د فشینګ، botnets، درغلۍ لیږدونو او جنایي هیکر ډلو پورې اړوند د قضیو څیړنه، د ګروپ-IB متخصصین د ډیری کلونو لپاره د مختلفو اړیکو پیژندلو لپاره د ګراف تحلیل کاروي. مختلف قضیې د دوی خپل ډیټا سیټونه لري، د اړیکو پیژندلو لپاره خپل الګوریتمونه، او د ځانګړو دندو لپاره مناسب انٹرفیسونه لري. دا ټول وسایل په داخلي توګه د ګروپ-IB لخوا رامینځته شوي او یوازې زموږ کارمندانو ته شتون درلود.
د شبکې زیربنا ګراف تحلیل (د شبکې ګراف) لومړی داخلي وسیله شوه چې موږ د شرکت په ټولو عامه محصولاتو کې جوړه کړه. زموږ د شبکې ګراف رامینځته کولو دمخه ، موږ په بازار کې ډیری ورته پرمختګونه تحلیل کړل او یو محصول مو ونه موند چې زموږ خپلې اړتیاوې پوره کړي. پدې مقاله کې به موږ د دې په اړه وغږیږو چې څنګه موږ د شبکې ګراف رامینځته کړو، څنګه یې وکاروو او له کومو ستونزو سره مخ شو.
دمیتري ولکوف د CTO ګروپ-IB او د سایبر استخباراتو مشر
د ګروپ-IB شبکې ګراف څه کولی شي؟
تحقیقات
په 2003 کې د ګروپ-IB له تاسیس راهیسې، تر اوسه پورې، د سایبر جنایتکارانو پیژندل، بندول او عدالت ته راوستل زموږ په کار کې لوړ لومړیتوب دی. د برید کونکو شبکې زیربنا تحلیل کولو پرته د سایبر برید یوه څیړنه بشپړه نه وه. زموږ د سفر په پیل کې، دا د اړیکو لټون کولو لپاره خورا سخت "دستي کار" و چې کولی شي د مجرمینو په پیژندلو کې مرسته وکړي: د ډومین نومونو په اړه معلومات، IP پتې، د سرورونو ډیجیټل ګوتو نښې، او نور.
ډیری برید کونکي هڅه کوي چې په شبکه کې د امکان تر حده په نامعلوم ډول عمل وکړي. په هرصورت، د ټولو خلکو په څیر، دوی غلطي کوي. د دې ډول تحلیل اصلي هدف د برید کونکو "سپینې" یا "خړ" تاریخي پروژې موندل دي چې په اوسني پیښه کې کارول شوي ناوړه زیربنا سره تقاطع لري چې موږ یې تحقیق کوو. که چیرې د "سپینې پروژې" کشف کول ممکن وي، نو د برید کونکي موندل، د یوې قاعدې په توګه، یو کوچنی کار کیږي. د "خړ" په حالت کې، لټون ډیر وخت او هڅې اخلي، ځکه چې د دوی مالکین هڅه کوي د نوم لیکنې ډاټا پټ کړي، مګر امکانات خورا لوړ دي. د یوې قاعدې په توګه، د خپلو جنایي فعالیتونو په پیل کې، برید کوونکي د خپل ځان خوندیتوب ته لږ پام کوي او ډیرې خطاګانې کوي، نو هرڅومره چې موږ په کیسه کې ژوره ډوب کړو، د بریالي تحقیقاتو چانس لوړ دی. له همدې امله د ښه تاریخ سره د شبکې ګراف د داسې څیړنې خورا مهم عنصر دی. په ساده ډول ووایاست، څومره ژور تاریخي معلومات یو شرکت لري، د هغې ګراف ښه دی. راځئ چې ووایو چې 5 کلن تاریخ کولی شي په مشروط ډول د 1 جرمونو څخه 2-10 حل کولو کې مرسته وکړي ، او 15 کلن تاریخ د ټولو لسو حل کولو فرصت ورکوي.
