Фишинг, ботнет, луйврын гүйлгээ, гэмт хэргийн хакерын бүлгүүдтэй холбоотой хэргүүдийг шалгаж байгаа Group-IB-ийн мэргэжилтнүүд олон жилийн турш янз бүрийн төрлийн холболтыг тодорхойлохын тулд график шинжилгээг ашиглаж ирсэн. Өөр өөр тохиолдлууд нь өөрийн гэсэн өгөгдлийн багц, холболтыг тодорхойлох өөрийн алгоритм, тусгай даалгаварт тохирсон интерфейстэй байдаг. Эдгээр бүх хэрэгслийг Group-IB дотооддоо боловсруулсан бөгөөд зөвхөн манай ажилтнуудад ашиглах боломжтой байсан.

Сүлжээний дэд бүтцийн график шинжилгээ (сүлжээний график) нь компанийн бүх нийтийн бүтээгдэхүүнд суулгасан анхны дотоод хэрэгсэл болсон. Сүлжээний графикийг бүтээхээсээ өмнө бид зах зээл дээрх ижил төстэй олон бүтээн байгуулалтад дүн шинжилгээ хийсэн бөгөөд бидний хэрэгцээнд нийцсэн нэг ч бүтээгдэхүүн олдсонгүй. Энэ нийтлэлд бид сүлжээний графикийг хэрхэн бүтээсэн, хэрхэн ашигладаг, ямар бэрхшээл тулгарсан талаар ярих болно.

Дмитрий Волков, CTO Group-IB ба кибер тагнуулын дарга

Group-IB сүлжээний график юу хийж чадах вэ?

Мөрдөн байцаалт

Групп-IB-ийг 2003 онд үүсгэн байгуулснаас хойш өнөөг хүртэл кибер гэмт хэрэгтнүүдийг илрүүлэх, ялаас нь чөлөөлөх, хуулийн хариуцлага хүлээлгэх нь бидний ажлын нэн тэргүүний зорилт байсаар ирсэн. Халдагчдын сүлжээний дэд бүтцэд дүн шинжилгээ хийхгүйгээр кибер халдлагын нэг ч мөрдөн байцаалт дуусаагүй байна. Бидний аяллын эхэнд гэмт хэрэгтнүүдийг илрүүлэхэд тус болох харилцааг хайх нь нэлээд хэцүү "гарын авлагын ажил" байсан: домэйн нэр, IP хаяг, серверийн дижитал хурууны хээ гэх мэт мэдээлэл.

Ихэнх халдагчид сүлжээнд аль болох нэрээ нууцлахыг хичээдэг. Гэсэн хэдий ч бүх хүмүүсийн нэгэн адил тэд алдаа гаргадаг. Ийм шинжилгээний гол зорилго нь бидний шалгаж байгаа хэрэг явдалд ашигласан хортой дэд бүтэцтэй огтлолцсон халдагчдын "цагаан" эсвэл "саарал" түүхэн төслүүдийг олох явдал юм. Хэрэв "цагаан төслүүд" -ийг илрүүлэх боломжтой бол халдагчийг олох нь дүрмээр бол энгийн ажил болно. "Саарал" хүмүүсийн хувьд хайлт хийхэд илүү их цаг хугацаа, хүчин чармайлт шаардагддаг, учир нь эзэд нь бүртгэлийн мэдээллийг нууцлах эсвэл нуухыг оролддог боловч магадлал өндөр хэвээр байна. Дүрмээр бол, гэмт хэргийн эхэн үед халдагчид өөрсдийн аюулгүй байдалд бага анхаарал хандуулж, илүү их алдаа гаргадаг тул бид түүхийг гүнзгийрүүлэх тусам мөрдөн байцаалтын ажиллагаа амжилттай болох магадлал өндөр байдаг. Тийм ч учраас сайн түүхтэй сүлжээний график нь ийм мөрдөн байцаалтын маш чухал элемент юм. Энгийнээр хэлбэл, компанийн түүхэн өгөгдөл хэдий чинээ гүнзгий байна, график төдий чинээ сайн байна. 5 жилийн түүх нь болзолтойгоор 1 гэмт хэргийн 2-10-ыг, харин 15 жилийн түүх аравыг бүгдийг нь илрүүлэх боломжийг олгодог гэж бодъё.

