinātu mūsu vajadzības. Šajā rakstā mēs runāsim par to, kā mēs izveidojām tīkla grafiku, kā mēs to izmantojam un ar kādām grūtībām mēs saskārāmies.

Dmitrijs Volkovs, CTO Group-IB un kiberizlūkošanas vadītājs

Ko var darīt Group-IB tīkla diagramma?

Izmeklēšanas

Kopš Group-IB dibināšanas 2003. gadā līdz mūsdienām kibernoziedznieku identificēšana, deanonēšana un saukšana pie atbildības ir bijusi mūsu darba galvenā prioritāte. Neviena kiberuzbrukuma izmeklēšana nebija pabeigta, neanalizējot uzbrucēju tīkla infrastruktūru. Pašā mūsu ceļojuma sākumā tas bija diezgan rūpīgs “roku darbs”, lai meklētu attiecības, kas varētu palīdzēt identificēt noziedzniekus: informāciju par domēna vārdiem, IP adresēm, serveru digitālajiem pirkstu nospiedumiem utt.

Lielākā daļa uzbrucēju tīklā cenšas darboties pēc iespējas anonīmi. Tomēr, tāpat kā visi cilvēki, viņi pieļauj kļūdas. Šādas analīzes galvenais mērķis ir atrast “baltus” vai “pelēkus” uzbrucēju vēsturiskus projektus, kuriem ir krustošanās ar ļaunprātīgo infrastruktūru, kas tiek izmantota pašreizējā incidentā, kuru mēs izmeklējam. Ja ir iespējams atklāt “baltos projektus”, tad uzbrucēja atrašana, kā likums, kļūst par triviālu uzdevumu. “Pelēko” gadījumā meklēšana prasa vairāk laika un pūļu, jo to īpašnieki cenšas anonimizēt vai slēpt reģistrācijas datus, taču iespēja joprojām ir diezgan liela. Parasti savu noziedzīgo darbību sākumā uzbrucēji mazāk pievērš uzmanību savai drošībai un pieļauj vairāk kļūdu, tāpēc, jo dziļāk varam ienirt stāstā, jo lielākas ir veiksmīgas izmeklēšanas iespējas. Tāpēc tīkla grafiks ar labu vēsturi ir ārkārtīgi svarīgs šādas izmeklēšanas elements. Vienkārši sakot, jo dziļāki vēsturiskie dati ir uzņēmumam, jo ​​labāks ir tā grafiks. Pieņemsim, ka 5 gadu vēsture var palīdzēt atrisināt nosacīti 1-2 no 10 noziegumiem, un 15 gadu vēsture dod iespēju atrisināt visus desmit.

Pikšķerēšanas un krāpšanas atklāšana

Katru reizi, kad saņemam aizdomīgu saiti uz pikšķerēšanas, krāpniecisku vai pirātisku resursu, mēs automātiski izveidojam saistīto tīkla resursu grafiku un pārbaudām, vai visos atrastajos saimniekdatoros nav līdzīgs saturs. Tas ļauj atrast gan vecās pikšķerēšanas vietnes, kas bija aktīvas, bet nezināmas, gan arī pilnīgi jaunas, kas ir sagatavotas turpmākiem uzbrukumiem, bet vēl netiek izmantotas. Elementārs piemērs, kas notiek diezgan bieži: mēs atradām pikšķerēšanas vietni serverī, kurā ir tikai 5 vietnes. Pārbaudot katru no tiem, mēs atrodam pikšķerēšanas saturu citās vietnēs, kas nozīmē, ka varam bloķēt 5, nevis 1.

Meklēt aizmugursistēmas

Šis process ir nepieciešams, lai noteiktu, kur patiesībā atrodas ļaunprātīgais serveris.
99% karšu veikalu, hakeru forumu, daudzu pikšķerēšanas resursu un citu ļaunprātīgu serveru ir paslēpti gan aiz saviem starpniekserveriem, gan likumīgu pakalpojumu starpniekserveriem, piemēram, Cloudflare. Zināšanas par īsto aizmuguri ir ļoti svarīgas izmeklēšanai: kļūst zināms mitināšanas pakalpojumu sniedzējs, no kura var konfiscēt serveri, un kļūst iespējams izveidot savienojumus ar citiem ļaunprātīgiem projektiem.