فشینګ او درغلي کشف
هرکله چې موږ د فشینګ، درغلۍ یا پیریټ شوي سرچینې لپاره شکمن لینک ترلاسه کوو، موږ په اتوماتيک ډول د اړونده شبکې سرچینو ګراف جوړوو او د ورته مینځپانګې لپاره ټول موندل شوي کوربه چیک کوو. دا تاسو ته اجازه درکوي دواړه زاړه فشینګ سایټونه ومومئ کوم چې فعال وو مګر نامعلوم وو ، په بیله بیا په بشپړ ډول نوي چې د راتلونکي بریدونو لپاره چمتو شوي ، مګر لاهم ندي کارول شوي. یو ابتدايي مثال چې ډیری وختونه پیښیږي: موږ په سرور کې د فشینګ سایټ موندلی چې یوازې 5 سایټونه لري. د هر یو په چک کولو سره، موږ په نورو سایټونو کې د فشینګ مینځپانګې موندلو، پدې معنی چې موږ کولی شو د 5 پرځای 1 بلاک کړو.
د پس منظرونو لټون
دا پروسه اړینه ده ترڅو معلومه کړي چې ناوړه سرور په حقیقت کې چیرته اوسیږي.
د کارت پلورنځیو 99٪، د هیکر فورمونه، ډیری فشینګ سرچینې او نور ناوړه سرورونه د دوی د خپل پراکسي سرورونو او د مشروع خدماتو پراکسي دواړو تر شا پټ دي، د بیلګې په توګه، Cloudflare. د ریښتیني پس منظر په اړه پوهه د تحقیقاتو لپاره خورا مهم دی: د کوربه توب چمتو کونکي چې له هغه څخه سرور نیول کیدی شي پیژندل کیږي، او دا ممکنه کیږي چې د نورو ناوړه پروژو سره اړیکې رامینځته کړي.
د مثال په توګه، تاسو د بانک کارت ډیټا راټولولو لپاره د فشینګ سایټ لرئ چې IP پته 11.11.11.11 ته حل کوي، او د کارت شاپ پته چې IP پته 22.22.22.22 ته حل کوي. د تحلیل په جریان کې، دا ممکن وګرځي چې د فشینګ سایټ او د کارت شاپ دواړه یو مشترک بیکینډ IP پته لري، د بیلګې په توګه، 33.33.33.33. دا پوهه موږ ته اجازه راکوي چې د فشینګ بریدونو او د کارت پلورنځي ترمینځ اړیکه رامینځته کړو چیرې چې د بانک کارت ډیټا پلورل کیدی شي.
د پیښې اړیکه
کله چې تاسو دوه مختلف محرکونه لرئ (راځئ چې په IDS کې ووایو) د مختلف مالویر او مختلف سرورونو سره د برید کنټرول لپاره ، تاسو به دوی د دوه خپلواکو پیښو په توګه چلند وکړئ. مګر که چیرې د ناوړه زیربناوو تر مینځ ښه اړیکه شتون ولري، نو دا روښانه کیږي چې دا مختلف بریدونه نه دي، مګر د یو، ډیر پیچلي څو مرحلو برید مرحلې دي. او که یوه پیښه دمخه د برید کونکو کومې ډلې ته منسوب وي ، نو دویمه پیښه هم ورته ډلې ته منسوب کیدی شي. البته، د منسوب کولو پروسه خورا پیچلې ده، نو دا د ساده مثال په توګه چلند وکړئ.
د شاخص غني کول
موږ به دې ته ډیر پام ونه کړو، ځکه چې دا په سایبر امنیت کې د ګرافونو کارولو لپاره ترټولو عام سناریو ده: تاسو یو شاخص د ان پټ په توګه ورکوئ، او د محصول په توګه تاسو د اړونده شاخصونو لړۍ ترلاسه کوئ.
د نمونو پیژندل
د اغیزمن ښکار لپاره د نمونو پیژندل اړین دي. ګرافونه تاسو ته اجازه نه ورکوي چې نه یوازې اړونده عناصر ومومئ، بلکې د عامو ملکیتونو پیژندلو لپاره هم د هکرانو د یوې ځانګړې ډلې ځانګړتیا ده. د داسې ځانګړو ځانګړتیاو پوهه تاسو ته اجازه درکوي چې د برید کونکي زیربنا حتی د چمتووالي په مرحله کې وپیژني او پرته له دې چې برید تایید کړي، لکه د فشینګ بریښنالیکونه یا مالویر.
