فشنگ، botnets، دوکي واري ٽرانزيڪشن ۽ مجرم هيڪر گروپن سان لاڳاپيل ڪيسن جي تحقيقات، گروپ-آئي بي ماهر ڪيترن ئي سالن کان مختلف قسمن جي ڪنيڪشن کي سڃاڻڻ لاء گراف تجزيو استعمال ڪري رهيا آهن. مختلف ڪيسن جا پنهنجا پنهنجا ڊيٽا سيٽ آهن، ڪنيڪشن جي سڃاڻپ لاءِ پنهنجا الگورٿم، ۽ مخصوص ڪمن لاءِ تيار ڪيل انٽرفيس. اهي سڀئي اوزار اندروني طور تي گروپ-آئي بي پاران تيار ڪيا ويا ۽ صرف اسان جي ملازمن لاء دستياب هئا.
نيٽ ورڪ انفراسٽرڪچر جو گراف تجزيو (نيٽ ورڪ گراف) پهريون اندروني اوزار بڻجي ويو جيڪو اسان ڪمپني جي سڀني عوامي شين ۾ ٺاهيو. اسان جو نيٽ ورڪ گراف ٺاهڻ کان اڳ، اسان مارڪيٽ تي ڪيتريون ئي ساڳين ترقيات جو تجزيو ڪيو ۽ ھڪڙو پراڊڪٽ نه مليو جيڪو اسان جي پنھنجي ضرورتن کي پورو ڪري. هن آرٽيڪل ۾ اسين ڳالهائينداسين ته اسان نيٽ ورڪ گراف ڪيئن ٺاهيو، اسان ان کي ڪيئن استعمال ڪيو ۽ اسان کي ڪهڙيون مشڪلاتون پيش آيون.
دمتري وولڪوف، CTO گروپ-IB ۽ سائبر انٽيليجنس جو سربراهه
گروپ-آئي بي نيٽ ورڪ گراف ڇا ڪري سگھي ٿو؟
تحقيق
2003 ۾ گروپ-آءِ بي جي قيام کان وٺي اڄ تائين، سائبر ڪرمنلز کي سڃاڻڻ، ان کي ختم ڪرڻ ۽ انصاف جي ڪٽهڙي ۾ آڻڻ اسان جي ڪم ۾ اولين ترجيح رهي آهي. حملي ڪندڙن جي نيٽ ورڪ انفراسٽرڪچر جو تجزيو ڪرڻ کان سواءِ سائبر حملي جي هڪ به تحقيق مڪمل نه ٿي هئي. اسان جي سفر جي شروعات ۾، اھو ھڪڙو مشڪل ”دستي ڪم“ ھو، رشتن کي ڳولھڻ لاءِ جيڪي ڏوھارين کي سڃاڻڻ ۾ مدد ڪري سگھن: ڊومين جا نالا، IP پتي، سرور جا ڊجيٽل فنگر پرنٽس وغيره.
اڪثر حملو ڪندڙ نيٽ ورڪ تي ممڪن طور گمنام طور ڪم ڪرڻ جي ڪوشش ڪندا آهن. بهرحال، سڀني ماڻهن وانگر، اهي غلطيون ڪندا آهن. اهڙي تجزيي جو بنيادي مقصد حملي آورن جي ”اڇو“ يا ”گرين“ تاريخي منصوبن کي ڳولڻ آهي جيڪي موجوده واقعي ۾ استعمال ٿيل بدڪاري واري انفراسٽرڪچر سان ٽڪراءُ رکن ٿا جن جي اسين جاچ ڪري رهيا آهيون. جيڪڏهن اهو ممڪن آهي ته "سفيد منصوبن" کي ڳولڻ، پوء حملي ڪندڙ کي ڳولڻ، ضابطي جي طور تي، هڪ ننڍڙو ڪم بڻجي ويندو آهي. "گرين" جي صورت ۾، ڳولا وڌيڪ وقت ۽ ڪوشش وٺندي آهي، ڇاڪاڻ ته انهن جا مالڪ رجسٽريشن ڊيٽا کي گمنام يا لڪائڻ جي ڪوشش ڪندا آهن، پر موقعا تمام وڏا آهن. ضابطي جي طور تي، انهن جي ڏوهن جي سرگرمين جي شروعات ۾، حملو ڪندڙ پنهنجي حفاظت تي گهٽ ڌيان ڏيندا آهن ۽ وڌيڪ غلطيون ڪندا آهن، تنهنڪري اسان ڪهاڻي ۾ اوترو اونڌو ڪري سگهون ٿا، ڪامياب تحقيق جا وڌيڪ امڪان. اهو ئي سبب آهي ته هڪ سٺي تاريخ سان نيٽ ورڪ گراف اهڙي تحقيق جو هڪ انتهائي اهم عنصر آهي. آسان لفظ ۾، هڪ ڪمپنيءَ وٽ جيتري گهڻي تاريخي ڊيٽا آهي، اوترو بهتر ان جو گراف. اچو ته چون ٿا ته 5 سالن جي تاريخ حل ڪرڻ ۾ مدد ڪري سگهي ٿي، مشروط طور تي، 1-2 مان 10 ڏوهن، ۽ 15 سالن جي تاريخ سڀني ڏهن کي حل ڪرڻ جو موقعو ڏئي ٿي.
