IzmeklÄjot lietas, kas saistÄ«tas ar pikŔķerÄÅ”anu, robottÄ«kliem, krÄpnieciskiem darÄ«jumiem un noziedzÄ«gÄm hakeru grupÄm, Group-IB eksperti jau daudzus gadus ir izmantojuÅ”i grafiku analÄ«zi, lai identificÄtu dažÄda veida savienojumus. DažÄdiem gadÄ«jumiem ir savas datu kopas, savi algoritmi savienojumu identificÄÅ”anai un konkrÄtiem uzdevumiem pielÄgotas saskarnes. Visus Å”os rÄ«kus iekÅ”Äji izstrÄdÄja Group-IB, un tie bija pieejami tikai mÅ«su darbiniekiem.
TÄ«kla infrastruktÅ«ras grafiskÄ analÄ«ze (tÄ«kla grafiks) kļuva par pirmo iekÅ”Äjo rÄ«ku, ko iestrÄdÄjÄm visos uzÅÄmuma publiskajos produktos. Pirms tÄ«kla diagrammas izveides mÄs analizÄjÄm daudzas lÄ«dzÄ«gas norises tirgÅ« un neatradÄm nevienu produktu, kas apmierinÄtu mÅ«su vajadzÄ«bas. Å ajÄ rakstÄ mÄs runÄsim par to, kÄ mÄs izveidojÄm tÄ«kla grafiku, kÄ mÄs to izmantojam un ar kÄdÄm grÅ«tÄ«bÄm mÄs saskÄrÄmies.
Dmitrijs Volkovs, CTO Group-IB un kiberizlÅ«koÅ”anas vadÄ«tÄjs
Ko var darīt Group-IB tīkla diagramma?
IzmeklÄÅ”anas
KopÅ” Group-IB dibinÄÅ”anas 2003. gadÄ lÄ«dz mÅ«sdienÄm kibernoziedznieku identificÄÅ”ana, deanonÄÅ”ana un saukÅ”ana pie atbildÄ«bas ir bijusi mÅ«su darba galvenÄ prioritÄte. Neviena kiberuzbrukuma izmeklÄÅ”ana nebija pabeigta, neanalizÄjot uzbrucÄju tÄ«kla infrastruktÅ«ru. PaÅ”Ä mÅ«su ceļojuma sÄkumÄ tas bija diezgan rÅ«pÄ«gs āroku darbsā, lai meklÄtu attiecÄ«bas, kas varÄtu palÄ«dzÄt identificÄt noziedzniekus: informÄciju par domÄna vÄrdiem, IP adresÄm, serveru digitÄlajiem pirkstu nospiedumiem utt.
LielÄkÄ daļa uzbrucÄju tÄ«klÄ cenÅ”as darboties pÄc iespÄjas anonÄ«mi. TomÄr, tÄpat kÄ visi cilvÄki, viÅi pieļauj kļūdas. Å Ädas analÄ«zes galvenais mÄrÄ·is ir atrast ābaltusā vai āpelÄkusā uzbrucÄju vÄsturiskus projektus, kuriem ir krustoÅ”anÄs ar ļaunprÄtÄ«go infrastruktÅ«ru, kas tiek izmantota paÅ”reizÄjÄ incidentÄ, kuru mÄs izmeklÄjam. Ja ir iespÄjams atklÄt ābaltos projektusā, tad uzbrucÄja atraÅ”ana, kÄ likums, kļūst par triviÄlu uzdevumu. āPelÄkoā gadÄ«jumÄ meklÄÅ”ana prasa vairÄk laika un pūļu, jo to Ä«paÅ”nieki cenÅ”as anonimizÄt vai slÄpt reÄ£istrÄcijas datus, taÄu iespÄja joprojÄm ir diezgan liela. Parasti savu noziedzÄ«go darbÄ«bu sÄkumÄ uzbrucÄji mazÄk pievÄrÅ” uzmanÄ«bu savai droŔībai un pieļauj vairÄk kļūdu, tÄpÄc, jo dziļÄk varam ienirt stÄstÄ, jo lielÄkas ir veiksmÄ«gas izmeklÄÅ”anas iespÄjas. TÄpÄc tÄ«kla grafiks ar labu vÄsturi ir ÄrkÄrtÄ«gi svarÄ«gs Å”Ädas izmeklÄÅ”anas elements. VienkÄrÅ”i sakot, jo dziļÄki vÄsturiskie dati ir uzÅÄmumam, jo āālabÄks ir tÄ grafiks. PieÅemsim, ka 5 gadu vÄsture var palÄ«dzÄt atrisinÄt nosacÄ«ti 1-2 no 10 noziegumiem, un 15 gadu vÄsture dod iespÄju atrisinÄt visus desmit.