Фишинг ба залилан илрүүлэх

Бид фишинг, залилан мэхэлсэн эсвэл хулгайн эх сурвалжтай холбоотой сэжигтэй холбоосыг хүлээн авах бүрд бид холбогдох сүлжээний нөөцийн графикийг автоматаар үүсгэж, олдсон бүх хостуудыг ижил төстэй контент байгаа эсэхийг шалгадаг. Энэ нь танд идэвхтэй байсан боловч үл мэдэгдэх хуучин фишинг сайтууд болон ирээдүйн халдлагад бэлтгэгдсэн боловч хараахан ашиглагдаагүй цоо шинэ сайтуудыг олох боломжийг олгоно. Маш олон удаа тохиолддог энгийн жишээ: бид зөвхөн 5 сайттай сервер дээр фишинг сайтыг олсон. Тэдгээрийг тус бүрээр нь шалгаснаар бид бусад сайтуудаас фишинг агуулгыг илрүүлдэг бөгөөд энэ нь бид 5-ийн оронд 1-ыг блоклох боломжтой гэсэн үг юм.

Backends хайх

Энэ процесс нь хортой сервер хаана байгааг тодорхойлоход зайлшгүй шаардлагатай.
Картын дэлгүүрүүд, хакерын форумууд, олон фишинг нөөцүүд болон бусад хортой серверүүдийн 99% нь өөрсдийн прокси серверүүд болон хууль ёсны үйлчилгээний прокси, тухайлбал Cloudflare-ийн ард нуугдсан байдаг. Бодит backend-ийн талаарх мэдлэг нь мөрдөн байцаалтын хувьд маш чухал: серверийг булаан авч болох хостинг үйлчилгээ үзүүлэгч нь тодорхой болж, бусад хортой төслүүдтэй холбоо тогтоох боломжтой болно.

Жишээлбэл, та 11.11.11.11 IP хаягтай, 22.22.22.22 IP хаягтай картын дэлгүүрийн хаягтай банкны картын мэдээлэл цуглуулах фишинг сайттай. Шинжилгээний явцад фишинг сайт болон картын дэлгүүр хоёулаа нийтлэг арын IP хаягтай болох нь тогтоогдсон, жишээ нь 33.33.33.33. Энэхүү мэдлэг нь фишинг халдлага болон банкны картын мэдээллийг зарж болох картын дэлгүүрийн хооронд холбоо тогтоох боломжийг бидэнд олгодог.

Үйл явдлын хамаарал

Хэрэв танд халдлагыг хянах өөр өөр хортой программ хангамж, өөр серверүүд бүхий хоёр өөр триггер (IDS дээр гэж үзье) байгаа үед та тэдгээрийг хоёр бие даасан үйл явдал гэж үзэх болно. Гэхдээ хэрэв хортой дэд бүтцийн хооронд сайн холболт байгаа бол эдгээр нь өөр өөр халдлага биш, харин нэг, илүү төвөгтэй олон үе шаттай халдлагын үе шатууд болох нь тодорхой болно. Хэрэв үйл явдлын аль нэг нь халдагчдын аль нэг бүлэгт хамааралтай бол хоёр дахь нь мөн ижил бүлэгт хамаарах боломжтой. Мэдээжийн хэрэг, аттрибутын үйл явц нь илүү төвөгтэй тул үүнийг энгийн жишээ болгон авч үзье.

Шалгуур үзүүлэлтийг баяжуулах

Энэ нь кибер аюулгүй байдалд график ашиглах хамгийн түгээмэл хувилбар тул бид үүнд нэг их анхаарал хандуулахгүй: та нэг үзүүлэлтийг оролт болгон өгөх ба гаралт болгон та холбогдох үзүүлэлтүүдийн массивыг авах болно.

Загваруудыг тодорхойлох

Загваруудыг тодорхойлох нь үр дүнтэй агнуур хийхэд зайлшгүй шаардлагатай. Графикууд нь зөвхөн холбогдох элементүүдийг олох төдийгүй тодорхой бүлэг хакеруудын онцлог шинж чанарыг тодорхойлох боломжийг олгодог. Ийм өвөрмөц шинж чанаруудын талаархи мэдлэг нь халдагчийн дэд бүтцийг бэлтгэх шатандаа ч гэсэн халдлагыг баталгаажуулах нотлох баримтгүйгээр, тухайлбал фишинг имэйл, хортой программ хангамжийг таних боломжийг олгодог.