فشنگ ۽ فراڊ جي چڪاس
هر دفعي جڏهن اسان کي هڪ مشڪوڪ لنڪ ملي ٿي هڪ فريب، فريب يا پائريٽ ٿيل وسيلن سان، اسان خودڪار طريقي سان لاڳاپيل نيٽ ورڪ وسيلن جو گراف ٺاهيندا آهيون ۽ ساڳئي مواد لاء سڀني لڌو ميزبان کي چيڪ ڪندا آهيون. هي توهان کي ٻنهي پراڻين فشنگ سائيٽن کي ڳولڻ جي اجازت ڏئي ٿو جيڪي فعال هيون پر اڻڄاتل، انهي سان گڏ مڪمل طور تي نيون جيڪي مستقبل جي حملن لاء تيار آهن، پر اڃا تائين استعمال نه ڪيون ويون آهن. هڪ ابتدائي مثال جيڪو گهڻو ڪري ٿئي ٿو: اسان کي صرف 5 سائيٽن سان سرور تي هڪ فشنگ سائيٽ ملي ٿي. انهن مان هر هڪ کي جانچڻ سان، اسان ٻين سائيٽن تي فشنگ مواد ڳوليندا آهيون، جنهن جو مطلب آهي ته اسان 5 جي بدران 1 کي بلاڪ ڪري سگهون ٿا.
پس منظر جي ڳولا ڪريو
اهو عمل اهو طئي ڪرڻ لاءِ ضروري آهي ته بدسلوڪي سرور اصل ۾ ڪٿي رهي ٿو.
99% ڪارڊ جا دڪان، هيڪر فورمز، ڪيترائي فشنگ وسيلا ۽ ٻيا بدڪاري ڪندڙ سرور لڪيل آهن انهن جي پنھنجن پراڪسي سرورز ۽ جائز خدمتن جي پراڪسيز، مثال طور، Cloudflare. حقيقي پس منظر بابت ڄاڻ تحقيق لاءِ تمام ضروري آھي: ھوسٽنگ فراهم ڪندڙ جنھن کان سرور ضبط ڪري سگھجي ٿو، سڃاتل ٿي ويندو آھي، ۽ اھو ممڪن ٿيندو آھي ته ڪنيڪشن کي ٻين خراب منصوبن سان ٺاھيو وڃي.
مثال طور، توهان وٽ بينڪ ڪارڊ ڊيٽا گڏ ڪرڻ لاءِ هڪ فشنگ سائيٽ آهي جيڪا حل ڪري ٿي IP پتي 11.11.11.11، ۽ هڪ ڪارڊ شاپ ايڊريس جيڪا حل ڪري ٿي IP پتي 22.22.22.22. تجزيي دوران، اهو ظاهر ٿي سگھي ٿو ته فشنگ سائيٽ ۽ ڪارڊ شاپ ٻنهي وٽ هڪ عام پس منظر IP پتو آهي، مثال طور، 33.33.33.33. هي علم اسان کي اجازت ڏئي ٿو ته فشنگ حملن ۽ ڪارڊ جي دڪان جي وچ ۾ ڪنيڪشن قائم ڪري جتي بئنڪ ڪارڊ ڊيٽا وڪرو ٿي سگهي ٿي.