PikŔķerÄÅ”anas un krÄpÅ”anas atklÄÅ”ana
Katru reizi, kad saÅemam aizdomÄ«gu saiti uz pikŔķerÄÅ”anas, krÄpniecisku vai pirÄtisku resursu, mÄs automÄtiski izveidojam saistÄ«to tÄ«kla resursu grafiku un pÄrbaudÄm, vai visos atrastajos saimniekdatoros nav lÄ«dzÄ«gs saturs. Tas ļauj atrast gan vecÄs pikŔķerÄÅ”anas vietnes, kas bija aktÄ«vas, bet nezinÄmas, gan arÄ« pilnÄ«gi jaunas, kas ir sagatavotas turpmÄkiem uzbrukumiem, bet vÄl netiek izmantotas. ElementÄrs piemÄrs, kas notiek diezgan bieži: mÄs atradÄm pikŔķerÄÅ”anas vietni serverÄ«, kurÄ ir tikai 5 vietnes. PÄrbaudot katru no tiem, mÄs atrodam pikŔķerÄÅ”anas saturu citÄs vietnÄs, kas nozÄ«mÄ, ka varam bloÄ·Ät 5, nevis 1.
MeklÄt aizmugursistÄmas
Å is process ir nepiecieÅ”ams, lai noteiktu, kur patiesÄ«bÄ atrodas ļaunprÄtÄ«gais serveris.
99% karÅ”u veikalu, hakeru forumu, daudzu pikŔķerÄÅ”anas resursu un citu ļaunprÄtÄ«gu serveru ir paslÄpti gan aiz saviem starpniekserveriem, gan likumÄ«gu pakalpojumu starpniekserveriem, piemÄram, Cloudflare. ZinÄÅ”anas par Ä«sto aizmuguri ir ļoti svarÄ«gas izmeklÄÅ”anai: kļūst zinÄms mitinÄÅ”anas pakalpojumu sniedzÄjs, no kura var konfiscÄt serveri, un kļūst iespÄjams izveidot savienojumus ar citiem ļaunprÄtÄ«giem projektiem.
PiemÄram, jums ir pikŔķerÄÅ”anas vietne, kurÄ tiek apkopoti bankas karÅ”u dati, kuru IP adrese ir 11.11.11.11, un karÅ”u veikala adrese, kas atrisina IP adresi 22.22.22.22. AnalÄ«zes laikÄ var izrÄdÄ«ties, ka gan pikŔķerÄÅ”anas vietnei, gan karÅ”u veikalam ir kopÄja aizmugursistÄmas IP adrese, piemÄram, 33.33.33.33. Å Ä«s zinÄÅ”anas ļauj mums izveidot savienojumu starp pikŔķerÄÅ”anas uzbrukumiem un karÅ”u veikalu, kurÄ var pÄrdot bankas karÅ”u datus.
Notikumu korelÄcija
Ja jums ir divi dažÄdi aktivizÄtÄji (piemÄram, IDS) ar atŔķirÄ«gu ļaunprÄtÄ«gu programmatÅ«ru un dažÄdiem serveriem, lai kontrolÄtu uzbrukumu, jÅ«s tos uzskatÄ«sit par diviem neatkarÄ«giem notikumiem. Bet, ja ir laba saikne starp ļaunprÄtÄ«gÄm infrastruktÅ«rÄm, tad kļūst skaidrs, ka tie nav dažÄdi uzbrukumi, bet gan viena, sarežģītÄka daudzpakÄpju uzbrukuma posmi. Un, ja kÄds no notikumiem jau tiek attiecinÄts uz kÄdu uzbrucÄju grupu, tad arÄ« otrais var tikt attiecinÄts uz Å”o paÅ”u grupu. Protams, attiecinÄjuma process ir daudz sarežģītÄks, tÄpÄc uzskatiet to kÄ vienkÄrÅ”u piemÄru.
Indikatora bagÄtinÄÅ”ana
MÄs tam nepievÄrsÄ«sim Ä«paÅ”u uzmanÄ«bu, jo Å”is ir visizplatÄ«tÄkais grafiku izmantoÅ”anas scenÄrijs kiberdroŔībÄ: jÅ«s sniedzat vienu indikatoru kÄ ievadi un kÄ izvadi saÅemat saistÄ«tu rÄdÄ«tÄju masÄ«vu.