Бид яагаад өөрсдийн сүлжээний графикийг бүтээсэн бэ?

Дахин хэлэхэд, бид одоо байгаа ямар ч бүтээгдэхүүн хийж чадахгүй зүйлийг хийж чадах өөрийн хэрэгсэлээ хөгжүүлэх хэрэгтэй гэсэн дүгнэлтэд хүрэхээсээ өмнө өөр өөр үйлдвэрлэгчдийн шийдлүүдийг судалж үзсэн. Үүнийг бүтээхэд хэдэн жил зарцуулсан бөгөөд бид үүнийг хэд хэдэн удаа бүрэн өөрчилсөн. Гэсэн хэдий ч хөгжлийн урт хугацааг үл харгалзан бидний шаардлагыг хангах нэг аналогийг хараахан олоогүй байна. Бид өөрсдийн бүтээгдэхүүнийг ашигласнаар одоо байгаа сүлжээний графикуудаас олж мэдсэн бараг бүх асуудлыг шийдэж чадсан. Доор бид эдгээр асуудлуудыг нарийвчлан авч үзэх болно.

асуудал
шийдвэр

Домэйн, идэвхгүй DNS, идэвхгүй SSL, DNS бичлэгүүд, нээлттэй портууд, портууд дээр ажиллаж байгаа үйлчилгээнүүд, домэйн нэр, IP хаягтай харилцах файлууд гэх мэт өөр өөр мэдээллийн цуглуулга бүхий үйлчилгээ үзүүлэгч байхгүй байна. Тайлбар. Ихэвчлэн үйлчилгээ үзүүлэгчид тусдаа төрлийн өгөгдлийг өгдөг бөгөөд бүрэн дүр зургийг авахын тулд та хүн бүрээс захиалга худалдаж авах хэрэгтэй. Гэсэн хэдий ч бүх өгөгдлийг олж авах нь үргэлж боломжгүй байдаг: зарим идэвхгүй SSL үйлчилгээ үзүүлэгч нь зөвхөн итгэмжлэгдсэн CA-аас олгосон гэрчилгээний мэдээллийг өгдөг бөгөөд өөрөө гарын үсэг зурсан гэрчилгээний хамрах хүрээ маш муу байдаг. Бусад нь өөрөө гарын үсэг зурсан гэрчилгээг ашиглан өгөгдлийг өгдөг боловч зөвхөн стандарт портуудаас цуглуулдаг.
Дээрх бүх цуглуулгуудыг бид өөрсдөө цуглуулсан. Жишээлбэл, SSL сертификатуудын тухай мэдээлэл цуглуулахын тулд бид итгэмжлэгдсэн CA-аас цуглуулж, IPv4 зайг бүхэлд нь сканнердах замаар өөрсдийн үйлчилгээг бичсэн. Гэрчилгээг зөвхөн IP-ээс төдийгүй манай мэдээллийн сангийн бүх домэйн болон дэд домайнуудаас цуглуулсан: хэрэв танд example.com домэйн болон түүний дэд домайн байгаа бол. www.example.com мөн тэдгээр нь бүгд IP 1.1.1.1-ээр шийдэгдсэн бөгөөд дараа нь та IP, домэйн болон түүний дэд домайн дээрх 443-р портоос SSL сертификат авахыг оролдох үед гурван өөр үр дүнг авах боломжтой. Нээлттэй портууд болон ажиллаж байгаа үйлчилгээнүүдийн талаар мэдээлэл цуглуулахын тулд бусад үйлчилгээнүүд ихэвчлэн сканнердах серверийнхээ IP хаягийг "хар жагсаалт"-д оруулдаг байсан тул бид өөрсдийн түгээсэн сканнердах системийг бий болгох шаардлагатай болсон. Манай сканнерын серверүүд мөн хар жагсаалтад ордог ч бидэнд хэрэгтэй үйлчилгээг илрүүлсэн үр дүн нь аль болох олон портыг сканнердаж, энэ өгөгдөлд хандах хандалтыг зардаг хүмүүсийнхээс өндөр байна.