موږ ولې خپل د شبکې ګراف جوړ کړ؟
یوځل بیا ، موږ د مختلف پلورونکو حلونو ته وکتل مخکې لدې چې موږ دې پایلې ته ورسیږو چې موږ اړتیا لرو خپل وسیله رامینځته کړو چې کولی شي داسې یو څه وکړي چې هیڅ موجوده محصول نشي کولی. د دې جوړولو لپاره یې څو کاله وخت نیولی، چې په ترڅ کې یې موږ څو ځله په بشپړه توګه بدل کړل. مګر، د اوږدې پراختیا دورې سره سره، موږ لا تر اوسه یو واحد انالوګ نه دی موندلی چې زموږ اړتیاوې پوره کړي. زموږ د خپل محصول په کارولو سره، موږ په پای کې وکولی شو نږدې ټولې ستونزې حل کړو چې موږ د موجوده شبکې ګرافونو کې موندلي. لاندې به موږ دا ستونزې په تفصیل سره په پام کې ونیسو:
ستونزه
پریکړه
د ډیټا مختلف راټولولو سره د چمتو کونکي نشتوالی: ډومینونه، غیر فعال DNS، غیر فعال SSL، د DNS ریکارډونه، خلاص بندرونه، په بندرونو کې خدمتونه چلول، فایلونه چې د ډومین نومونو او IP پتې سره متقابل عمل کوي. تشریح. عموما، چمتو کونکي د معلوماتو جلا ډولونه چمتو کوي، او د بشپړ انځور ترلاسه کولو لپاره، تاسو اړتیا لرئ چې د هرچا څخه ګډون واخلئ. حتی که څه هم، دا تل ممکنه نه ده چې ټول معلومات ترلاسه کړئ: ځینې غیر فعال SSL چمتو کونکي یوازې د باور وړ CAs لخوا صادر شوي سندونو په اړه معلومات چمتو کوي، او د دوی د ځان لاسلیک شوي سندونو پوښښ خورا ضعیف دی. نور هم د ځان لاسلیک شوي سندونو په کارولو سره معلومات چمتو کوي ، مګر دا یوازې د معیاري بندرونو څخه راټولوي.
موږ پورتنۍ ټولګې پخپله راټولې کړې. د مثال په توګه، د SSL سندونو په اړه د معلوماتو راټولولو لپاره، موږ خپل خدمت لیکلی چې دا دواړه د باور وړ CAs څخه راټولوي او د ټول IPv4 ځای سکین کولو سره. سندونه نه یوازې له IP څخه راټول شوي ، بلکه زموږ له ډیټابیس څخه د ټولو ډومینونو او فرعي ډومینونو څخه هم راټول شوي: که تاسو ډومین لرئ example.com او د هغې فرعي ډومین او دوی ټول د IP 1.1.1.1 ته حل کوي، بیا کله چې تاسو هڅه وکړئ د پورټ 443 څخه په IP، ډومین او فرعي ډومین کې د SSL سند ترلاسه کړئ، تاسو کولی شئ درې مختلف پایلې ترلاسه کړئ. د خلاص بندرونو او چلولو خدماتو په اړه د معلوماتو راټولولو لپاره، موږ باید خپل توزیع شوي سکین سیسټم جوړ کړو، ځکه چې نور خدمتونه اکثرا د دوی د سکینینګ سرورونو IP پتې په "تور لیستونو" کې لري. زموږ د سکین کولو سرورونه هم په تور لیستونو کې پای ته رسیږي ، مګر د هغه خدماتو کشف کولو پایله چې موږ ورته اړتیا لرو د هغه چا په پرتله لوړه ده څوک چې په ساده ډول د امکان تر حده ډیری بندرونه سکین کوي او دې ډیټا ته لاسرسی پلوري.
د تاریخي ریکارډونو ټول ډیټابیس ته د لاسرسي نشتوالی. تشریح. هر نورمال عرضه کونکی ښه راټول شوی تاریخ لري، مګر د طبیعي دلایلو لپاره موږ د پیرودونکي په توګه نشو کولی ټولو تاریخي معلوماتو ته لاسرسی ومومي. هغوی. تاسو کولی شئ ټول تاریخ د یو واحد ریکارډ لپاره ترلاسه کړئ، د بیلګې په توګه، د ډومین یا IP پتې په واسطه، مګر تاسو نشئ کولی د هر څه تاریخ وګورئ - او له دې پرته تاسو بشپړ انځور نه شئ لیدلی.