واقعي جو تعلق
جڏهن توهان وٽ ٻه مختلف محرڪ آهن (چون ٿا هڪ IDS تي) مختلف مالويئر ۽ مختلف سرورن سان حملي کي ڪنٽرول ڪرڻ لاءِ، توهان انهن کي ٻه آزاد واقعن وانگر سمجهندا. پر جيڪڏهن خراب انفراسٽرڪچر جي وچ ۾ سٺو تعلق آهي، ته پوء اهو ظاهر ٿئي ٿو ته اهي مختلف حملا نه آهن، پر هڪ کان وڌيڪ پيچيده، گھڻن مرحلن واري حملي جا مرحلا. ۽ جيڪڏھن ھڪڙو واقعو اڳ ۾ ئي حملي ڪندڙن جي ڪنھن گروپ سان منسوب ڪيو ويو آھي، پوء ٻيو ھڪڙو پڻ ساڳئي گروھ سان منسوب ٿي سگھي ٿو. يقينن، انتساب جو عمل تمام گهڻو پيچيده آهي، تنهنڪري هن کي هڪ سادي مثال طور سمجهيو.
اشاري جي واڌاري
اسان ان تي گهڻو ڌيان نه ڏينداسين، ڇو ته سائبر سيڪيورٽي ۾ گراف استعمال ڪرڻ لاءِ هي سڀ کان عام منظر آهي: توهان ڏيو هڪ اشارو ان پٽ جي طور تي، ۽ هڪ آئوٽ جي طور تي توهان کي ملندڙ اشارن جي هڪ صف ملي ٿي.
نمونن جي سڃاڻپ
مؤثر شڪار لاءِ نمونن جي سڃاڻپ ضروري آهي. گراف توهان کي نه رڳو لاڳاپيل عناصر ڳولڻ جي اجازت ڏين ٿا، پر عام ملڪيتن جي نشاندهي ڪرڻ جي پڻ اجازت ڏين ٿيون جيڪي هيڪرز جي هڪ خاص گروپ جي خاصيت آهن. اهڙين منفرد خاصيتن جي ڄاڻ توهان کي حملي آور جي انفراسٽرڪچر کي سڃاڻڻ جي اجازت ڏئي ٿي جيتوڻيڪ تياري واري مرحلي ۾ ۽ حملي جي تصديق ڪرڻ جي ثبوت کان سواءِ، جهڙوڪ فشنگ اي ميلون يا مالويئر.
اسان پنهنجو نيٽ ورڪ گراف ڇو ٺاهيو؟
ٻيهر، اسان مختلف وينڊرز جي حلن تي غور ڪيو ان کان اڳ جو اسان ان نتيجي تي پهتاسين ته اسان کي پنهنجي اوزار کي ترقي ڪرڻ جي ضرورت آهي جيڪو ڪجهه ڪري سگهي ٿو جيڪو موجوده پيداوار نه ڪري سگهي. ان کي ٺاهڻ ۾ ڪيترائي سال لڳي ويا، جنهن دوران اسان ان کي مڪمل طور تي ڪيترائي ڀيرا تبديل ڪيو. پر، ڊگھي ترقي جي دور جي باوجود، اسان کي اڃا تائين ھڪڙو اينالاگ نه مليو آھي جيڪو اسان جي ضرورتن کي پورو ڪري. اسان جي پنهنجي پراڊڪٽ کي استعمال ڪندي، اسان آخرڪار انهن تقريبن سڀني مسئلن کي حل ڪرڻ جي قابل هئاسين جيڪي اسان موجوده نيٽ ورڪ گرافس ۾ دريافت ڪيا. هيٺ اسين انهن مسئلن تي تفصيل سان غور ڪنداسين:
مسئلو
فيصلو
ڊيٽا جي مختلف مجموعن سان مهيا ڪندڙ جي کوٽ: ڊومينز، غير فعال DNS، غير فعال SSL، DNS رڪارڊ، کليل بندرگاهن، بندرگاهن تي هلندڙ خدمتون، فائلون ڊومين نالن ۽ IP پتي سان لهه وچڙ ۾. وضاحت. عام طور تي، مهيا ڪندڙ مختلف قسم جي ڊيٽا مهيا ڪن ٿا، ۽ مڪمل تصوير حاصل ڪرڻ لاء، توهان کي هر ڪنهن کان رڪنيت خريد ڪرڻ جي ضرورت آهي. تنهن هوندي به، اهو هميشه ممڪن ناهي ته سمورو ڊيٽا حاصل ڪرڻ: ڪجهه غير فعال SSL فراهم ڪندڙ صرف ڊيٽا مهيا ڪن ٿا انهن سرٽيفڪيٽن جي باري ۾ جيڪي معتبر CAs پاران جاري ڪيا ويا آهن، ۽ انهن جي خود دستخط ٿيل سرٽيفڪيٽن جي ڪوريج انتهائي خراب آهي. ٻيا پڻ ڊيٽا مهيا ڪن ٿا خود دستخط ٿيل سرٽيفڪيٽ استعمال ڪندي، پر ان کي صرف معياري بندرگاهن مان گڏ ڪن ٿا.