Түүхийн бичлэгийн мэдээллийн санд бүрэн нэвтрэх боломжгүй. Тайлбар. Ердийн ханган нийлүүлэгч бүр сайн хуримтлуулсан түүхтэй боловч байгалийн шалтгаанаар бид үйлчлүүлэгчийн хувьд бүх түүхэн мэдээлэлд хандах боломжгүй байсан. Тэдгээр. Та нэг бичлэгийн түүхийг бүхэлд нь авч болно, жишээлбэл, домэйн эсвэл IP хаягаар, гэхдээ та бүх зүйлийн түүхийг харах боломжгүй бөгөөд үүнгүйгээр та бүрэн зургийг харж чадахгүй.
Домэйн дээрх түүхэн бичлэгүүдийг аль болох олон цуглуулахын тулд бид янз бүрийн мэдээллийн санг худалдан авч, ийм түүхтэй олон нээлттэй эх сурвалжуудыг задлан шинжилж (тэдгээр нь олон байсан нь сайн хэрэг), домэйн нэр бүртгэгчидтэй тохиролцсон. Манай цуглуулгын бүх шинэчлэлтүүд нь мэдээжийн хэрэг бүрэн засварласан түүхийн хамт хадгалагддаг.

Одоо байгаа бүх шийдлүүд нь графикийг гараар бүтээх боломжийг олгодог. Тайлбар. Та бүх боломжит өгөгдөл нийлүүлэгчдээс (ихэвчлэн "баяжуулагч" гэж нэрлэдэг) маш олон захиалга худалдаж авсан гэж бодъё. График байгуулах шаардлагатай үед та хүссэн холболтын элементээс бүтээх командыг "гар" өгч, дараа нь гарч ирсэн элементүүдээс шаардлагатайг нь сонгоод тэдгээрээс холболтыг дуусгах тушаалыг өгнө. Энэ тохиолдолд графикийг хэр сайн бүтээх хариуцлага нь тухайн хүнээс бүрэн хамаарна.
Бид графикийн автомат барилгын ажлыг хийсэн. Тэдгээр. Хэрэв та график байгуулах шаардлагатай бол эхний элементийн холболтууд автоматаар, дараа нь бүх элементүүдээс автоматаар баригдана. Мэргэжилтэн нь зөвхөн графикийг барих шаардлагатай гүнийг зааж өгдөг. Графикуудыг автоматаар бөглөх үйл явц нь энгийн боловч бусад үйлдвэрлэгчид үүнийг хэрэгжүүлдэггүй, учир нь энэ нь олон тооны хамааралгүй үр дүнг гаргадаг бөгөөд бид бас энэ сул талыг харгалзан үзэх шаардлагатай болсон (доороос үзнэ үү).

Олон тооны хамааралгүй үр дүн нь бүх сүлжээний элементийн графиктай холбоотой асуудал юм. Тайлбар. Жишээлбэл, "муу домэйн" (халдлагад оролцсон) нь сүүлийн 10 жилийн хугацаанд 500 өөр домэйнтэй холбоотой сервертэй холбоотой байдаг. Графикийг гараар нэмэх эсвэл автоматаар байгуулах үед эдгээр бүх 500 домэйнууд халдлагатай холбоогүй ч график дээр гарч ирэх ёстой. Эсвэл, жишээ нь, та үйлдвэрлэгчийн аюулгүй байдлын тайлангаас IP үзүүлэлтийг шалгана. Ихэвчлэн ийм тайлангууд ихээхэн хойшлогддог бөгөөд ихэвчлэн нэг жил ба түүнээс дээш хугацаанд гардаг. Таныг тайланг уншиж байх үед энэ IP хаягтай серверийг бусад холболттой хүмүүст аль хэдийн түрээсэлсэн байх магадлалтай бөгөөд график байгуулах нь танд хамааралгүй үр дүнд хүргэх болно.
Бид мэргэжилтнүүдийн гараар хийсэн логикийг ашиглан хамааралгүй элементүүдийг тодорхойлох системийг сургасан. Жишээлбэл, та одоо IP 11.11.11.11, сарын өмнө IP 22.22.22.22 болж шийдэгдсэн example.com муу домайныг шалгаж байна. example.com домэйноос гадна IP 11.11.11.11 нь example.ru, IP 22.22.22.22 нь бусад 25 мянган домайнуудтай холбоотой байдаг. Систем нь хүний нэгэн адил 11.11.11.11 нь тусгай зориулалтын сервер гэдгийг ойлгодог бөгөөд example.ru домэйн нь example.com-той ижил үсэгтэй байдаг тул өндөр магадлалтайгаар тэдгээр нь холбогдсон бөгөөд дээр байх ёстой. график; гэхдээ IP 22.22.22.22 нь хуваалцсан хостингт хамаарах тул эдгээр 25 мянган домэйны аль нэгийг нь оруулах шаардлагатайг харуулсан бусад холболт байхгүй бол түүний бүх домайныг графикт оруулах шаардлагагүй (жишээлбэл, example.net) . Систем нь холболтыг таслах, зарим элементүүдийг график руу шилжүүлэхгүй байх шаардлагатайг ойлгохын өмнө эдгээр элементүүдийг нэгтгэсэн элементүүд болон кластеруудын олон шинж чанар, түүнчлэн одоогийн холболтын хүчийг харгалзан үздэг. Жишээлбэл, хэрэв бид график дээр муу домэйн агуулсан жижиг кластер (50 элемент) байгаа бол өөр нэг том кластер (5 мянган элемент) байгаа бөгөөд хоёр кластер нь маш бага хүч чадалтай (жин) холболтоор (шугам) холбогдсон бол. , дараа нь ийм холболт эвдэрч, том кластераас элементүүд устах болно. Гэхдээ жижиг, том кластеруудын хооронд олон холболт байгаа бөгөөд тэдгээрийн хүч нь аажмаар нэмэгдэж байвал энэ тохиолдолд холболт тасрахгүй бөгөөд хоёр кластераас шаардлагатай элементүүд график дээр үлдэх болно.