د امکان تر حده په ډومینونو کې د ډیرو تاریخي ریکارډونو راټولولو لپاره، موږ مختلف ډیټابیسونه اخیستي، ډیری خلاصې سرچینې یې پارس کړې چې دا تاریخ لري (دا ښه ده چې ډیری یې شتون درلود)، او د ډومین نوم راجستر کونکو سره خبرې اترې وکړې. زموږ د خپلو راټولولو ټول تازه معلومات یقینا د بشپړ بیاکتنې تاریخ سره ساتل کیږي.
ټول موجود حلونه تاسو ته اجازه درکوي په لاسي ډول ګراف جوړ کړئ. تشریح. راځئ چې ووایو تاسو د ټولو ممکنه ډیټا چمتو کونکو څخه ډیری ګډونونه اخیستي (معمولا د "بډایه کونکي" په نوم یادیږي). کله چې تاسو د ګراف جوړولو ته اړتیا لرئ، تاسو "لاسونه" د مطلوب پیوستون عنصر څخه د جوړولو لپاره قوماندې ورکړئ، بیا د هغه عناصرو څخه اړین توکي وټاکئ چې ښکاري او د دوی څخه د اړیکو بشپړولو قوماندې ورکړئ، او داسې نور. په دې حالت کې، د ګراف د جوړولو لپاره مسؤلیت په بشپړه توګه د شخص سره دی.
موږ د ګرافونو اتوماتیک جوړول جوړ کړل. هغوی. که تاسو د ګراف جوړولو ته اړتیا لرئ، نو د لومړي عنصر څخه اړیکې په اوتومات ډول جوړیږي، بیا وروسته د ټولو څخه هم. متخصص یوازې هغه ژوروالی په ګوته کوي چې ګراف ته اړتیا لري. د ګرافونو په اوتومات ډول بشپړولو پروسه ساده ده ، مګر نور پلورونکي دا نه پلي کوي ځکه چې دا خورا لوی شمیر غیر متناسب پایلې رامینځته کوي ، او موږ باید دا نیمګړتیا هم په پام کې ونیسو (لاندې وګورئ).
ډیری غیر متناسب پایلې د ټولو شبکې عنصر ګرافونو سره ستونزه ده. تشریح. د مثال په توګه، یو "خراب ډومین" (په برید کې برخه اخیستې) د یو سرور سره تړاو لري چې په تیرو 10 کلونو کې 500 نور ډومینونه ورسره تړلي دي. کله چې په لاسي ډول د ګراف اضافه کول یا په اتوماتيک ډول جوړول، دا ټول 500 ډومینونه باید په ګراف کې هم ښکاره شي، که څه هم دوی د برید سره تړاو نلري. یا، د بیلګې په توګه، تاسو د پلورونکي امنیتي راپور څخه د IP شاخص وګورئ. عموما، دا ډول راپورونه د پام وړ ځنډ سره خپریږي او ډیری وختونه یو کال یا ډیر وخت نیسي. ډیری احتمال، په هغه وخت کې چې تاسو راپور لوستلئ، د دې IP پتې سرور لا دمخه د نورو اړیکو سره نورو خلکو ته کرایه شوی، او د ګراف جوړول به بیا تاسو ته غیر مناسب پایلې ترلاسه کړي.
