Jinvestigaw każijiet relatati ma 'phishing, botnets, tranżazzjonijiet frawdolenti u gruppi ta' hackers kriminali, l-esperti tal-Grupp-IB ilhom jużaw analiżi tal-grafika għal ħafna snin biex jidentifikaw diversi tipi ta 'konnessjonijiet. Każijiet differenti għandhom is-settijiet tad-dejta tagħhom stess, l-algoritmi tagħhom għall-identifikazzjoni tal-konnessjonijiet, u interfaces imfassla għal kompiti speċifiċi. Dawn l-għodod kollha ġew żviluppati internament minn Group-IB u kienu disponibbli biss għall-impjegati tagħna.

Analiżi tal-grafika tal-infrastruttura tan-netwerk (graff tan-netwerk) saret l-ewwel għodda interna li bnejna fil-prodotti pubbliċi kollha tal-kumpanija. Qabel ma ħoloq il-graff tan-netwerk tagħna, analizzajna ħafna żviluppi simili fis-suq u ma sibna l-ebda prodott wieħed li ssodisfa l-bżonnijiet tagħna stess. F'dan l-artikolu ser nitkellmu dwar kif ħloqna l-graff tan-netwerk, kif nużawha u liema diffikultajiet iltqajna.

Dmitry Volkov, CTO Group-IB u kap tas-cyber intelligence

X'jista 'jagħmel il-graff tan-netwerk Group-IB?

Investigazzjonijiet

Sa mit-twaqqif tal-Grupp-IB fl-2003 sal-preżent, l-identifikazzjoni, id-denominazzjoni u t-tressiq taċ-ċiberkriminali quddiem il-ġustizzja kienet prijorità ewlenija fil-ħidma tagħna. L-ebda investigazzjoni waħda ta' attakki ċibernetiċi ma kienet kompluta mingħajr ma ġiet analizzata l-infrastruttura tan-netwerk tal-attakkanti. Fil-bidu nett tal-vjaġġ tagħna, kien "xogħol manwali" pjuttost iebes biex tfittex relazzjonijiet li jistgħu jgħinu fl-identifikazzjoni tal-kriminali: informazzjoni dwar ismijiet ta 'dominju, indirizzi IP, marki tas-swaba diġitali ta' servers, eċċ.

Ħafna mill-attakkanti jippruvaw jaġixxu bl-aktar mod anonimu possibbli fuq in-netwerk. Madankollu, bħan-nies kollha, jagħmlu żbalji. L-għan ewlieni ta 'tali analiżi huwa li jinstabu proġetti storiċi "abjad" jew "griżi" ta' attakkanti li għandhom intersezzjonijiet mal-infrastruttura malizzjuża użata fl-inċident attwali li qed ninvestigaw. Jekk huwa possibbli li jinstabu "proġetti bojod", allura s-sejba tal-attakkant, bħala regola, issir kompitu trivjali. Fil-każ ta 'dawk "griżi", it-tfittxija tieħu aktar ħin u sforz, peress li s-sidien tagħhom jippruvaw anonimizzaw jew jaħbu d-dejta tar-reġistrazzjoni, iżda ċ-ċansijiet jibqgħu pjuttost għoljin. Bħala regola, fil-bidu tal-attivitajiet kriminali tagħhom, l-attakkanti jagħtu inqas attenzjoni lis-sigurtà tagħhom stess u jagħmlu aktar żbalji, għalhekk iktar ma nkunu nistgħu nidħlu fl-istorja, iktar ikun għoli ċ-ċansijiet ta 'investigazzjoni ta' suċċess. Huwa għalhekk li graff tan-netwerk bi storja tajba huwa element estremament importanti ta 'investigazzjoni bħal din. Fi kliem sempliċi, iktar ma tkun id-data storika profonda kumpanija, iktar ikun aħjar il-graff tagħha. Ejja ngħidu li storja ta '5 snin tista' tgħin issolvi, b'mod kundizzjonali, 1-2 minn kull 10 delitti, u storja ta '15-il sena tagħti ċ-ċans li jissolvew l-għaxra kollha.