Сервер болон домэйн эзэмших интервалыг тооцохгүй. Тайлбар. "Муу домайн"-ын хугацаа эрт орой хэзээ нэгэн цагт дуусч, хорлонтой эсвэл хууль ёсны зорилгоор дахин худалдаж авах болно. Сум нэвтэрдэггүй хостинг серверүүд хүртэл өөр өөр хакеруудад түрээслүүлдэг тул тухайн домэйн/сервер нэг эзэмшигчийн хяналтанд байх үеийн интервалыг мэдэж, анхаарч үзэх нь чухал юм. Бид IP 11.11.11.11-тэй серверийг одоо банкны ботын C&C болгон ашигладаг бөгөөд 2 сарын өмнө Ransomware-ээр хянагддаг байсан нөхцөл байдалтай байнга тулгардаг. Хэрэв бид эзэмшигчийн интервалыг харгалзахгүйгээр холболт хийвэл банкны ботнет болон ransomware-ийн эзэмшигчдийн хооронд холболт байгаа мэт харагдах болно, гэхдээ үнэндээ байхгүй. Манай ажилд ийм алдаа маш чухал байдаг.
Бид эзэмшлийн интервалыг тодорхойлох системийг зааж өгсөн. Домэйнуудын хувьд энэ нь харьцангуй хялбар байдаг, учир нь whois нь ихэвчлэн бүртгэлийн эхлэх болон дуусах огноог агуулдаг бөгөөд whois-ийн өөрчлөлтийн бүрэн түүхтэй үед интервалыг тодорхойлоход хялбар байдаг. Домэйн бүртгэлийн хугацаа дуусаагүй ч менежмент нь бусад эзэмшигчид шилжсэн тохиолдолд үүнийг мөн хянах боломжтой. SSL сертификатын хувьд ийм асуудал байхгүй, учир нь тэдгээр нь нэг удаа олгогддог бөгөөд шинэчлэгддэггүй, шилжүүлэгддэггүй. Гэхдээ өөрөө гарын үсэг зурсан гэрчилгээний хувьд та гэрчилгээний хүчинтэй байх хугацаанд заасан огноонд итгэж болохгүй, учир нь та өнөөдөр SSL сертификат үүсгэж, 2010 оноос эхлэн гэрчилгээний эхлэх огноог зааж өгч болно. Хамгийн хэцүү зүйл бол серверийн эзэмшлийн интервалыг тодорхойлох явдал юм, учир нь зөвхөн хостинг үйлчилгээ үзүүлэгчид огноо, түрээсийн хугацаатай байдаг. Серверийг эзэмших хугацааг тодорхойлохын тулд бид порт сканнердсан үр дүнг ашиглаж, портууд дээр ажиллаж байгаа үйлчилгээний хурууны хээг үүсгэж эхэлсэн. Энэ мэдээллийг ашиглан бид серверийн эзэмшигч хэзээ өөрчлөгдсөнийг үнэн зөв хэлж чадна.