موږ سیسټم ته روزنه ورکړه چې د ورته منطق په کارولو سره غیر متناسب عناصر وپیژني لکه څنګه چې زموږ کارپوهانو په لاسي ډول ترسره کړي. د مثال په توګه، تاسو یو خراب ډومین چیک کوئ example.com، کوم چې اوس IP 11.11.11.11 ته حل کوي، او یوه میاشت دمخه - IP 22.22.22.22 ته. د ډومین example.com سربیره، IP 11.11.11.11 هم د example.ru سره تړاو لري، او IP 22.22.22.22 د 25 زره نورو ډومینونو سره تړاو لري. سیسټم، د یو کس په څیر، پوهیږي چې 11.11.11.11 ډیری احتمال یو وقف شوی سرور دی، او څنګه چې example.ru ډومین په املا کې د example.com سره ورته دی، نو بیا، د لوړ احتمال سره، دوی تړل شوي او باید په کې وي. ګراف مګر IP 22.22.22.22 د شریک کوربه توب سره تړاو لري، نو د دې ټول ډومینونه په ګراف کې شاملولو ته اړتیا نلري پرته لدې چې نورې اړیکې ښیي چې د دې 25 زره ډومینونو څخه یو هم باید شامل شي (د مثال په توګه، example.net) . مخکې له دې چې سیسټم پوه شي چې اړیکې باید مات شي او ځینې عناصر ګراف ته نه لیږدول کیږي، دا د عناصرو او کلسترونو ډیری ملکیتونه په پام کې نیسي چې دا عناصر په کې یوځای شوي، او همدارنګه د اوسني اړیکو پیاوړتیا. د مثال په توګه، که موږ په ګراف کې یو کوچنی کلستر (50 عناصر) ولرو، چې په کې یو خراب ډومین شامل دی، او بل لوی کلستر (5 زره عناصر) او دواړه کلسترونه د پیوستون (لین) په واسطه د خورا ټیټ ځواک (وزن) سره تړل شوي. ، بیا به دا ډول اړیکه مات شي او د لوی کلستر څخه عناصر به لرې شي. مګر که چیرې د کوچنیو او لویو کلسترونو ترمنځ ډیری اړیکې شتون ولري او د دوی ځواک په تدریجي ډول زیات شي، نو پدې حالت کې به اړیکه مات نشي او د دواړو کلسترونو څخه اړین عناصر به په ګراف کې پاتې شي.
د سرور او ډومین ملکیت وقفه په پام کې نه نیول کیږي. تشریح. "خراب ډومینونه" به ژر یا وروسته پای ته ورسیږي او بیا به د ناوړه یا مشروع موخو لپاره پیرود شي. حتی د بلټ پروف کوربه کولو سرورونه مختلف هیکرانو ته کرایه شوي ، نو دا مهمه ده چې پوه شئ او وقفه په پام کې ونیسئ کله چې یو ځانګړی ډومین/سرور د یو مالک تر کنټرول لاندې و. موږ ډیری وختونه د داسې وضعیت سره مخ کیږو چیرې چې د IP 11.11.11.11 سرور اوس د بانکي بوټ لپاره د C&C په توګه کارول کیږي ، او 2 میاشتې دمخه دا د Ransomware لخوا کنټرول شوی و. که موږ د مالکیت وقفې په پام کې نیولو پرته اړیکه جوړه کړو، نو داسې به ښکاري چې د بانکدارۍ بوټینیټ او ransomware مالکینو ترمنځ اړیکه شتون لري، که څه هم په حقیقت کې هیڅ شتون نلري. زموږ په کار کې، دا ډول تېروتنه مهمه ده.
موږ سیسټم ته د ملکیت وقفې ټاکلو لپاره درس ورکړ. د ډومینونو لپاره دا نسبتا ساده دی، ځکه چې څوک اکثرا د راجستریشن پیل او پای ته رسیدو نیټې لري او کله چې د whois بدلونونو بشپړ تاریخ شتون ولري، د وقفې ټاکل اسانه دي. کله چې د ډومین راجستریشن پای ته نه وي رسیدلی، مګر د هغې مدیریت نورو مالکینو ته لیږدول شوی، دا هم تعقیب کیدی شي. د SSL سندونو لپاره کومه ستونزه شتون نلري، ځکه چې دوی یو ځل صادر شوي او نوي شوي یا لیږدول شوي ندي. مګر د ځان لاسلیک شوي سندونو سره ، تاسو نشئ کولی د سند د اعتبار موده کې مشخص شوي نیټې باور وکړئ ، ځکه چې تاسو کولی شئ نن د SSL سند رامینځته کړئ ، او د سند د پیل نیټه له 2010 څخه مشخص کړئ. ترټولو ستونزمن شی د سرورونو لپاره د ملکیت وقفې ټاکل دي، ځکه چې یوازې کوربه چمتو کونکي نیټې او د کرایې دورې لري. د سرور ملکیت دوره ټاکلو لپاره، موږ د پورټ سکین کولو پایلې کارول پیل کړل او په بندرونو کې د چلولو خدماتو د ګوتو نښانو رامینځته کول. د دې معلوماتو په کارولو سره، موږ کولی شو په سمه توګه ووایو کله چې د سرور مالک بدل شو.