Sejbien ta' Phishing u Frodi

Kull darba li nirċievu link suspettuż għal riżorsa ta' phishing, frawdolenti jew piratati, aħna nibnu awtomatikament grafika tar-riżorsi tan-netwerk relatati u niċċekkjaw l-hosts kollha misjuba għal kontenut simili. Dan jippermettilek issib kemm siti qodma ta' phishing li kienu attivi iżda mhux magħrufa, kif ukoll oħrajn kompletament ġodda li huma ppreparati għal attakki futuri, iżda li għadhom mhumiex użati. Eżempju elementari li jseħħ ħafna drabi: sibna sit tal-phishing fuq server b'5 siti biss. Billi niċċekkjaw kull wieħed minnhom, insibu kontenut ta 'phishing fuq siti oħra, li jfisser li nistgħu nibblukkaw 5 minflok 1.

Fittex għal backends

Dan il-proċess huwa meħtieġ biex jiddetermina fejn is-server malizzjuż fil-fatt jirrisjedi.
99% tal-ħwienet tal-kards, forums tal-hackers, ħafna riżorsi ta 'phishing u servers malizzjużi oħra huma moħbija kemm wara s-servers tal-prokura tagħhom kif ukoll il-prokuri ta' servizzi leġittimi, pereżempju, Cloudflare. L-għarfien dwar il-backend reali huwa importanti ħafna għall-investigazzjonijiet: il-fornitur tal-hosting li minnu jista 'jinqabad is-server isir magħruf, u jsir possibbli li jinbnew konnessjonijiet ma' proġetti malizzjużi oħra.

Pereżempju, għandek sit tal-phishing għall-ġbir tad-dejta tal-kards tal-bank li tissolva għall-indirizz IP 11.11.11.11, u indirizz tal-ħanut tal-karti li tissolva għall-indirizz IP 22.22.22.22. Matul l-analiżi, jista 'jirriżulta li kemm is-sit tal-phishing kif ukoll il-cardshop għandhom indirizz IP backend komuni, pereżempju, 33.33.33.33. Dan l-għarfien jippermettilna nibnu konnessjoni bejn attakki ta’ phishing u ħanut tal-kards fejn id-dejta tal-kards tal-bank tista’ tinbiegħ.

Korrelazzjoni tal-avveniment

Meta jkollok żewġ triggers differenti (ejja ngħidu fuq IDS) b'malware differenti u servers differenti biex tikkontrolla l-attakk, tittrattahom bħala żewġ avvenimenti indipendenti. Imma jekk hemm konnessjoni tajba bejn infrastrutturi malizzjużi, allura jsir ovvju li dawn mhumiex attakki differenti, iżda stadji ta 'attakk wieħed, aktar kumpless f'diversi stadji. U jekk wieħed mill-avvenimenti huwa diġà attribwit lil xi grupp ta 'attakkanti, allura t-tieni wieħed jista' wkoll jiġi attribwit lill-istess grupp. Naturalment, il-proċess ta 'attribuzzjoni huwa ħafna aktar kumpless, għalhekk ittratta dan bħala eżempju sempliċi.

Arrikkiment indikatur

Mhux se nagħtu ħafna attenzjoni għal dan, peress li dan huwa l-aktar xenarju komuni għall-użu tal-graffs fiċ-ċibersigurtà: inti tagħti indikatur wieħed bħala input, u bħala output ikollok firxa ta 'indikaturi relatati.

L-identifikazzjoni tal-mudelli

L-identifikazzjoni tal-mudelli hija essenzjali għal kaċċa effettiva. Il-grafiċi jippermettulek mhux biss issib elementi relatati, iżda wkoll tidentifika proprjetajiet komuni li huma karatteristiċi ta 'grupp partikolari ta' hackers. L-għarfien ta’ karatteristiċi uniċi bħal dawn jippermettilek tagħraf l-infrastruttura tal-attakkant anki fl-istadju tal-preparazzjoni u mingħajr evidenza li tikkonferma l-attakk, bħal emails ta’ phishing jew malware.