Цөөн холболт. Тайлбар. Өнөө үед whois нь тодорхой и-мэйл хаяг агуулсан домэйнуудын үнэгүй жагсаалтыг авах эсвэл тодорхой IP хаягтай холбоотой бүх домэйнүүдийг олж мэдэх нь тийм ч хэцүү биш юм. Гэхдээ хянахад хэцүү байхын тулд чадах бүхнээ хийдэг хакеруудын тухайд бидэнд шинэ өмч хайж, шинэ холболт үүсгэх нэмэлт заль мэх хэрэгтэй.
Бид уламжлалт аргаар байхгүй өгөгдлийг хэрхэн гаргаж авах талаар судлахад маш их цаг зарцуулсан. Энэ нь тодорхой шалтгааны улмаас хэрхэн ажилладаг талаар бид энд тайлбарлаж чадахгүй ч тодорхой нөхцөл байдалд хакерууд домэйн бүртгүүлэх эсвэл сервер түрээслэх, тохируулахдаа имэйл хаяг, хакерын нэр, арын хаягийг олох боломжийг олгодог алдаа гаргадаг. Илүү олон холболтыг задлах тусам илүү нарийвчлалтай график үүсгэж чадна.

Манай график хэрхэн ажилладаг

Сүлжээний графикийг ашиглаж эхлэхийн тулд хайлтын талбарт домэйн, IP хаяг, имэйл эсвэл SSL сертификатын хурууны хээ оруулах шаардлагатай. Шинжээч гурван нөхцөлийг хянах боломжтой: цаг хугацаа, алхамын гүн, цэвэрлэгээ.

Цаг хугацаа

Цаг - хайсан элементийг хорлонтой зорилгоор ашигласан огноо эсвэл интервал. Хэрэв та энэ параметрийг заагаагүй бол систем өөрөө энэ нөөцийн хамгийн сүүлийн эзэмшлийн интервалыг тодорхойлно. Жишээлбэл, 11-р сарын XNUMX-нд "Эсет" хэвлэгдсэн тайлан Buhtrap нь кибер тагнуулын ажилд 0 өдрийн ашиглалтыг хэрхэн ашигладаг талаар. Тайлангийн төгсгөлд 6 үзүүлэлт байна. Тэдний нэг болох security-telemetry[.]net 16-р сарын 16-нд дахин бүртгүүлсэн. Тиймээс 126-р сарын 69-наас хойш график барьвал хамааралгүй үр дүн гарах болно. Гэхдээ хэрэв та энэ домэйныг энэ өдрөөс өмнө ашиглаж байсан гэж үзвэл графикт Eset тайланд ороогүй XNUMX шинэ домэйн, XNUMX IP хаяг орно.

ukrfreshnews[.]com
unian-search[.]com
vesti-world[.]info
runewsmeta[.]com
foxnewsmeta[.]biz
sobesednik-meta[.]мэдээлэл
rian-ua[.]нет
болон бусад.

Сүлжээний үзүүлэлтүүдээс гадна бид энэ дэд бүтэцтэй холбогдсон хортой файлуудтай холболт, Meterpreter болон AZORult ашигласан гэдгийг илтгэх хаягуудыг нэн даруй олдог.

Гайхалтай нь та энэ үр дүнг нэг секундын дотор авах бөгөөд өгөгдөлд дүн шинжилгээ хийхэд өдөр зарцуулах шаардлагагүй болно. Мэдээжийн хэрэг, энэ арга нь заримдаа мөрдөн байцаалтын хугацааг эрс багасгадаг бөгөөд энэ нь ихэвчлэн чухал байдаг.

График байгуулах алхамуудын тоо эсвэл рекурсын гүн

Анхдагчаар, гүн нь 3 байна. Энэ нь хүссэн элементээс шууд хамааралтай бүх элементүүдийг олж, дараа нь шинэ элемент бүрээс бусад элементүүд рүү шинэ холболтуудыг байгуулж, сүүлийн элементүүдээс шинэ элементүүдийг үүсгэнэ гэсэн үг юм. алхам.