Piemēram, jums ir pikšķerēšanas vietne, kurā tiek apkopoti bankas karšu dati, kuru IP adrese ir 11.11.11.11, un karšu veikala adrese, kas atrisina IP adresi 22.22.22.22. Analīzes laikā var izrādīties, ka gan pikšķerēšanas vietnei, gan karšu veikalam ir kopēja aizmugursistēmas IP adrese, piemēram, 33.33.33.33. Šīs zināšanas ļauj mums izveidot savienojumu starp pikšķerēšanas uzbrukumiem un karšu veikalu, kurā var pārdot bankas karšu datus.

Notikumu korelācija

Ja jums ir divi dažādi aktivizētāji (piemēram, IDS) ar atšķirīgu ļaunprātīgu programmatūru un dažādiem serveriem, lai kontrolētu uzbrukumu, jūs tos uzskatīsit par diviem neatkarīgiem notikumiem. Bet, ja ir laba saikne starp ļaunprātīgām infrastruktūrām, tad kļūst skaidrs, ka tie nav dažādi uzbrukumi, bet gan viena, sarežģītāka daudzpakāpju uzbrukuma posmi. Un, ja kāds no notikumiem jau tiek attiecināts uz kādu uzbrucēju grupu, tad arī otrais var tikt attiecināts uz šo pašu grupu. Protams, attiecinājuma process ir daudz sarežģītāks, tāpēc uzskatiet to kā vienkāršu piemēru.

Indikatora bagātināšana

Mēs tam nepievērsīsim īpašu uzmanību, jo šis ir visizplatītākais grafiku izmantošanas scenārijs kiberdrošībā: jūs sniedzat vienu indikatoru kā ievadi un kā izvadi saņemat saistītu rādītāju masīvu.

Modeļu identificēšana

Modeļu identificēšana ir būtiska efektīvai medībām. Grafiki ļauj ne tikai atrast saistītos elementus, bet arī noteikt kopīgas īpašības, kas raksturīgas noteiktai hakeru grupai. Zināšanas par šādām unikālām īpašībām ļauj atpazīt uzbrucēja infrastruktūru pat sagatavošanas posmā un bez pierādījumiem, kas apstiprina uzbrukumu, piemēram, pikšķerēšanas e-pastiem vai ļaunprātīgu programmatūru.

Kāpēc mēs izveidojām savu tīkla grafiku?

Atkal mēs apskatījām dažādu pārdevēju risinājumus, pirms nonācām pie secinājuma, ka mums ir jāizstrādā savs rīks, kas varētu darīt kaut ko tādu, ko nevar paveikt neviens esošais produkts. Tā izveide prasīja vairākus gadus, kuru laikā vairākas reizes to pilnībā mainījām. Bet, neskatoties uz ilgo izstrādes periodu, mēs vēl neesam atraduši nevienu analogu, kas atbilstu mūsu prasībām. Izmantojot mūsu pašu produktu, mēs galu galā varējām atrisināt gandrīz visas problēmas, kuras atklājām esošajos tīkla grafikos. Tālāk mēs detalizēti apsvērsim šīs problēmas:

problēma
Šķīdums

Pakalpojumu sniedzēja trūkums ar dažādām datu kolekcijām: domēni, pasīvais DNS, pasīvais SSL, DNS ieraksti, atvērtie porti, pakalpojumu darbība portos, faili, kas mijiedarbojas ar domēnu nosaukumiem un IP adresēm. Paskaidrojums. Parasti pakalpojumu sniedzēji nodrošina atsevišķus datu veidus, un, lai iegūtu pilnīgu priekšstatu, jums ir jāiegādājas abonementi no visiem. Tomēr ne vienmēr ir iespējams iegūt visus datus: daži pasīvie SSL nodrošinātāji sniedz datus tikai par sertifikātiem, ko izsniegušas uzticamas CA, un viņu pašu parakstīto sertifikātu pārklājums ir ļoti zems. Citi arī sniedz datus, izmantojot pašparakstītus sertifikātus, bet apkopo tos tikai no standarta portiem.
Visas iepriekš minētās kolekcijas savācām paši. Piemēram, lai apkopotu datus par SSL sertifikātiem, mēs izveidojām savu pakalpojumu, kas tos apkopo gan no uzticamām CA, gan skenējot visu IPv4 telpu. Sertifikāti tika savākti ne tikai no IP, bet arī no visiem domēniem un apakšdomēniem no mūsu datu bāzes: ja jums ir domēns example.com un tā apakšdomēns www.example.com un tie visi izmanto IP 1.1.1.1, tad, mēģinot iegūt SSL sertifikātu no 443. porta IP, domēnā un tā apakšdomēnā, varat iegūt trīs dažādus rezultātus. Lai apkopotu datus par atvērtajiem portiem un darbinātajiem pakalpojumiem, mums bija jāizveido sava izplatītā skenēšanas sistēma, jo citos servisos bieži vien bija to skenēšanas serveru IP adreses “melnajos sarakstos”. Arī mūsu skenēšanas serveri nonāk melnajos sarakstos, taču mums vajadzīgo pakalpojumu noteikšanas rezultāts ir augstāks nekā tiem, kuri vienkārši skenē pēc iespējas vairāk portu un pārdod piekļuvi šiem datiem.

Piekļuves trūkums visai vēsturisko ierakstu datubāzei. Paskaidrojums. Katram normālam piegādātājam ir laba uzkrātā vēsture, taču dabisku iemeslu dēļ mēs, klienti, nevarējām piekļūt visiem vēsturiskajiem datiem. Tie. Jūs varat iegūt visu vēsturi vienam ierakstam, piemēram, pēc domēna vai IP adreses, taču jūs nevarat redzēt visu vēsturi - un bez tā jūs nevarat redzēt pilnu attēlu.
Lai apkopotu pēc iespējas vairāk domēnu vēsturisko ierakstu, mēs iegādājāmies dažādas datu bāzes, analizējām daudzus atvērtos resursus, kuriem bija šī vēsture (labi, ka to bija daudz), un vienojāmies ar domēna vārdu reģistratoriem. Visi mūsu pašu kolekciju atjauninājumi, protams, tiek glabāti ar pilnu pārskatīšanas vēsturi.

Visi esošie risinājumi ļauj izveidot grafiku manuāli. Paskaidrojums. Pieņemsim, ka esat iegādājies daudz abonementu no visiem iespējamiem datu nodrošinātājiem (parasti sauktiem par bagātinātājiem). Kad jums ir nepieciešams izveidot grafiku, jūs "rokas" dodat komandu veidot no vēlamā savienojuma elementa, pēc tam atlasiet vajadzīgos no parādītajiem elementiem un dodat komandu no tiem pabeigt savienojumus utt. Šajā gadījumā atbildība par to, cik labi grafiks tiks izveidots, pilnībā gulstas uz personu.
Izgatavojām automātisku grafiku konstruēšanu. Tie. ja jāveido grafiks, tad savienojumi no pirmā elementa tiek veidoti automātiski, tad arī no visiem nākamajiem. Speciālists norāda tikai dziļumu, kādā grafiks ir jāveido. Grafiku automātiskās aizpildīšanas process ir vienkāršs, taču citi piegādātāji to neievieš, jo tas rada milzīgu skaitu neatbilstošu rezultātu, un mums bija jāņem vērā arī šis trūkums (skatiet tālāk).