Għaliex ħloqna l-graff tan-netwerk tagħna stess?

Għal darb'oħra, ħares lejn soluzzjonijiet minn bejjiegħa differenti qabel ma wasalna għall-konklużjoni li kellna bżonn niżviluppaw l-għodda tagħna stess li tista 'tagħmel xi ħaġa li l-ebda prodott eżistenti ma jista' jagħmel. Ħadu diversi snin biex tinħoloq, li matulhom biddilna kompletament diversi drabi. Iżda, minkejja l-perjodu twil ta 'żvilupp, għadna ma sibniex analogu wieħed li jissodisfa r-rekwiżiti tagħna. Bl-użu tal-prodott tagħna stess, eventwalment stajna nsolvu kważi l-problemi kollha li skoprejna fil-graffs tan-netwerk eżistenti. Hawn taħt se nikkunsidraw dawn il-problemi fid-dettall:

problema
deċiżjoni

Nuqqas ta’ fornitur b’kollezzjonijiet differenti ta’ dejta: dominji, DNS passiv, SSL passiv, rekords DNS, portijiet miftuħa, servizzi li jmexxu fuq portijiet, fajls li jinteraġixxu ma’ ismijiet ta’ dominju u indirizzi IP. Spjegazzjoni. Tipikament, il-fornituri jipprovdu tipi separati ta 'dejta, u biex tikseb l-istampa sħiħa, għandek bżonn tixtri abbonamenti mingħand kulħadd. Anke hekk, mhux dejjem ikun possibbli li tinkiseb id-dejta kollha: xi fornituri SSL passivi jipprovdu dejta biss dwar ċertifikati maħruġa minn CAs fdati, u l-kopertura tagħhom ta 'ċertifikati ffirmati minnhom infushom hija estremament fqira. Oħrajn jipprovdu wkoll dejta billi jużaw ċertifikati ffirmati lilhom infushom, iżda jiġbruha biss minn portijiet standard.
Ġbarna l-kollezzjonijiet kollha ta’ hawn fuq aħna stess. Pereżempju, biex niġbru dejta dwar iċ-ċertifikati SSL, ktibna s-servizz tagħna stess li jiġborhom kemm minn CAs fdati kif ukoll billi skannja l-ispazju kollu tal-IPv4. Iċ-ċertifikati nġabru mhux biss mill-IP, iżda wkoll mid-dominji u s-sottodominji kollha mid-database tagħna: jekk għandek id-dominju example.com u s-sottodominju tiegħu www.example.com u kollha jirrisolvu għal IP 1.1.1.1, imbagħad meta tipprova tikseb ċertifikat SSL mill-port 443 fuq IP, dominju u s-sottodominju tiegħu, tista 'tikseb tliet riżultati differenti. Biex niġbru dejta dwar portijiet miftuħa u servizzi ta’ tħaddim, kellna noħolqu s-sistema ta’ skannjar distribwita tagħna stess, għax servizzi oħra ta’ spiss kellhom l-indirizzi IP tas-servers tal-iskannjar tagħhom fuq “listi suwed”. Is-servers tal-iskannjar tagħna wkoll jispiċċaw fuq il-listi suwed, iżda r-riżultat tal-iskoperta tas-servizzi li għandna bżonn huwa ogħla minn dak ta 'dawk li sempliċiment jiskennjaw kemm jista' jkun portijiet u jbigħu aċċess għal din id-dejta.