Modeļu identificÄÅ”ana
Modeļu identificÄÅ”ana ir bÅ«tiska efektÄ«vai medÄ«bÄm. Grafiki ļauj ne tikai atrast saistÄ«tos elementus, bet arÄ« noteikt kopÄ«gas Ä«paŔības, kas raksturÄ«gas noteiktai hakeru grupai. ZinÄÅ”anas par Å”ÄdÄm unikÄlÄm Ä«paŔībÄm ļauj atpazÄ«t uzbrucÄja infrastruktÅ«ru pat sagatavoÅ”anas posmÄ un bez pierÄdÄ«jumiem, kas apstiprina uzbrukumu, piemÄram, pikŔķerÄÅ”anas e-pastiem vai ļaunprÄtÄ«gu programmatÅ«ru.
KÄpÄc mÄs izveidojÄm savu tÄ«kla grafiku?
Atkal mÄs apskatÄ«jÄm dažÄdu pÄrdevÄju risinÄjumus, pirms nonÄcÄm pie secinÄjuma, ka mums ir jÄizstrÄdÄ savs rÄ«ks, kas varÄtu darÄ«t kaut ko tÄdu, ko nevar paveikt neviens esoÅ”ais produkts. TÄ izveide prasÄ«ja vairÄkus gadus, kuru laikÄ vairÄkas reizes to pilnÄ«bÄ mainÄ«jÄm. Bet, neskatoties uz ilgo izstrÄdes periodu, mÄs vÄl neesam atraduÅ”i nevienu analogu, kas atbilstu mÅ«su prasÄ«bÄm. Izmantojot mÅ«su paÅ”u produktu, mÄs galu galÄ varÄjÄm atrisinÄt gandrÄ«z visas problÄmas, kuras atklÄjÄm esoÅ”ajos tÄ«kla grafikos. TÄlÄk mÄs detalizÄti apsvÄrsim Ŕīs problÄmas:
problÄma
Å Ä·Ä«dums
Pakalpojumu sniedzÄja trÅ«kums ar dažÄdÄm datu kolekcijÄm: domÄni, pasÄ«vais DNS, pasÄ«vais SSL, DNS ieraksti, atvÄrtie porti, pakalpojumu darbÄ«ba portos, faili, kas mijiedarbojas ar domÄnu nosaukumiem un IP adresÄm. Paskaidrojums. Parasti pakalpojumu sniedzÄji nodroÅ”ina atseviŔķus datu veidus, un, lai iegÅ«tu pilnÄ«gu priekÅ”statu, jums ir jÄiegÄdÄjas abonementi no visiem. TomÄr ne vienmÄr ir iespÄjams iegÅ«t visus datus: daži pasÄ«vie SSL nodroÅ”inÄtÄji sniedz datus tikai par sertifikÄtiem, ko izsnieguÅ”as uzticamas CA, un viÅu paÅ”u parakstÄ«to sertifikÄtu pÄrklÄjums ir ļoti zems. Citi arÄ« sniedz datus, izmantojot paÅ”parakstÄ«tus sertifikÄtus, bet apkopo tos tikai no standarta portiem.
Visas iepriekÅ” minÄtÄs kolekcijas savÄcÄm paÅ”i. PiemÄram, lai apkopotu datus par SSL sertifikÄtiem, mÄs izveidojÄm savu pakalpojumu, kas tos apkopo gan no uzticamÄm CA, gan skenÄjot visu IPv4 telpu. SertifikÄti tika savÄkti ne tikai no IP, bet arÄ« no visiem domÄniem un apakÅ”domÄniem no mÅ«su datu bÄzes: ja jums ir domÄns example.com un tÄ apakÅ”domÄns
Piekļuves trÅ«kums visai vÄsturisko ierakstu datubÄzei. Paskaidrojums. Katram normÄlam piegÄdÄtÄjam ir laba uzkrÄtÄ vÄsture, taÄu dabisku iemeslu dÄļ mÄs, klienti, nevarÄjÄm piekļūt visiem vÄsturiskajiem datiem. Tie. JÅ«s varat iegÅ«t visu vÄsturi vienam ierakstam, piemÄram, pÄc domÄna vai IP adreses, taÄu jÅ«s nevarat redzÄt visu vÄsturi - un bez tÄ jÅ«s nevarat redzÄt pilnu attÄlu.