لږې اړیکې. تشریح. نن ورځ، دا حتی کومه ستونزه نده چې د ډومینونو وړیا لیست ترلاسه کړئ چې څوک یې یو ځانګړي بریښنالیک پته لري، یا د ټولو ډومینونو موندلو لپاره چې د ځانګړي IP پتې سره تړاو لري. مګر کله چې د هیکرانو خبره راځي چې د تعقیب لپاره خورا سخت وي ، موږ د نوي ملکیتونو موندلو او نوي اړیکو رامینځته کولو لپاره اضافي چلونو ته اړتیا لرو.
موږ ډیر وخت په څیړنه کې تیر کړو چې څنګه موږ کولی شو هغه معلومات استخراج کړو چې په دودیز ډول شتون نلري. موږ نشو کولی دلته تشریح کړو چې دا څنګه د واضح دلیلونو لپاره کار کوي، مګر په ځینو شرایطو کې، هیکرز، کله چې د ډومینونو راجستر کول یا د سرورونو کرایه کول او تنظیم کول، غلطۍ کوي چې دوی ته اجازه ورکوي چې د بریښنالیک پتې، هیکر عرفان، او د شالید پته ومومي. څومره چې ډیرې اړیکې تاسو استخراج کوئ ، هومره دقیق ګرافونه تاسو رامینځته کولی شئ.
زموږ ګراف څنګه کار کوي
د شبکې ګراف کارولو پیل کولو لپاره، تاسو اړتیا لرئ د لټون بار کې ډومین، IP پته، بریښنالیک، یا د SSL سند د ګوتو نښې داخل کړئ. دلته درې شرایط شتون لري چې شنونکی کولی شي کنټرول کړي: وخت، د ګام ژوروالی، او پاکول.
Время
وخت - نیټه یا وقفه کله چې لټون شوي عنصر د ناوړه موخو لپاره کارول شوی و. که تاسو دا پیرامیټر مشخص نه کړئ، سیسټم به پخپله د دې سرچینې لپاره د مالکیت وروستی وقفه وټاکي. د مثال په توګه، د جولای په 11، Eset خپور شو د دې په اړه چې څنګه بوهټراپ د سایبر جاسوسۍ لپاره د 0 ورځو استحصال کاروي. د راپور په پای کې 6 شاخصونه شتون لري. یو له هغو څخه، خوندي ټیلی میټري [.]نیټ، د جولای په 16 بیا ثبت شو. له همدې امله، که تاسو د جولای د 16 څخه وروسته ګراف جوړ کړئ، تاسو به غیر معقول پایلې ترلاسه کړئ. مګر که تاسو په ګوته کړئ چې دا ډومین د دې نیټې دمخه کارول شوی و، نو په ګراف کې 126 نوي ډومینونه، 69 IP پتې شاملې دي چې د Eset راپور کې لیست شوي ندي:
- ukrfreshnews[.]com
- unian-search[.]com
- د نړۍ په اړه معلومات
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]معلومات
- rian-ua[.]net
- او نور.
د شبکې شاخصونو سربیره، موږ سمدلاسه د ناوړه فایلونو سره اړیکې پیدا کوو چې د دې زیربنا او ټاګونو سره یې اړیکې درلودې چې موږ ته وایی چې میټرپریټر او AZORult کارول شوي.
لوی شی دا دی چې تاسو دا پایله په یوه ثانیه کې ترلاسه کوئ او تاسو نور اړتیا نلرئ د ډیټا تحلیل کولو ورځو مصرف کړئ. البته، دا طریقه کله ناکله د پام وړ د پلټنو وخت کموي، کوم چې ډیری وختونه مهم وي.
د ګامونو شمیر یا د تکرار ژوروالی چې ګراف به جوړ شي
په ډیفالټ کې، ژوروالی 3 دی. دا پدې مانا ده چې ټول مستقیم اړوند عناصر به د مطلوب عنصر څخه وموندل شي، بیا به د هر نوي عنصر څخه نورو عناصرو ته نوي ارتباطات جوړ شي، او نوي عناصر به د وروستي عناصرو څخه نوي عناصر رامینځته شي. ګام
راځئ چې یو مثال واخلو چې د APT او 0 ورځو استحصال پورې تړاو نلري. په دې وروستیو کې، د کریپټو اسعارو پورې اړوند د درغلیو یوه په زړه پورې قضیه په هابري کې بیان شوې. راپور د ډومین themcx[.]co په اړه یادونه کوي چې د سکیمرانو لخوا د یوې ویب پاڼې کوربه کولو لپاره کارول کیږي چې د ماینر کوین ایکسچینج او د تلیفون لټون [.]xyz د ټرافیک جذبولو لپاره کارول کیږي.