Nuqqas ta' aċċess għad-database kollha tar-rekords storiċi. Spjegazzjoni. Kull fornitur normali għandu storja akkumulata tajba, iżda għal raġunijiet naturali aħna, bħala klijent, ma nistgħux niksbu aċċess għad-dejta storika kollha. Dawk. Tista 'tikseb l-istorja kollha għal rekord wieħed, pereżempju, b'dominju jew indirizz IP, iżda ma tistax tara l-istorja ta' kollox - u mingħajr dan ma tistax tara l-istampa sħiħa.
Biex niġbru kemm jista 'jkun rekords storiċi fuq oqsma, xtrajna diversi databases, analizzajna ħafna riżorsi miftuħa li kellhom din l-istorja (tajjeb li kien hemm ħafna minnhom), u nnegozjaw mar-reġistraturi tal-ismijiet tad-dominju. L-aġġornamenti kollha għall-kollezzjonijiet tagħna stess huma naturalment miżmuma bi storja ta 'reviżjoni sħiħa.

Is-soluzzjonijiet eżistenti kollha jippermettulek tibni graff manwalment. Spjegazzjoni. Ejja ngħidu li xtrajt ħafna abbonamenti mingħand il-fornituri tad-dejta kollha possibbli (ġeneralment imsejħa "arrikkaturi"). Meta għandek bżonn tibni graff, inti "l-idejn" tagħti l-kmand biex tibni mill-element ta 'konnessjoni mixtieq, imbagħad agħżel dawk meħtieġa mill-elementi li jidhru u tagħti l-kmand biex tlesti l-konnessjonijiet minnhom, eċċ. F'dan il-każ, ir-responsabbiltà għal kemm se tinbena tajjeb il-graff hija kompletament f'idejn il-persuna.
Għamilna kostruzzjoni awtomatika ta 'graffs. Dawk. jekk għandek bżonn tibni graff, allura l-konnessjonijiet mill-ewwel element jinbnew awtomatikament, imbagħad minn dawk kollha sussegwenti, ukoll. L-ispeċjalista jindika biss il-fond li fih il-graff jeħtieġ li jinbena. Il-proċess ta 'tlestija awtomatika ta' graffs huwa sempliċi, iżda bejjiegħa oħra ma jimplimentawhx minħabba li jipproduċi numru kbir ta 'riżultati irrilevanti, u kellna wkoll inqisu dan l-iżvantaġġ (ara hawn taħt).

Ħafna riżultati irrilevanti huma problema bil-grafiċi kollha tal-elementi tan-netwerk. Spjegazzjoni. Pereżempju, "dominju ħażin" (pparteċipat f'attakk) huwa assoċjat ma' server li għandu 10 dominju ieħor assoċjat miegħu matul l-aħħar 500 snin. Meta żżid graff manwalment jew tibni awtomatikament, dawn il-500 dominju kollha għandhom jidhru wkoll fuq il-graff, għalkemm mhumiex relatati mal-attakk. Jew, pereżempju, tiċċekkja l-indikatur tal-IP mir-rapport tas-sigurtà tal-bejjiegħ. Tipikament, rapporti bħal dawn jinħarġu b'dewmien sinifikanti u ħafna drabi jkopru sena jew aktar. X'aktarx, fil-ħin li taqra r-rapport, is-server b'dan l-indirizz IP huwa diġà mikrija lil nies oħra b'konnessjonijiet oħra, u l-bini ta 'graff jerġa' jirriżulta li tikseb riżultati irrilevanti.
Aħna mħarrġa s-sistema biex tidentifika elementi irrilevanti bl-użu tal-istess loġika kif għamlu l-esperti tagħna manwalment. Pereżempju, qed tiċċekkja dominju ħażin example.com, li issa jirrisolvi għal IP 11.11.11.11, u xahar ilu - għal IP 22.22.22.22. Minbarra d-dominju example.com, IP 11.11.11.11 huwa assoċjat ukoll ma' example.ru, u IP 22.22.22.22 huwa assoċjat ma' 25 elf qasam ieħor. Is-sistema, bħal persuna, tifhem li 11.11.11.11 x'aktarx huwa server dedikat, u peress li d-dominju example.ru huwa simili fl-ortografija għal example.com, allura, bi probabbiltà għolja, huma konnessi u għandhom ikunu fuq il- graff; iżda l-IP 22.22.22.22 jappartjeni għal hosting kondiviż, għalhekk id-dominji kollha tiegħu m'għandhomx għalfejn jiġu inklużi fil-graff sakemm ma jkunx hemm konnessjonijiet oħra li juru li wieħed minn dawn il-25 elf dominju jeħtieġ li jiġi inkluż ukoll (per eżempju, example.net) . Qabel ma s-sistema tifhem li l-konnessjonijiet jeħtieġ li jitkissru u xi elementi ma jitmexxewx lejn il-graff, tqis ħafna proprjetajiet tal-elementi u gruppi li fihom dawn l-elementi huma kkombinati, kif ukoll is-saħħa tal-konnessjonijiet attwali. Pereżempju, jekk ikollna raggruppament żgħir (50 element) fuq il-graff, li jinkludi dominju ħażin, u raggruppament kbir ieħor (5 elf elementi) u ż-żewġ gruppi huma konnessi b'konnessjoni (linja) b'saħħa baxxa ħafna (piż) , allura tali konnessjoni tinkiser u elementi mill-grupp kbir se jitneħħew. Imma jekk ikun hemm ħafna konnessjonijiet bejn raggruppamenti żgħar u kbar u s-saħħa tagħhom tiżdied gradwalment, allura f'dan il-każ il-konnessjoni ma tinqasamx u l-elementi meħtieġa miż-żewġ gruppi se jibqgħu fuq il-graff.