Lai apkopotu pÄc iespÄjas vairÄk domÄnu vÄsturisko ierakstu, mÄs iegÄdÄjÄmies dažÄdas datu bÄzes, analizÄjÄm daudzus atvÄrtos resursus, kuriem bija Ŕī vÄsture (labi, ka to bija daudz), un vienojÄmies ar domÄna vÄrdu reÄ£istratoriem. Visi mÅ«su paÅ”u kolekciju atjauninÄjumi, protams, tiek glabÄti ar pilnu pÄrskatÄ«Å”anas vÄsturi.
Visi esoÅ”ie risinÄjumi ļauj izveidot grafiku manuÄli. Paskaidrojums. PieÅemsim, ka esat iegÄdÄjies daudz abonementu no visiem iespÄjamiem datu nodroÅ”inÄtÄjiem (parasti sauktiem par bagÄtinÄtÄjiem). Kad jums ir nepiecieÅ”ams izveidot grafiku, jÅ«s "rokas" dodat komandu veidot no vÄlamÄ savienojuma elementa, pÄc tam atlasiet vajadzÄ«gos no parÄdÄ«tajiem elementiem un dodat komandu no tiem pabeigt savienojumus utt. Å ajÄ gadÄ«jumÄ atbildÄ«ba par to, cik labi grafiks tiks izveidots, pilnÄ«bÄ gulstas uz personu.
IzgatavojÄm automÄtisku grafiku konstruÄÅ”anu. Tie. ja jÄveido grafiks, tad savienojumi no pirmÄ elementa tiek veidoti automÄtiski, tad arÄ« no visiem nÄkamajiem. SpeciÄlists norÄda tikai dziļumu, kÄdÄ grafiks ir jÄveido. Grafiku automÄtiskÄs aizpildÄ«Å”anas process ir vienkÄrÅ”s, taÄu citi piegÄdÄtÄji to neievieÅ”, jo tas rada milzÄ«gu skaitu neatbilstoÅ”u rezultÄtu, un mums bija jÄÅem vÄrÄ arÄ« Å”is trÅ«kums (skatiet tÄlÄk).
Daudzi neatbilstoÅ”i rezultÄti ir problÄma ar visiem tÄ«kla elementu grafikiem. Paskaidrojums. PiemÄram, āslikts domÄnsā (piedalÄ«jies uzbrukumÄ) ir saistÄ«ts ar serveri, kuram pÄdÄjo 10 gadu laikÄ ir saistÄ«ti 500 citi domÄni. ManuÄli pievienojot vai automÄtiski veidojot grafiku, grafikÄ jÄparÄdÄs arÄ« visiem Å”iem 500 domÄniem, lai gan tie nav saistÄ«ti ar uzbrukumu. Vai, piemÄram, pÄrbaudÄt IP indikatoru pÄrdevÄja droŔības pÄrskatÄ. Parasti Å”Ädi ziÅojumi tiek publicÄti ar ievÄrojamu kavÄÅ”anos un bieži vien aptver gadu vai ilgÄk. VisticamÄk, atskaites lasÄ«Å”anas laikÄ serveris ar Å”o IP adresi jau ir iznomÄts citiem cilvÄkiem ar citiem savienojumiem, un diagrammas veidoÅ”ana atkal radÄ«s neatbilstoÅ”us rezultÄtus.