Daudzi neatbilstoši rezultāti ir problēma ar visiem tīkla elementu grafikiem. Paskaidrojums. Piemēram, “slikts domēns” (piedalījies uzbrukumā) ir saistīts ar serveri, kuram pēdējo 10 gadu laikā ir saistīti 500 citi domēni. Manuāli pievienojot vai automātiski veidojot grafiku, grafikā jāparādās arī visiem šiem 500 domēniem, lai gan tie nav saistīti ar uzbrukumu. Vai, piemēram, pārbaudāt IP indikatoru pārdevēja drošības pārskatā. Parasti šādi ziņojumi tiek publicēti ar ievērojamu kavēšanos un bieži vien aptver gadu vai ilgāk. Visticamāk, atskaites lasīšanas laikā serveris ar šo IP adresi jau ir iznomāts citiem cilvēkiem ar citiem savienojumiem, un diagrammas veidošana atkal radīs neatbilstošus rezultātus.
Mēs apmācījām sistēmu identificēt neatbilstošos elementus, izmantojot to pašu loģiku, ko mūsu eksperti darīja manuāli. Piemēram, jūs pārbaudāt nepareizu domēnu example.com, kas tagad atrisina IP 11.11.11.11, bet pirms mēneša — IP 22.22.22.22. Papildus domēnam example.com IP 11.11.11.11 ir saistīts arī ar example.ru, bet IP 22.22.22.22 ir saistīts ar 25 tūkstošiem citu domēnu. Sistēma, tāpat kā cilvēks, saprot, ka 11.11.11.11, visticamāk, ir veltīts serveris, un, tā kā domēna example.ru pareizrakstība ir līdzīga example.com, tad ar lielu varbūtību tie ir savienoti un tiem jāatrodas grafiks; bet IP 22.22.22.22 pieder dalītajam hostingam, tāpēc visi tā domēni nav jāiekļauj grafikā, ja vien nav citu savienojumu, kas parāda, ka ir jāiekļauj arī viens no šiem 25 tūkstošiem domēnu (piemēram, example.net) . Pirms sistēma saprot, ka savienojumi ir jāpārtrauc un daži elementi nav jāpārvieto uz grafiku, tā ņem vērā daudzas elementu un kopu īpašības, kurās šie elementi ir apvienoti, kā arī pašreizējo savienojumu stiprums. Piemēram, ja grafikā ir mazs klasteris (50 elementi), kas ietver sliktu domēnu, un vēl viens liels klasteris (5 tūkstoši elementu) un abas kopas ir savienotas ar savienojumu (līniju) ar ļoti zemu stiprību (svaru) , tad šāds savienojums tiks pārtraukts un elementi no lielās kopas tiks noņemti. Bet, ja starp mazajiem un lielajiem klasteriem ir daudz savienojumu un to stiprums pakāpeniski palielinās, tad šajā gadījumā savienojums nepārtrūks un grafikā paliks nepieciešamie elementi no abiem klasteriem.

Servera un domēna īpašumtiesību intervāls netiek ņemts vērā. Paskaidrojums. “Slikti domēni” agrāk vai vēlāk beigsies, un tie tiks atkārtoti iegādāti ļaunprātīgiem vai likumīgiem nolūkiem. Pat ložu necaurlaidīgi hostinga serveri tiek izīrēti dažādiem hakeriem, tāpēc ir ļoti svarīgi zināt un ņemt vērā intervālu, kad konkrēts domēns/serveris atradās viena īpašnieka pārziņā. Mēs bieži sastopamies ar situāciju, kad serveris ar IP 11.11.11.11 tagad tiek izmantots kā bankas robota C&C, un pirms 2 mēnešiem to kontrolēja Ransomware. Ja mēs izveidosim savienojumu, neņemot vērā īpašumtiesību intervālus, izskatīsies, ka starp banku robottīkla īpašniekiem un izspiedējvīrusu ir savienojums, lai gan patiesībā tādas nav. Mūsu darbā šāda kļūda ir kritiska.
Mēs mācījām sistēmai noteikt īpašumtiesību intervālus. Domēniem tas ir salīdzinoši vienkārši, jo whois bieži satur reģistrācijas sākuma un beigu datumus, un, ja ir pilnīga whois izmaiņu vēsture, ir viegli noteikt intervālus. Ja domēna reģistrācija nav beidzies, bet tā pārvaldīšana ir nodota citiem īpašniekiem, to var arī izsekot. SSL sertifikātiem šādu problēmu nav, jo tie tiek izsniegti vienreiz un netiek atjaunoti vai nodoti. Bet ar pašparakstītiem sertifikātiem nevar uzticēties sertifikāta derīguma termiņā norādītajiem datumiem, jo ​​jūs varat ģenerēt SSL sertifikātu jau šodien un norādīt sertifikāta sākuma datumu no 2010. gada. Visgrūtāk ir noteikt serveru īpašumtiesību intervālus, jo datumi un nomas periodi ir tikai hostinga pakalpojumu sniedzējiem. Lai noteiktu servera īpašumtiesību periodu, mēs sākām izmantot portu skenēšanas rezultātus un izveidot portos darbojošos pakalpojumu pirkstu nospiedumus. Izmantojot šo informāciju, mēs varam diezgan precīzi pateikt, kad ir mainījies servera īpašnieks.