APT болон 0 өдрийн мөлжлөгтэй холбоогүй жишээг авч үзье. Саяхан Хабре сайтад криптовалюттай холбоотой залилангийн нэгэн сонирхолтой хэрэг гарсан. Уг тайланд мэхлэгчдийн ашиглагдаж байгаа themcx[.]co домайныг Miner Coin Exchange гэж үздэг вэб сайтыг байршуулж, утсаар хайлт хийх[.]xyz урсгалыг татахын тулд ашигладаг.

Тодорхойлолтоос харахад энэ схем нь залилан мэхэлсэн эх үүсвэрт урсгалыг татахын тулд нэлээд том дэд бүтцийг шаарддаг. Бид энэ дэд бүтцийг 4 үе шаттайгаар график барьж үзэхээр шийдсэн. Гаралт нь 230 домэйн, 39 IP хаягтай график байв. Дараа нь бид домайнуудыг 2 ангилалд хуваадаг: криптовалюттай ажиллах үйлчилгээтэй төстэй болон утасны баталгаажуулалтын үйлчилгээгээр дамжуулан урсгалыг жолоодох зорилготой.

Криптовалюттай холбоотой
Утасны цоолтуурын үйлчилгээтэй холбоотой

зоос эзэмшигч[.]cc
дуудлага хийгчийн бичлэг[.]сайт.

mcxwallet[.]co
утасны бичлэгийн[.]зай

btcnoise[.]com
fone-uncover[.]xyz

криптоминер[.]цаг
тоо-илчлэх[.]мэдээлэл

Цэвэрлэгээ

Анхдагч байдлаар, "График цэвэрлэх" сонголтыг идэвхжүүлсэн бөгөөд бүх хамааралгүй элементүүдийг графикаас хасах болно. Дашрамд хэлэхэд энэ нь өмнөх бүх жишээн дээр ашиглагдаж байсан. Би байгалийн асуултыг урьдчилан таамаглаж байна: чухал зүйлийг устгаагүй эсэхийг хэрхэн баталгаажуулах вэ? Би хариулах болно: Графикийг гараар бүтээх дуртай шинжээчдийн хувьд автомат цэвэрлэгээг идэвхгүй болгож, алхамуудын тоог сонгох боломжтой = 1. Дараа нь шинжээч өөрт хэрэгтэй элементүүдээс графикийг дуусгаж, элементүүдийг устгах боломжтой болно. даалгаварт хамааралгүй график.

График дээр аль хэдийн whois, DNS-ийн өөрчлөлтийн түүх, түүнчлэн нээлттэй портууд болон тэдгээр дээр ажиллаж байгаа үйлчилгээнүүд нь шинжээчдэд нээлттэй болсон.

Санхүүгийн фишинг

Бид янз бүрийн бүс нутагт янз бүрийн банкуудын үйлчлүүлэгчдийн эсрэг хэдэн жилийн турш фишинг халдлага үйлдэж байсан нэг APT бүлгийн үйл ажиллагааг шалгасан. Энэ бүлгийн нэг онцлог шинж чанар нь жинхэнэ банкуудын нэртэй маш төстэй домэйнуудын бүртгэл байсан бөгөөд фишинг сайтуудын ихэнх нь ижил загвартай байсан бөгөөд зөвхөн банкуудын нэр, лого зэрэгт л ялгаатай байв.

Энэ тохиолдолд графикийн автомат шинжилгээ нь бидэнд маш их тусалсан. Тэдний нэг домэйн болох lloydsbnk-uk[.]com-ыг аваад бид хэдхэн секундын дотор 3 алхамын гүнтэй графикийг бүтээсэн бөгөөд энэ график нь 250 оноос хойш энэ бүлэгт ашиглагдаж байгаа 2015 гаруй хортой домайныг тодорхойлсон бөгөөд одоо ч ашиглагдаж байна. . Эдгээр домэйнуудын заримыг банкууд аль хэдийн худалдаж авсан боловч урьд өмнө нь халдагчдад бүртгүүлж байсныг түүхэн баримтаас харж болно.

Тодорхой болгохын тулд зурагт 2 алхамын гүнтэй графикийг харуулав.

2019 онд халдагчид тактикаа бага зэрэг өөрчилж, зөвхөн вэб фишинг байршуулах банкуудын домайн төдийгүй фишинг имэйл илгээх янз бүрийн зөвлөх компаниудын домайныг бүртгэж эхэлсэн нь анхаарал татаж байна. Жишээлбэл, swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com домэйнууд.