MÄs apmÄcÄ«jÄm sistÄmu identificÄt neatbilstoÅ”os elementus, izmantojot to paÅ”u loÄ£iku, ko mÅ«su eksperti darÄ«ja manuÄli. PiemÄram, jÅ«s pÄrbaudÄt nepareizu domÄnu example.com, kas tagad atrisina IP 11.11.11.11, bet pirms mÄneÅ”a ā IP 22.22.22.22. Papildus domÄnam example.com IP 11.11.11.11 ir saistÄ«ts arÄ« ar example.ru, bet IP 22.22.22.22 ir saistÄ«ts ar 25 tÅ«kstoÅ”iem citu domÄnu. SistÄma, tÄpat kÄ cilvÄks, saprot, ka 11.11.11.11, visticamÄk, ir veltÄ«ts serveris, un, tÄ kÄ domÄna example.ru pareizrakstÄ«ba ir lÄ«dzÄ«ga example.com, tad ar lielu varbÅ«tÄ«bu tie ir savienoti un tiem jÄatrodas grafiks; bet IP 22.22.22.22 pieder dalÄ«tajam hostingam, tÄpÄc visi tÄ domÄni nav jÄiekļauj grafikÄ, ja vien nav citu savienojumu, kas parÄda, ka ir jÄiekļauj arÄ« viens no Å”iem 25 tÅ«kstoÅ”iem domÄnu (piemÄram, example.net) . Pirms sistÄma saprot, ka savienojumi ir jÄpÄrtrauc un daži elementi nav jÄpÄrvieto uz grafiku, tÄ Åem vÄrÄ daudzas elementu un kopu Ä«paŔības, kurÄs Å”ie elementi ir apvienoti, kÄ arÄ« paÅ”reizÄjo savienojumu stiprums. PiemÄram, ja grafikÄ ir mazs klasteris (50 elementi), kas ietver sliktu domÄnu, un vÄl viens liels klasteris (5 tÅ«kstoÅ”i elementu) un abas kopas ir savienotas ar savienojumu (lÄ«niju) ar ļoti zemu stiprÄ«bu (svaru) , tad Å”Äds savienojums tiks pÄrtraukts un elementi no lielÄs kopas tiks noÅemti. Bet, ja starp mazajiem un lielajiem klasteriem ir daudz savienojumu un to stiprums pakÄpeniski palielinÄs, tad Å”ajÄ gadÄ«jumÄ savienojums nepÄrtrÅ«ks un grafikÄ paliks nepiecieÅ”amie elementi no abiem klasteriem.
Servera un domÄna Ä«paÅ”umtiesÄ«bu intervÄls netiek Åemts vÄrÄ. Paskaidrojums. āSlikti domÄniā agrÄk vai vÄlÄk beigsies, un tie tiks atkÄrtoti iegÄdÄti ļaunprÄtÄ«giem vai likumÄ«giem nolÅ«kiem. Pat ložu necaurlaidÄ«gi hostinga serveri tiek izÄ«rÄti dažÄdiem hakeriem, tÄpÄc ir ļoti svarÄ«gi zinÄt un Åemt vÄrÄ intervÄlu, kad konkrÄts domÄns/serveris atradÄs viena Ä«paÅ”nieka pÄrziÅÄ. MÄs bieži sastopamies ar situÄciju, kad serveris ar IP 11.11.11.11 tagad tiek izmantots kÄ bankas robota C&C, un pirms 2 mÄneÅ”iem to kontrolÄja Ransomware. Ja mÄs izveidosim savienojumu, neÅemot vÄrÄ Ä«paÅ”umtiesÄ«bu intervÄlus, izskatÄ«sies, ka starp banku robottÄ«kla Ä«paÅ”niekiem un izspiedÄjvÄ«rusu ir savienojums, lai gan patiesÄ«bÄ tÄdas nav. MÅ«su darbÄ Å”Äda kļūda ir kritiska.
MÄs mÄcÄ«jÄm sistÄmai noteikt Ä«paÅ”umtiesÄ«bu intervÄlus. DomÄniem tas ir salÄ«dzinoÅ”i vienkÄrÅ”i, jo whois bieži satur reÄ£istrÄcijas sÄkuma un beigu datumus, un, ja ir pilnÄ«ga whois izmaiÅu vÄsture, ir viegli noteikt intervÄlus. Ja domÄna reÄ£istrÄcija nav beidzies, bet tÄ pÄrvaldÄ«Å”ana ir nodota citiem Ä«paÅ”niekiem, to var arÄ« izsekot. SSL sertifikÄtiem Å”Ädu problÄmu nav, jo tie tiek izsniegti vienreiz un netiek atjaunoti vai nodoti. Bet ar paÅ”parakstÄ«tiem sertifikÄtiem nevar uzticÄties sertifikÄta derÄ«guma termiÅÄ norÄdÄ«tajiem datumiem, jo āājÅ«s varat Ä£enerÄt SSL sertifikÄtu jau Å”odien un norÄdÄ«t sertifikÄta sÄkuma datumu no 2010. gada. VisgrÅ«tÄk ir noteikt serveru Ä«paÅ”umtiesÄ«bu intervÄlus, jo datumi un nomas periodi ir tikai hostinga pakalpojumu sniedzÄjiem. Lai noteiktu servera Ä«paÅ”umtiesÄ«bu periodu, mÄs sÄkÄm izmantot portu skenÄÅ”anas rezultÄtus un izveidot portos darbojoÅ”os pakalpojumu pirkstu nospiedumus. Izmantojot Å”o informÄciju, mÄs varam diezgan precÄ«zi pateikt, kad ir mainÄ«jies servera Ä«paÅ”nieks.