L-intervall tas-sjieda tas-server u tad-dominju ma jitqiesx. Spjegazzjoni. "Dominji ħżiena" illum jew għada jiskadu u jerġgħu jinxtraw għal skopijiet malizzjużi jew leġittimi. Anke servers li jospitaw il-balal huma mikrija lil hackers differenti, għalhekk huwa kritiku li tkun taf u tqis l-intervall meta dominju/server partikolari kien taħt il-kontroll ta 'sid wieħed. Ħafna drabi niltaqgħu ma 'sitwazzjoni fejn server b'IP 11.11.11.11 issa jintuża bħala C&C għal bot bankarju, u 2 xhur ilu kien ikkontrollat ​​minn Ransomware. Jekk nibnu konnessjoni mingħajr ma nqisu l-intervalli tas-sjieda, jidher li hemm konnessjoni bejn is-sidien tal-botnet bankarju u r-ransomware, għalkemm fil-fatt m'hemm xejn. Fix-xogħol tagħna, żball bħal dan huwa kritiku.
Aħna għallimna s-sistema biex tiddetermina l-intervalli tas-sjieda. Għad-dominji dan huwa relattivament sempliċi, minħabba li l-whis ħafna drabi jkun fih id-dati tal-bidu u l-iskadenza tar-reġistrazzjoni u, meta jkun hemm storja sħiħa tal-bidliet whois, huwa faċli li jiġu ddeterminati l-intervalli. Meta r-reġistrazzjoni ta 'dominju ma tkunx skadiet, iżda l-ġestjoni tiegħu tkun ġiet trasferita lil sidien oħra, jista' wkoll jiġi ssorveljat. M'hemm l-ebda problema bħal din għaċ-ċertifikati SSL, minħabba li jinħarġu darba u ma jiġux imġedda jew trasferiti. Iżda b'ċertifikati ffirmati lilhom infushom, ma tistax tafda d-dati speċifikati fil-perjodu ta 'validità taċ-ċertifikat, għaliex tista' tiġġenera ċertifikat SSL illum, u tispeċifika d-data tal-bidu taċ-ċertifikat mill-2010. L-iktar ħaġa diffiċli hija li tiddetermina l-intervalli ta 'sjieda għas-servers, minħabba li l-fornituri ta' hosting biss għandhom dati u perjodi ta 'kiri. Biex niddeterminaw il-perjodu tas-sjieda tas-server, bdejna nużaw ir-riżultati tal-iskannjar tal-port u noħolqu marki tas-swaba 'ta' servizzi ta' tmexxija fuq portijiet. Billi nużaw din l-informazzjoni, nistgħu ngħidu b'mod pjuttost preċiż meta s-sid tas-server inbidel.