Maz savienojumu. Paskaidrojums. Mūsdienās nav pat problēma iegūt bezmaksas sarakstu ar domēniem, kuru whois satur konkrētu e-pasta adresi, vai noskaidrot visus domēnus, kas bija saistīti ar noteiktu IP adresi. Bet, runājot par hakeriem, kuri dara visu iespējamo, lai viņus būtu grūti izsekot, mums ir nepieciešami papildu triki, lai atrastu jaunus īpašumus un izveidotu jaunus savienojumus.
Mēs pavadījām daudz laika, pētot, kā parastā veidā iegūt datus, kas nebija pieejami. Mēs nevaram šeit aprakstīt, kā tas darbojas acīmredzamu iemeslu dēļ, taču noteiktos apstākļos hakeri, reģistrējot domēnus vai īrējot un uzstādot serverus, pieļauj kļūdas, kas ļauj uzzināt e-pasta adreses, hakeru aizstājvārdus un aizmugursistēmas adreses. Jo vairāk savienojumu jūs iegūstat, jo precīzākus grafikus varat izveidot.

Kā darbojas mūsu grafiks

Lai sāktu izmantot tīkla diagrammu, meklēšanas joslā ir jāievada domēns, IP adrese, e-pasts vai SSL sertifikāta pirkstu nospiedums. Ir trīs nosacījumi, kurus analītiķis var kontrolēt: laiks, soļa dziļums un klīringa.

Laiks

Laiks — datums vai intervāls, kad meklētais elements tika izmantots ļaunprātīgiem nolūkiem. Ja nenorādīsiet šo parametru, sistēma pati noteiks pēdējo šī resursa īpašumtiesību intervālu. Piemēram, 11. jūlijā Eset publicēja ziņot par to, kā Buhtrap izmanto 0 dienu izmantošanu kiberspiegošanai. Pārskata beigās ir 6 rādītāji. Viens no tiem, safe-telemetry[.]net, tika pārreģistrēts 16. jūlijā. Tāpēc, izveidojot grafiku pēc 16. jūlija, jūs iegūsit nebūtiskus rezultātus. Bet, ja norādāt, ka šis domēns tika izmantots pirms šī datuma, diagrammā ir iekļauti 126 jauni domēni, 69 IP adreses, kas nav norādītas Eset pārskatā:

• ukrfreshnews[.]com
• unian-search[.]com
• vesti-world[.]info
• runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]info
• rian-ua[.]net
• uc

Papildus tīkla indikatoriem mēs nekavējoties atrodam savienojumus ar ļaunprātīgiem failiem, kuriem bija savienojumi ar šo infrastruktūru, un tagus, kas norāda, ka tika izmantoti Meterpreter un AZORult.

Lieliski ir tas, ka jūs iegūstat šo rezultātu vienas sekundes laikā un jums vairs nav jātērē dienas datu analīzei. Protams, šī pieeja dažkārt ievērojami samazina izmeklēšanas laiku, kas bieži vien ir kritiski.