Maz savienojumu. Paskaidrojums. MÅ«sdienÄs nav pat problÄma iegÅ«t bezmaksas sarakstu ar domÄniem, kuru whois satur konkrÄtu e-pasta adresi, vai noskaidrot visus domÄnus, kas bija saistÄ«ti ar noteiktu IP adresi. Bet, runÄjot par hakeriem, kuri dara visu iespÄjamo, lai viÅus bÅ«tu grÅ«ti izsekot, mums ir nepiecieÅ”ami papildu triki, lai atrastu jaunus Ä«paÅ”umus un izveidotu jaunus savienojumus.
MÄs pavadÄ«jÄm daudz laika, pÄtot, kÄ parastÄ veidÄ iegÅ«t datus, kas nebija pieejami. MÄs nevaram Å”eit aprakstÄ«t, kÄ tas darbojas acÄ«mredzamu iemeslu dÄļ, taÄu noteiktos apstÄkļos hakeri, reÄ£istrÄjot domÄnus vai Ä«rÄjot un uzstÄdot serverus, pieļauj kļūdas, kas ļauj uzzinÄt e-pasta adreses, hakeru aizstÄjvÄrdus un aizmugursistÄmas adreses. Jo vairÄk savienojumu jÅ«s iegÅ«stat, jo precÄ«zÄkus grafikus varat izveidot.
KÄ darbojas mÅ«su grafiks
Lai sÄktu izmantot tÄ«kla diagrammu, meklÄÅ”anas joslÄ ir jÄievada domÄns, IP adrese, e-pasts vai SSL sertifikÄta pirkstu nospiedums. Ir trÄ«s nosacÄ«jumi, kurus analÄ«tiÄ·is var kontrolÄt: laiks, soļa dziļums un klÄ«ringa.
Laiks
Laiks ā datums vai intervÄls, kad meklÄtais elements tika izmantots ļaunprÄtÄ«giem nolÅ«kiem. Ja nenorÄdÄ«siet Å”o parametru, sistÄma pati noteiks pÄdÄjo Ŕī resursa Ä«paÅ”umtiesÄ«bu intervÄlu. PiemÄram, 11. jÅ«lijÄ Eset publicÄja
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-world[.]info
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- uc
Papildus tÄ«kla indikatoriem mÄs nekavÄjoties atrodam savienojumus ar ļaunprÄtÄ«giem failiem, kuriem bija savienojumi ar Å”o infrastruktÅ«ru, un tagus, kas norÄda, ka tika izmantoti Meterpreter un AZORult.
Lieliski ir tas, ka jÅ«s iegÅ«stat Å”o rezultÄtu vienas sekundes laikÄ un jums vairs nav jÄtÄrÄ dienas datu analÄ«zei. Protams, Ŕī pieeja dažkÄrt ievÄrojami samazina izmeklÄÅ”anas laiku, kas bieži vien ir kritiski.
Soļu skaits vai rekursijas dziļums, ar kÄdu grafiks tiks veidots
PÄc noklusÄjuma dziļums ir 3. Tas nozÄ«mÄ, ka no vÄlamÄ elementa tiks atrasti visi tieÅ”i saistÄ«tie elementi, pÄc tam no katra jaunÄ elementa tiks veidoti jauni savienojumi ar citiem elementiem, un jauni elementi tiks izveidoti no jaunajiem elementiem no pÄdÄjÄ. solis.
Å emsim piemÄru, kas nav saistÄ«ts ar APT un 0-dienu izmantoÅ”anu. Nesen vietnÄ HabrĆ© tika aprakstÄ«ts interesants krÄpÅ”anas gadÄ«jums saistÄ«bÄ ar kriptovalÅ«tÄm. ZiÅojumÄ minÄts domÄns themcx[.]co, ko izmanto krÄpnieki, lai mitinÄtu vietni, kas it kÄ ir Miner Coin Exchange, un tÄlruÅa meklÄÅ”anai[.]xyz, lai piesaistÄ«tu trafiku.