Ftit konnessjonijiet. Spjegazzjoni. Illum il-ġurnata, lanqas biss hija problema li tikseb lista b'xejn ta 'dominji li l-whis tagħhom fih indirizz elettroniku speċifiku, jew li ssib id-dominji kollha li kienu assoċjati ma' indirizz IP speċifiku. Imma meta niġu għall-hackers li jagħmlu l-almu tagħhom biex ikunu diffiċli biex jintraċċaw, għandna bżonn tricks addizzjonali biex insibu proprjetajiet ġodda u nibnu konnessjonijiet ġodda.
Għaddejna ħafna ħin nirriċerkaw kif nistgħu niġbdu data li ma kinitx disponibbli b'mod konvenzjonali. Ma nistgħux niddeskrivu hawn kif taħdem għal raġunijiet ovvji, iżda taħt ċerti ċirkostanzi, il-hackers, meta jirreġistraw dominji jew jikru u jwaqqfu servers, jagħmlu żbalji li jippermettulhom isibu indirizzi tal-email, psewdonimi tal-hackers, u indirizzi backend. Iktar ma tiġbed konnessjonijiet, iktar tkun tista' tibni graffs preċiżi.

Kif jaħdem il-graff tagħna

Biex tibda tuża l-graff tan-netwerk, trid iddaħħal id-dominju, l-indirizz IP, l-email, jew il-marki tas-swaba taċ-ċertifikat SSL fil-bar tat-tiftix. Hemm tliet kundizzjonijiet li l-analista jista 'jikkontrolla: il-ħin, il-fond tal-pass, u l-ikklerjar.

Time

Ħin – data jew intervall meta l-element imfittex intuża għal skopijiet malizzjużi. Jekk ma tispeċifikax dan il-parametru, is-sistema nnifisha se tiddetermina l-aħħar intervall ta 'sjieda għal din ir-riżorsa. Pereżempju, fil-11 ta’ Lulju, Eset ippubblikat rapport dwar kif Buhtrap juża l-isfruttament 0-day għall-ispjunaġġ ċibernetiku. Hemm 6 indikaturi fl-aħħar tar-rapport. Waħda minnhom, secure-telemetry[.]net, ġiet irreġistrata mill-ġdid fis-16 ta’ Lulju. Għalhekk, jekk tibni graff wara s-16 ta' Lulju, ikollok riżultati irrilevanti. Imma jekk tindika li dan id-dominju ntuża qabel din id-data, allura l-grafika tinkludi 126 qasam ġdid, 69 indirizz IP li mhumiex elenkati fir-rapport Eset:

• ukrfreshnews[.]com
• unian-tfittxija[.]com
• vesti-dinja[.]info
• runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]info
• rian-ua[.]net
• и др.

Minbarra l-indikaturi tan-netwerk, mill-ewwel insibu konnessjonijiet ma’ fajls malizzjużi li kellhom konnessjonijiet ma’ din l-infrastruttura u tags li jgħidulna li ntużaw Meterpreter u AZORult.

Il-ħaġa kbira hija li tikseb dan ir-riżultat fi żmien sekonda u m'għadx għandek bżonn tqatta' ġranet tanalizza d-dejta. Naturalment, dan l-approċċ kultant inaqqas b'mod sinifikanti l-ħin għall-investigazzjonijiet, li ħafna drabi huwa kritiku.

In-numru ta 'passi jew il-fond ta' rikorsi li bihom se tinbena l-graff

B'mod awtomatiku, il-fond huwa 3. Dan ifisser li l-elementi kollha direttament relatati se jinstabu mill-element mixtieq, imbagħad jinbnew konnessjonijiet ġodda minn kull element ġdid għal elementi oħra, u se jinħolqu elementi ġodda mill-elementi l-ġodda mill-aħħar. pass.