Soļu skaits vai rekursijas dziļums, ar kādu grafiks tiks veidots

Pēc noklusējuma dziļums ir 3. Tas nozīmē, ka no vēlamā elementa tiks atrasti visi tieši saistītie elementi, pēc tam no katra jaunā elementa tiks veidoti jauni savienojumi ar citiem elementiem, un jauni elementi tiks izveidoti no jaunajiem elementiem no pēdējā. solis.

Ņemsim piemēru, kas nav saistīts ar APT un 0-dienu izmantošanu. Nesen vietnē Habré tika aprakstīts interesants krāpšanas gadījums saistībā ar kriptovalūtām. Ziņojumā minēts domēns themcx[.]co, ko izmanto krāpnieki, lai mitinātu vietni, kas it kā ir Miner Coin Exchange, un tālruņa meklēšanai[.]xyz, lai piesaistītu trafiku.

No apraksta ir skaidrs, ka shēmai ir nepieciešama diezgan liela infrastruktūra, lai piesaistītu satiksmi krāpnieciskiem resursiem. Mēs nolēmām aplūkot šo infrastruktūru, izveidojot grafiku 4 soļos. Rezultāts bija grafiks ar 230 domēniem un 39 IP adresēm. Tālāk mēs sadalām domēnus 2 kategorijās: tie, kas ir līdzīgi pakalpojumiem darbam ar kriptovalūtām, un tie, kas paredzēti trafika virzīšanai, izmantojot tālruņa verifikācijas pakalpojumus:

Saistīts ar kriptovalūtu
Saistīts ar tālruņa caurumošanas pakalpojumiem

monētu glabātājs[.]cc
zvanītāja ieraksta[.]vietne.

mcxwallet[.]co
telefona ierakstu[.]telpa

btcnoise[.]com
fone-uncover[.]xyz

kriptomīner[.]pulkstenis
number-uncover[.]info

tīrīšana

Pēc noklusējuma ir iespējota opcija “Grafa tīrīšana”, un visi neatbilstošie elementi tiks noņemti no diagrammas. Starp citu, tas tika izmantots visos iepriekšējos piemēros. Es paredzu dabisku jautājumu: kā mēs varam nodrošināt, ka kaut kas svarīgs netiek izdzēsts? Es atbildēšu: analītiķiem, kuriem patīk ar roku veidot grafikus, var atspējot automātisko tīrīšanu un izvēlēties soļu skaitu = 1. Tālāk analītiķis varēs pabeigt grafiku no viņam nepieciešamajiem elementiem un noņemt elementus no grafiki, kas nav saistīti ar uzdevumu.

Jau grafikā analītiķim kļūst pieejama whois, DNS, kā arī atvērto portu un tajos strādājošo pakalpojumu izmaiņu vēsture.

Finanšu pikšķerēšana

Izpētījām vienas APT grupas darbības, kas vairākus gadus veica pikšķerēšanas uzbrukumus dažādu banku klientiem dažādos reģionos. Šai grupai raksturīga iezīme bija īstu banku nosaukumiem ļoti līdzīgu domēnu reģistrācija, un lielākajai daļai pikšķerēšanas vietņu dizains bija vienāds, atšķirības bija tikai banku nosaukumos un to logotipos.

Šajā gadījumā automatizētā grafiku analīze mums ļoti palīdzēja. Izmantojot vienu no viņu domēniem — lloydsbnk-uk[.]com, dažu sekunžu laikā mēs izveidojām grafiku ar 3 pakāpju dziļumu, kas identificēja vairāk nekā 250 ļaunprātīgus domēnus, kurus šī grupa izmantoja kopš 2015. gada un turpina izmantot. . Dažus no šiem domēniem bankas jau ir iegādājušās, taču vēsturiskie ieraksti liecina, ka tie iepriekš bijuši reģistrēti uzbrucējiem.

Skaidrības labad attēlā parādīts grafiks ar 2 soļu dziļumu.