دا د توضیحاتو څخه روښانه ده چې دا سکیم خورا لوی زیربنا ته اړتیا لري ترڅو جعلي سرچینو ته ترافیک راجلب کړي. موږ پریکړه وکړه چې دا زیربنا په 4 مرحلو کې د ګراف په جوړولو سره وګورو. محصول د 230 ډومینونو او 39 IP پتې سره ګراف و. بیا، موږ ډومینونه په 2 کټګوریو ویشو: هغه چې د کریپټو اسعارو سره کار کولو خدماتو ته ورته دي او هغه چې د تلیفون تصدیق خدماتو له لارې د ترافیک چلولو لپاره دي:
د cryptocurrency پورې اړه لري
د تلیفون پنچنګ خدماتو سره تړاو لري
د سکې ساتونکی [.]cc
د زنګ وهونکي ریکارډ [.]سایټ.
mcxwallet[.]co
د تلیفون ریکارډونو ځای
btcnoise[.]com
fone-uncover[.]xyz
کریپټومینر [.]څار
شمیره کشف [.]معلومات
انځور
په ډیفالټ ، د "ګراف پاکولو" اختیار فعال شوی او ټول غیر اړونده عناصر به له ګراف څخه لرې شي. په هرصورت، دا په ټولو پخوانیو مثالونو کې کارول کیده. زه د یوې طبیعي پوښتنې وړاندوینه کوم: موږ څنګه کولی شو ډاډ ترلاسه کړو چې یو مهم شی نه دی حذف شوی؟ زه به ځواب ووایم: د هغو شنونکو لپاره چې د لاس په واسطه ګرافونه رامینځته کول خوښوي ، اتومات پاکول غیر فعال کیدی شي او د مرحلو شمیره غوره کیدی شي = 1. بیا ، شنونکی به وکولی شي ګراف د هغه عناصرو څخه بشپړ کړي چې ورته اړتیا لري او عناصر لرې کړي. هغه ګراف چې د دندې سره تړاو نلري.
دمخه په ګراف کې ، د whois ، DNS ، او همدارنګه په خلاص بندرونو او خدماتو کې د دوی چلولو کې د بدلونونو تاریخ تحلیل کونکي ته شتون لري.
مالي فشینګ
موږ د APT د یوې ډلې فعالیتونه وڅیړل، کوم چې د څو کلونو لپاره په مختلفو سیمو کې د مختلفو بانکونو د پیرودونکو په وړاندې فشینګ بریدونه ترسره کړل. د دې ګروپ یوه ځانګړنه د ډومینونو ثبتول د اصلي بانکونو نومونو سره ورته دي، او ډیری فشینګ سایټونه ورته ډیزاین لري، یوازینی توپیر د بانکونو په نومونو او لوګو کې دی.
پدې حالت کې، د اتوماتیک ګراف تحلیل موږ سره ډیره مرسته وکړه. د دوی یو ډومین - lloydsbnk-uk[.]com په اخیستلو سره، موږ په څو ثانیو کې د 3 مرحلو په ژوروالي سره یو ګراف جوړ کړ، کوم چې له 250 څخه ډیر ناوړه ډومینونه په ګوته کړل چې د 2015 راهیسې د دې ډلې لخوا کارول شوي او کارولو ته دوام ورکوي. . د دغو ډومینونو څخه ځینې لا دمخه د بانکونو لخوا اخیستل شوي، مګر تاریخي ریکارډونه ښیي چې دوی مخکې د برید کونکو لپاره راجستر شوي.
د روښانه کولو لپاره، ارقام د 2 ګامونو ژوروالی سره ګراف ښیي.
د یادونې وړ ده چې لا دمخه په 2019 کې ، برید کونکو خپل تاکتیکونه یو څه بدل کړي او نه یوازې د ویب فشینګ کوربه توب لپاره د بانکونو ډومینونو ثبت کول پیل کړي ، بلکه د فشینګ بریښنالیکونو لیږلو لپاره د مختلف مشورتي شرکتونو ډومینونه هم ثبت کړي. د مثال په توګه، ډومینونه swift-department.com، saudconsultancy.com، vbgrigoryanpartners.com.