Ejja nieħdu eżempju mhux relatat ma 'APT u sfruttamenti ta' 0-day. Riċentement, każ interessanti ta 'frodi relatat mal-kripto-muniti ġie deskritt fuq Habré. Ir-rapport isemmi d-dominju themcx[.]co, użat minn scammers biex jospita websajt li tippretendi li hija Miner Coin Exchange u phone-lookup[.]xyz biex tattira traffiku.

Jidher ċar mid-deskrizzjoni li l-iskema teħtieġ infrastruttura pjuttost kbira biex tattira traffiku lejn riżorsi frawdolenti. Iddeċidejna li nħarsu lejn din l-infrastruttura billi nibnu graff f'4 passi. L-output kien graff b'230 dominju u 39 indirizz IP. Sussegwentement, naqsmu d-dominji f'2 kategoriji: dawk li huma simili għal servizzi biex jaħdmu mal-kripto-muniti u dawk li huma maħsuba biex imexxu t-traffiku permezz ta 'servizzi ta' verifika tat-telefon:

Relatati mal-munita kripto
Assoċjat ma 'servizzi ta' ippanċjar tat-telefon

coinkeeper[.]cc
sejjieħ-rekord[.]sit.

mcxwallet[.]co
rekords tat-telefon[.]spazju

btcnoise[.]com
fone-kxef[.]xyz

cryptominer[.]għassa
numru-kxef[.]info

Tindif

B'mod awtomatiku, l-għażla "Graph Cleanup" hija attivata u l-elementi irrilevanti kollha se jitneħħew mill-graff. Mill-mod, intuża fl-eżempji preċedenti kollha. Nipprevedi mistoqsija naturali: kif nistgħu niżguraw li xi ħaġa importanti ma titħassarx? Se nwieġeb: għall-analisti li jħobbu jibnu graffs bl-idejn, it-tindif awtomatizzat jista 'jiġi diżattivat u n-numru ta' passi jista 'jintgħażel = 1. Sussegwentement, l-analista jkun jista' jlesti l-graff mill-elementi li għandu bżonn u jneħħi elementi minn il-graff li huma irrilevanti għall-kompitu.

Diġà fuq il-graff, l-istorja tal-bidliet fil-whois, DNS, kif ukoll portijiet miftuħa u servizzi li jaħdmu fuqhom issir disponibbli għall-analista.

Phishing finanzjarju

Aħna investigajna l-attivitajiet ta 'grupp wieħed APT, li għal diversi snin wettaq attakki ta' phishing kontra klijenti ta 'diversi banek f'reġjuni differenti. Karatteristika karatteristika ta 'dan il-grupp kienet ir-reġistrazzjoni ta' oqsma simili ħafna għall-ismijiet ta 'banek reali, u ħafna mis-siti tal-phishing kellhom l-istess disinn, l-uniċi differenzi kienu fl-ismijiet tal-banek u l-logos tagħhom.

F'dan il-każ, l-analiżi tal-grafika awtomatizzata għenitna ħafna. Meta nieħdu wieħed mid-dominji tagħhom - lloydsbnk-uk[.]com, fi ftit sekondi bnejna graff b'fond ta' 3 passi, li identifika aktar minn 250 dominju malizzjuż li ilhom jintużaw minn dan il-grupp mill-2015 u għadhom qed jintużaw. . Xi wħud minn dawn id-dominji diġà nxtraw minn banek, iżda rekords storiċi juru li qabel kienu reġistrati għall-attakkanti.

Għaċ-ċarezza, il-figura turi graff b'fond ta '2 passi.

Ta 'min jinnota li diġà fl-2019, l-attakkanti bidlu xi ftit it-tattiċi tagħhom u bdew jirreġistraw mhux biss id-dominji tal-banek biex jospitaw il-web phishing, iżda wkoll id-dominji ta' diversi kumpaniji ta 'konsulenza biex jibagħtu emails ta' phishing. Pereżempju, id-dominji swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.