Zīmīgi, ka jau 2019. gadā uzbrucēji nedaudz mainīja savu taktiku un sāka reģistrēt ne tikai banku domēnus tīmekļa pikšķerēšanas mitināšanai, bet arī dažādu konsultāciju uzņēmumu domēnus pikšķerēšanas e-pastu sūtīšanai. Piemēram, domēni swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.

Kobalta banda

2018. gada decembrī hakeru grupa Cobalt, kas specializējas mērķtiecīgos uzbrukumos bankām, Kazahstānas Nacionālās bankas vārdā izsūtīja pasta kampaņu.

Vēstulēs bija saites uz hXXps://nationalbank.bz/Doc/Prikaz.doc. Lejupielādētajā dokumentā bija makro, kas palaida programmu Powershell, kas mēģinās ielādēt un izpildīt failu no hXXp://wateroilclub.com/file/dwm.exe failā %Temp%einmrmdmy.exe. Fails %Temp%einmrmdmy.exe jeb dwm.exe ir CobInt posms, kas konfigurēts mijiedarbībai ar serveri hXXp://admvmsopp.com/rilruietguadvtoefmuy.

Iedomājieties, ka nevarat saņemt šos pikšķerēšanas e-pasta ziņojumus un veikt pilnu ļaunprātīgo failu analīzi. Ļaunprātīgā domēna nationalbank[.]bz grafikā nekavējoties tiek parādīti savienojumi ar citiem ļaunprātīgiem domēniem, tas tiek attiecināts uz grupu un parāda, kuri faili tika izmantoti uzbrukumā.

Ņemsim no šīs diagrammas IP adresi 46.173.219[.]152 un izveidosim grafiku, izmantojot to vienā piegājienā, un izslēgsim tīrīšanu. Ar to ir saistīti 40 domēni, piemēram, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
kriptoelips[.]com

Spriežot pēc domēna nosaukumiem, šķiet, ka tie tiek izmantoti krāpnieciskās shēmās, taču tīrīšanas algoritms saprata, ka tie nav saistīti ar šo uzbrukumu, un neievietoja tos grafikā, kas ievērojami vienkāršo analīzes un attiecināšanas procesu.

Ja izveidosit grafiku no jauna, izmantojot nationalbank[.]bz, bet atspējojot grafika tīrīšanas algoritmu, tajā būs vairāk nekā 500 elementu, no kuriem lielākajai daļai nav nekāda sakara ar Cobalt grupu vai tās uzbrukumiem. Piemērs tam, kā izskatās šāds grafiks, ir sniegts zemāk:

Secinājums

Pēc vairāku gadu precīzas regulēšanas, testēšanas reālās izmeklēšanās, draudu izpētes un uzbrucēju meklēšanas mums izdevās ne tikai izveidot unikālu rīku, bet arī mainīt uzņēmuma ekspertu attieksmi pret to. Sākotnēji tehniskie eksperti vēlas pilnīgu kontroli pār grafu veidošanas procesu. Pārliecināt viņus, ka automātiskā grafu veidošana varētu to paveikt labāk nekā cilvēks ar daudzu gadu pieredzi, bija ārkārtīgi grūti. Visu izšķīra laiks un vairākas “manuālās” diagrammas rezultātu pārbaudes. Tagad mūsu speciālisti ne tikai uzticas sistēmai, bet arī izmanto tās iegūtos rezultātus savā ikdienas darbā. Šī tehnoloģija darbojas katrā mūsu sistēmā un ļauj mums labāk identificēt jebkura veida draudus. Interfeiss manuālai grafiku analīzei ir iebūvēts visos Group-IB produktos un ievērojami paplašina kibernoziegumu meklēšanas iespējas. To apstiprina mūsu klientu analītiķu atsauksmes. Un mēs, savukārt, turpinām bagātināt grafiku ar datiem un strādāt pie jauniem algoritmiem, izmantojot mākslīgo intelektu, lai izveidotu visprecīzāko tīkla grafiku.

Avots: www.habr.com