کوبالټ ډله
د 2018 په دسمبر کې، د هیکر ګروپ کوبالټ، چې په بانکونو باندې په نښه شویو بریدونو کې تخصص لري، د قزاقستان د ملي بانک په استازیتوب د بریښنالیک کمپاین واستاوه.
په لیکونو کې د hXXps://nationalbank.bz/Doc/Prikaz.doc سره اړیکې وې. ډاونلوډ شوي سند کې یو میکرو شتون لري چې پاورشیل یې پیل کړی، کوم چې به هڅه وکړي چې فایل له hXXp://wateroilclub.com/file/dwm.exe څخه په %Temp%einmrmdmy.exe کې پورته او اجرا کړي. فایل %Temp%einmrmdmy.exe aka dwm.exe یو CobInt سټیجر دی چې د سرور hXXp://admvmsopp.com/rilruietguadvtoefmuy سره د تعامل لپاره ترتیب شوی.
تصور وکړئ چې د دې فشینګ بریښنالیکونو ترلاسه کولو توان نلري او د ناوړه فایلونو بشپړ تحلیل ترسره کړئ. د ناوړه ډومین نیشنل بانک [.]bz لپاره ګراف سمدلاسه د نورو ناوړه ډومینونو سره اړیکې ښیې ، دا یوې ډلې ته منسوبوي او ښیې چې کوم فایلونه په برید کې کارول شوي.
راځئ چې د دې ګراف څخه IP پته 46.173.219 [.] 152 واخلو او په یوه پاس کې له دې څخه ګراف جوړ کړو او پاکول بند کړو. د دې سره تړلي 40 ډومینونه شتون لري، د بیلګې په توګه، bl0ckchain [.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
د ډومین نومونو لخوا قضاوت کول، داسې ښکاري چې دوی په جعلي سکیمونو کې کارول کیږي، مګر د پاکولو الګوریتم پوه شو چې دوی د دې برید سره تړاو نلري او دوی یې په ګراف کې ندي اچولي، کوم چې د تحلیل او منسوب کولو پروسه خورا ساده کوي.
که تاسو د Nationalbank[.]bz په کارولو سره ګراف بیا جوړ کړئ، مګر د ګراف پاکولو الګوریتم غیر فعال کړئ، نو دا به له 500 څخه ډیر عناصر ولري، چې ډیری یې د کوبالټ ګروپ یا د دوی بریدونو سره هیڅ تړاو نلري. د دې ډول ګراف یو مثال په لاندې ډول دی:
پایلې
د څو کلونو ښه ټینګ کولو وروسته، په ریښتینې پلټنو کې ازموینې، د ګواښ څیړنې او د برید کونکو په لټه کې، موږ نه یوازې دا وتوانیده چې یو ځانګړی وسیله جوړه کړو، بلکې د دې په اړه د شرکت دننه د متخصصینو چلند هم بدل کړو. په پیل کې، تخنیکي کارپوهان د ګراف جوړولو پروسې بشپړ کنټرول غواړي. دوی ته قناعت ورکول چې د اتوماتیک ګراف جوړونه کولی شي دا د یو شخص په پرتله چې د څو کلونو تجربه لري خورا ښه کار وکړي. هرڅه د وخت او څو "دستي" چکونو لخوا پریکړه شوې وه چې د هغه څه پایلې چې ګراف تولید کړي. اوس زموږ متخصصین نه یوازې په سیسټم باور لري، بلکې هغه پایلې هم کاروي چې دا یې په ورځني کار کې ترلاسه کوي. دا ټیکنالوژي زموږ د هر سیسټم دننه کار کوي او موږ ته اجازه راکوي چې د هر ډول ګواښونو ښه وپیژنو. د لاسي ګراف تحلیل لپاره انٹرفیس د ګروپ-IB ټولو محصولاتو کې جوړ شوی او د سایبر جرمونو ښکار لپاره وړتیاوې د پام وړ پراخوي. دا زموږ د پیرودونکو څخه د شنونکو بیاکتنو لخوا تایید شوی. او موږ، په بدل کې، د ډیټا سره ګراف بډایه کولو ته دوام ورکوو او د مصنوعي استخباراتو په کارولو سره په نوي الګوریتمونو کار کوو ترڅو د شبکې خورا دقیق ګراف رامینځته کړي.
سرچینه: www.habr.com