Gang tal-kobalt

F'Diċembru 2018, il-grupp tal-hackers Cobalt, li jispeċjalizza f'attakki mmirati fuq il-banek, bagħat kampanja ta' posta f'isem il-Bank Nazzjonali tal-Każakstan.

L-ittri kien fihom links għal hXXps://nationalbank.bz/Doc/Prikaz.doc. Id-dokument imniżżel kien fih makro li nediet Powershell, li jipprova jgħabbi u jesegwixxi l-fajl minn hXXp://wateroilclub.com/file/dwm.exe f'%Temp%einmrmdmy.exe. Il-fajl %Temp%einmrmdmy.exe aka dwm.exe huwa stager CobInt konfigurat biex jinteraġixxi mas-server hXXp://admvmsopp.com/rilruietguadvtoefmuy.

Immaġina li ma tistax tirċievi dawn l-emails tal-phishing u twettaq analiżi sħiħa tal-fajls malizzjużi. Il-grafika għad-dominju malizzjuż nationalbank[.]bz turi immedjatament konnessjonijiet ma' oqsma malizzjużi oħra, tattribwixxiha lil grupp u turi liema fajls intużaw fl-attakk.

Ejja nieħdu l-indirizz IP 46.173.219[.]152 minn dan il-graff u nibnu graff minnu f'pass wieħed u itfi t-tindif. Hemm 40 dominju assoċjati magħha, pereżempju, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

Ġġudikati mill-ismijiet tad-dominju, jidher li huma użati fi skemi frawdolenti, iżda l-algoritmu tat-tindif induna li ma kinux relatati ma 'dan l-attakk u ma poġġihomx fuq il-graff, li jissimplifika ħafna l-proċess ta' analiżi u attribuzzjoni.

Jekk terġa 'tibni l-graff billi tuża nationalbank[.]bz, iżda tiddiżattiva l-algoritmu tat-tindif tal-graff, allura jkun fiha aktar minn 500 element, li ħafna minnhom m'għandhom x'jaqsmu xejn mal-grupp Kobalt jew l-attakki tagħhom. Eżempju ta' kif tidher graff bħal dan qed jingħata hawn taħt:

Konklużjoni

Wara bosta snin ta 'rfinar, ttestjar f'investigazzjonijiet reali, riċerka dwar it-theddid u kaċċa għall-attakkanti, irnexxielna mhux biss noħolqu għodda unika, iżda wkoll biex nibdlu l-attitudni tal-esperti fi ħdan il-kumpanija lejha. Inizjalment, l-esperti tekniċi jridu kontroll sħiħ fuq il-proċess tal-kostruzzjoni tal-graff. Li tikkonvinċihom li l-kostruzzjoni awtomatika tal-grafika tista 'tagħmel dan aħjar minn persuna b'ħafna snin ta' esperjenza kienet estremament diffiċli. Kollox kien deċiż minn żmien u kontrolli "manwali" multipli tar-riżultati ta 'dak li pproduċiet il-graff. Issa l-esperti tagħna mhux biss jafdaw is-sistema, iżda wkoll jużaw ir-riżultati li tikseb fix-xogħol tagħhom ta 'kuljum. Din it-teknoloġija taħdem ġewwa kull waħda mis-sistemi tagħna u tippermettilna nidentifikaw aħjar it-theddid ta' kull tip. L-interface għall-analiżi tal-graff manwali hija mibnija fil-prodotti kollha tal-Grupp-IB u tespandi b'mod sinifikanti l-kapaċitajiet għall-kaċċa taċ-ċiberkriminalità. Dan huwa kkonfermat minn reviżjonijiet tal-analisti mill-klijenti tagħna. U aħna, min-naħa tagħna, inkomplu nkabbru l-graff bid-dejta u naħdmu fuq algoritmi ġodda li jużaw intelliġenza artifiċjali biex noħolqu l-aktar graff tan-netwerk preċiż.

Sors: www.habr.com