اسان مٿي ڏنل سڀئي مجموعا پاڻ گڏ ڪيا. مثال طور، SSL سرٽيفڪيٽن بابت ڊيٽا گڏ ڪرڻ لاءِ، اسان پنھنجي سروس لکي آھي جيڪا انھن ٻنهي کي گڏ ڪري ٿي قابل اعتماد CAs کان ۽ پوري IPv4 اسپيس کي اسڪين ڪندي. سرٽيفڪيٽ گڏ ڪيا ويا نه رڳو IP مان، پر اسان جي ڊيٽابيس مان سڀني ڊومينز ۽ ذيلي ڊومينز کان: جيڪڏهن توهان وٽ ڊومين مثال.com ۽ ان جو ذيلي ڊومين آهي ۽ اهي سڀئي حل ڪن ٿا IP 1.1.1.1، پوءِ جڏهن توهان هڪ SSL سرٽيفڪيٽ حاصل ڪرڻ جي ڪوشش ڪندا پورٽ 443 کان IP، ڊومين ۽ ان جي ذيلي ڊومين تي، توهان حاصل ڪري سگهو ٿا ٽي مختلف نتيجا. کليل بندرگاهن ۽ هلندڙ خدمتن تي ڊيٽا گڏ ڪرڻ لاءِ، اسان کي پنهنجو ورهايل اسڪيننگ سسٽم ٺاهڻو هو، ڇاڪاڻ ته ٻين خدمتن وٽ اڪثر انهن جي اسڪيننگ سرورز جا IP پتا ”ڪاري فهرستن“ تي هوندا هئا. اسان جا اسڪيننگ سرور به بليڪ لسٽن تي ختم ٿين ٿا، پر انهن خدمتن کي ڳولڻ جو نتيجو جيڪو اسان کي گهربل آهي انهن کان وڌيڪ آهي جيڪي صرف ممڪن حد تائين تمام گهڻو بندرگاهن کي اسڪين ڪن ٿا ۽ هن ڊيٽا تائين رسائي وڪرو ڪن ٿا.
تاريخي رڪارڊ جي پوري ڊيٽابيس تائين رسائي جي کوٽ. وضاحت. هر عام سپلائر وٽ سٺي جمع ٿيل تاريخ آهي، پر قدرتي سببن جي ڪري، اسان، هڪ گراهڪ جي حيثيت ۾، سڀني تاريخي ڊيٽا تائين رسائي حاصل نه ڪري سگهيا آهيون. اهي. توھان حاصل ڪري سگھوٿا پوري تاريخ ھڪڙي ھڪڙي رڪارڊ لاءِ، مثال طور، ڊومين يا IP پتي ذريعي، پر توھان ھر شيءِ جي تاريخ نه ٿا ڏسي سگھو- ۽ ان کان سواءِ توھان پوري تصوير نه ڏسي سگھو.
ممڪن طور تي ڊومينز تي ڪيترائي تاريخي رڪارڊ گڏ ڪرڻ لاءِ، اسان مختلف ڊيٽابيس خريد ڪيا، ڪيترن ئي کليل وسيلن کي پارس ڪيو جن ۾ هي تاريخ هئي (اهو سٺو آهي ته انهن مان ڪيترائي هئا)، ۽ ڊومين نالو رجسٽرار سان ڳالهين. اسان جي پنهنجي مجموعن ۾ سڀ تازه ڪاريون يقيني طور تي مڪمل نظرثاني جي تاريخ سان رکيل آهن.
سڀ موجود حل توهان کي دستي طور تي گراف ٺاهڻ جي اجازت ڏين ٿا. وضاحت. اچو ته چئو ته توهان تمام ممڪن ڊيٽا فراهم ڪندڙن کان تمام گهڻيون سبسڪرپشنون خريد ڪيون آهن (عام طور تي سڏيو ويندو آهي "اڌار"). جڏهن توهان کي گراف ٺاهڻ جي ضرورت آهي، توهان "هٿن" کي مطلوب ڪنيڪشن عنصر مان تعمير ڪرڻ جو حڪم ڏيو ٿا، پوء انهن عناصرن مان ضروري شيون چونڊيو جيڪي ظاهر ڪن ٿا ۽ انهن مان ڪنيڪشن مڪمل ڪرڻ لاء حڪم ڏيو، وغيره. انهي صورت ۾، گراف جي تعمير جي ذميواري مڪمل طور تي فرد تي آهي.