No apraksta ir skaidrs, ka shÄmai ir nepiecieÅ”ama diezgan liela infrastruktÅ«ra, lai piesaistÄ«tu satiksmi krÄpnieciskiem resursiem. MÄs nolÄmÄm aplÅ«kot Å”o infrastruktÅ«ru, izveidojot grafiku 4 soļos. RezultÄts bija grafiks ar 230 domÄniem un 39 IP adresÄm. TÄlÄk mÄs sadalÄm domÄnus 2 kategorijÄs: tie, kas ir lÄ«dzÄ«gi pakalpojumiem darbam ar kriptovalÅ«tÄm, un tie, kas paredzÄti trafika virzÄ«Å”anai, izmantojot tÄlruÅa verifikÄcijas pakalpojumus:
Saistīts ar kriptovalūtu
SaistÄ«ts ar tÄlruÅa caurumoÅ”anas pakalpojumiem
monÄtu glabÄtÄjs[.]cc
zvanÄ«tÄja ieraksta[.]vietne.
mcxwallet[.]co
telefona ierakstu[.]telpa
btcnoise[.]com
fone-uncover[.]xyz
kriptomīner[.]pulkstenis
number-uncover[.]info
tīrīŔana
PÄc noklusÄjuma ir iespÄjota opcija āGrafa tÄ«rÄ«Å”anaā, un visi neatbilstoÅ”ie elementi tiks noÅemti no diagrammas. Starp citu, tas tika izmantots visos iepriekÅ”Äjos piemÄros. Es paredzu dabisku jautÄjumu: kÄ mÄs varam nodroÅ”inÄt, ka kaut kas svarÄ«gs netiek izdzÄsts? Es atbildÄÅ”u: analÄ«tiÄ·iem, kuriem patÄ«k ar roku veidot grafikus, var atspÄjot automÄtisko tÄ«rÄ«Å”anu un izvÄlÄties soļu skaitu = 1. TÄlÄk analÄ«tiÄ·is varÄs pabeigt grafiku no viÅam nepiecieÅ”amajiem elementiem un noÅemt elementus no grafiki, kas nav saistÄ«ti ar uzdevumu.
Jau grafikÄ analÄ«tiÄ·im kļūst pieejama whois, DNS, kÄ arÄ« atvÄrto portu un tajos strÄdÄjoÅ”o pakalpojumu izmaiÅu vÄsture.
FinanÅ”u pikŔķerÄÅ”ana
IzpÄtÄ«jÄm vienas APT grupas darbÄ«bas, kas vairÄkus gadus veica pikŔķerÄÅ”anas uzbrukumus dažÄdu banku klientiem dažÄdos reÄ£ionos. Å ai grupai raksturÄ«ga iezÄ«me bija Ä«stu banku nosaukumiem ļoti lÄ«dzÄ«gu domÄnu reÄ£istrÄcija, un lielÄkajai daļai pikŔķerÄÅ”anas vietÅu dizains bija vienÄds, atŔķirÄ«bas bija tikai banku nosaukumos un to logotipos.
Å ajÄ gadÄ«jumÄ automatizÄtÄ grafiku analÄ«ze mums ļoti palÄ«dzÄja. Izmantojot vienu no viÅu domÄniem ā lloydsbnk-uk[.]com, dažu sekunžu laikÄ mÄs izveidojÄm grafiku ar 3 pakÄpju dziļumu, kas identificÄja vairÄk nekÄ 250 ļaunprÄtÄ«gus domÄnus, kurus Ŕī grupa izmantoja kopÅ” 2015. gada un turpina izmantot. . Dažus no Å”iem domÄniem bankas jau ir iegÄdÄjuÅ”Äs, taÄu vÄsturiskie ieraksti liecina, ka tie iepriekÅ” bijuÅ”i reÄ£istrÄti uzbrucÄjiem.
SkaidrÄ«bas labad attÄlÄ parÄdÄ«ts grafiks ar 2 soļu dziļumu.
ZÄ«mÄ«gi, ka jau 2019. gadÄ uzbrucÄji nedaudz mainÄ«ja savu taktiku un sÄka reÄ£istrÄt ne tikai banku domÄnus tÄ«mekļa pikŔķerÄÅ”anas mitinÄÅ”anai, bet arÄ« dažÄdu konsultÄciju uzÅÄmumu domÄnus pikŔķerÄÅ”anas e-pastu sÅ«tÄ«Å”anai. PiemÄram, domÄni swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Kobalta banda
2018. gada decembrÄ« hakeru grupa Cobalt, kas specializÄjas mÄrÄ·tiecÄ«gos uzbrukumos bankÄm, KazahstÄnas NacionÄlÄs bankas vÄrdÄ izsÅ«tÄ«ja pasta kampaÅu.