Кобальтын бүлэглэл

2018 оны арванхоёрдугаар сард банкууд руу чиглэсэн дайралт хийх чиглэлээр мэргэшсэн Кобальт хакерын бүлэг Казахстаны Үндэсний банкны нэрийн өмнөөс шуудангийн кампанит ажил явуулсан.

Захидал нь hXXps://nationalbank.bz/Doc/Prikaz.doc-ийн холбоосыг агуулсан байв. Татаж авсан баримт бичигт Powershell-ийг эхлүүлсэн макро агуулагдсан бөгөөд энэ нь hXXp://wateroilclub.com/file/dwm.exe хаягаас %Temp%einmrmdmy.exe файлыг ачаалж, ажиллуулахыг оролддог. %Temp%einmrmdmy.exe буюу dwm.exe файл нь hXXp://admvmsopp.com/rilruietguadvtoefmuy сервертэй харилцахаар тохируулагдсан CobInt статер юм.

Эдгээр фишинг имэйлийг хүлээн авч, хортой файлуудад бүрэн дүн шинжилгээ хийх боломжгүй байна гэж төсөөлөөд үз дээ. Nationalbank[.]bz хортой домэйны график нь бусад хортой домайнуудтай холболтыг шууд харуулж, түүнийг бүлэгт хамааруулж, халдлагад ямар файлуудыг ашигласан болохыг харуулдаг.

Энэ графикаас 46.173.219[.]152 гэсэн IP хаягийг авч нэг дамжуулалтаар график байгуулаад цэвэрлэгээг унтраая. Үүнтэй холбоотой 40 домэйн байдаг, жишээлбэл, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

Домэйн нэрсээс харахад эдгээр нь залилангийн схемд ашиглагддаг бололтой, гэхдээ цэвэрлэх алгоритм нь эдгээр халдлагатай холбоогүй гэдгийг ойлгож, график дээр оруулаагүй нь дүн шинжилгээ хийх, хамааруулах үйл явцыг ихээхэн хялбаршуулдаг.

Хэрэв та Nationalbank[.]bz ашиглан графикийг дахин бүтээж, график цэвэрлэх алгоритмыг идэвхгүй болговол энэ нь 500 гаруй элемент агуулах бөгөөд ихэнх нь Кобальт бүлэг болон тэдгээрийн халдлагатай ямар ч холбоогүй болно. Ийм график хэрхэн харагдах жишээг доор өгөв.

дүгнэлт

Хэдэн жилийн турш нарийн тохируулга хийж, бодит мөрдөн байцаалтын явцад туршилт хийж, аюул заналхийллийн судалгаа хийж, халдагчдыг агнахдаа бид өвөрмөц хэрэгсэл бүтээгээд зогсохгүй компаний мэргэжилтнүүдийн түүнд хандах хандлагыг өөрчилж чадсан. Эхний ээлжинд техникийн мэргэжилтнүүд график бүтээх үйл явцыг бүрэн хянахыг хүсдэг. Автомат график бүтээх нь олон жилийн туршлагатай хүнээс илүү сайн хийж чадна гэдэгт итгүүлэх нь маш хэцүү байсан. Бүх зүйлийг цаг хугацаа, графикаас гарсан үр дүнг олон удаа "гараар" шалгаснаар шийдсэн. Одоо манай мэргэжилтнүүд системд итгэдэг төдийгүй түүний олж авсан үр дүнг өдөр тутмын ажилдаа ашигладаг. Энэхүү технологи нь манай систем бүрийн дотор ажилладаг бөгөөд ямар ч төрлийн аюулыг илүү сайн тодорхойлох боломжийг бидэнд олгодог. Гарын авлагын график шинжилгээ хийх интерфейс нь Group-IB-ийн бүх бүтээгдэхүүнд суурилагдсан бөгөөд кибер гэмт хэрэг илрүүлэх боломжийг ихээхэн өргөжүүлдэг. Үүнийг манай үйлчлүүлэгчдийн шинжээчдийн тойм нотолж байна. Бид эргээд графикийг мэдээллээр баяжуулж, хиймэл оюун ухааныг ашиглан шинэ алгоритмууд дээр ажиллаж, хамгийн зөв сүлжээний графикийг бий болгодог.

Эх сурвалж: www.habr.com

Гарах арга зам, график: бид сайн сүлжээний графикийг олж чадаагүй бөгөөд өөрсдийнхөө зургийг бүтээсэн