VÄstulÄs bija saites uz hXXps://nationalbank.bz/Doc/Prikaz.doc. LejupielÄdÄtajÄ dokumentÄ bija makro, kas palaida programmu Powershell, kas mÄÄ£inÄs ielÄdÄt un izpildÄ«t failu no hXXp://wateroilclub.com/file/dwm.exe failÄ %Temp%einmrmdmy.exe. Fails %Temp%einmrmdmy.exe jeb dwm.exe ir CobInt posms, kas konfigurÄts mijiedarbÄ«bai ar serveri hXXp://admvmsopp.com/rilruietguadvtoefmuy.
IedomÄjieties, ka nevarat saÅemt Å”os pikŔķerÄÅ”anas e-pasta ziÅojumus un veikt pilnu ļaunprÄtÄ«go failu analÄ«zi. Ä»aunprÄtÄ«gÄ domÄna nationalbank[.]bz grafikÄ nekavÄjoties tiek parÄdÄ«ti savienojumi ar citiem ļaunprÄtÄ«giem domÄniem, tas tiek attiecinÄts uz grupu un parÄda, kuri faili tika izmantoti uzbrukumÄ.
Å
emsim no Ŕīs diagrammas IP adresi 46.173.219[.]152 un izveidosim grafiku, izmantojot to vienÄ piegÄjienÄ, un izslÄgsim tÄ«rÄ«Å”anu. Ar to ir saistÄ«ti 40 domÄni, piemÄram, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
kriptoelips[.]com
Spriežot pÄc domÄna nosaukumiem, Ŕķiet, ka tie tiek izmantoti krÄpnieciskÄs shÄmÄs, taÄu tÄ«rÄ«Å”anas algoritms saprata, ka tie nav saistÄ«ti ar Å”o uzbrukumu, un neievietoja tos grafikÄ, kas ievÄrojami vienkÄrÅ”o analÄ«zes un attiecinÄÅ”anas procesu.
Ja izveidosit grafiku no jauna, izmantojot nationalbank[.]bz, bet atspÄjojot grafika tÄ«rÄ«Å”anas algoritmu, tajÄ bÅ«s vairÄk nekÄ 500 elementu, no kuriem lielÄkajai daļai nav nekÄda sakara ar Cobalt grupu vai tÄs uzbrukumiem. PiemÄrs tam, kÄ izskatÄs Å”Äds grafiks, ir sniegts zemÄk:
SecinÄjums
PÄc vairÄku gadu precÄ«zas regulÄÅ”anas, testÄÅ”anas reÄlÄs izmeklÄÅ”anÄs, draudu izpÄtes un uzbrucÄju meklÄÅ”anas mums izdevÄs ne tikai izveidot unikÄlu rÄ«ku, bet arÄ« mainÄ«t uzÅÄmuma ekspertu attieksmi pret to. SÄkotnÄji tehniskie eksperti vÄlas pilnÄ«gu kontroli pÄr grafu veidoÅ”anas procesu. PÄrliecinÄt viÅus, ka automÄtiskÄ grafu veidoÅ”ana varÄtu to paveikt labÄk nekÄ cilvÄks ar daudzu gadu pieredzi, bija ÄrkÄrtÄ«gi grÅ«ti. Visu izŔķīra laiks un vairÄkas āmanuÄlÄsā diagrammas rezultÄtu pÄrbaudes. Tagad mÅ«su speciÄlisti ne tikai uzticas sistÄmai, bet arÄ« izmanto tÄs iegÅ«tos rezultÄtus savÄ ikdienas darbÄ. Å Ä« tehnoloÄ£ija darbojas katrÄ mÅ«su sistÄmÄ un ļauj mums labÄk identificÄt jebkura veida draudus. Interfeiss manuÄlai grafiku analÄ«zei ir iebÅ«vÄts visos Group-IB produktos un ievÄrojami paplaÅ”ina kibernoziegumu meklÄÅ”anas iespÄjas. To apstiprina mÅ«su klientu analÄ«tiÄ·u atsauksmes. Un mÄs, savukÄrt, turpinÄm bagÄtinÄt grafiku ar datiem un strÄdÄt pie jauniem algoritmiem, izmantojot mÄkslÄ«go intelektu, lai izveidotu visprecÄ«zÄko tÄ«kla grafiku.
Avots: www.habr.com