اسان گراف جي خودڪار تعمير ڪئي. اهي. جيڪڏهن توهان کي گراف ٺاهڻ جي ضرورت آهي، ته پوءِ پهرين عنصر کان ڪنيڪشن پاڻمرادو ٺهيل آهن، پوءِ سڀني کان پوءِ به. ماهر صرف ان جي کوٽائي کي اشارو ڪري ٿو جنهن تي گراف کي تعمير ڪرڻ جي ضرورت آهي. خود بخود گراف مڪمل ڪرڻ جو عمل سادو آهي، پر ٻيا وينڊرز ان تي عمل نه ٿا ڪن ڇاڪاڻ ته اهو تمام وڏو تعداد ۾ غير لاڳاپو نتيجا پيدا ڪري ٿو، ۽ اسان کي به ان خامي کي حساب ۾ رکڻو پيو (هيٺ ڏسو).
ڪيترائي غير لاڳاپيل نتيجا سڀني نيٽ ورڪ عنصر گرافس سان مسئلو آهن. وضاحت. مثال طور، هڪ "خراب ڊومين" (هڪ حملي ۾ حصو ورتو) هڪ سرور سان لاڳاپيل آهي جيڪو 10 ٻين ڊومينز سان لاڳاپيل آهي گذريل 500 سالن ۾. جڏهن دستي طور تي شامل ڪرڻ يا خودڪار طور تي گراف ٺاهي رهيا آهن، اهي سڀئي 500 ڊومينز پڻ گراف تي ظاهر ٿيڻ گهرجن، جيتوڻيڪ اهي حملي سان لاڳاپيل نه آهن. يا، مثال طور، توهان وينڊر جي سيڪيورٽي رپورٽ مان IP اشارو چيڪ ڪريو. عام طور تي، اهڙيون رپورٽون هڪ اهم دير سان جاري ڪيون وينديون آهن ۽ اڪثر ڪري هڪ سال يا وڌيڪ عرصي تائين. گهڻو ڪري، جنهن وقت توهان رپورٽ پڙهي رهيا آهيو، هن IP پتي سان سرور اڳ ۾ ئي ٻين ڪنيڪشن سان گڏ ٻين ماڻهن کي ڪرائي تي ڏنو ويو آهي، ۽ هڪ گراف تعمير ڪرڻ جي نتيجي ۾ توهان کي غير مناسب نتيجا حاصل ٿيندا.
اسان سسٽم کي تربيت ڏني ته غير لاڳاپيل عنصرن کي سڃاڻڻ لاءِ ساڳيو منطق استعمال ڪندي جيئن اسان جي ماهرن دستي طور ڪيو. مثال طور، توهان هڪ خراب ڊومين example.com جي جانچ ڪري رهيا آهيو، جيڪو هاڻي حل ڪري ٿو IP 11.11.11.11، ۽ هڪ مهينو اڳ - IP 22.22.22.22 ڏانهن. ڊومين example.com کان علاوه، IP 11.11.11.11 پڻ example.ru سان لاڳاپيل آهي، ۽ IP 22.22.22.22 25 هزار ٻين ڊومينز سان لاڳاپيل آهي. سسٽم، هڪ شخص وانگر، سمجهي ٿو ته 11.11.11.11 گهڻو ڪري هڪ وقف سرور آهي، ۽ جيئن ته example.ru ڊومين اسپيلنگ ۾ example.com سان ملندڙ جلندڙ آهي، پوء، هڪ اعلي امڪان سان، اهي ڳنڍيل آهن ۽ انهي تي هجڻ گهرجي. گراف؛ پر IP 22.22.22.22 حصيداري ڪيل هوسٽنگ سان تعلق رکي ٿو، تنهنڪري ان جي سڀني ڊومينز کي گراف ۾ شامل ڪرڻ جي ضرورت نه آهي جيستائين ٻيا ڪنيڪشن نه هجن اهو ڏيکاري ٿو ته انهن 25 هزار ڊومينز مان هڪ کي پڻ شامل ڪرڻ جي ضرورت آهي (مثال طور، example.net) . ان کان اڳ جو سسٽم سمجھي ٿو ته ڪنيڪشن ٽوڙڻ جي ضرورت آھي ۽ ڪجھ عناصر گراف ڏانھن منتقل نه ڪيا ويا آھن، اھو انھن عناصر ۽ ڪلستر جي ڪيترن ئي ملڪيتن کي حساب ۾ رکي ٿو جن ۾ اھي عنصر گڏ ڪيا ويا آھن، ۽ گڏوگڏ موجوده ڪنيڪشن جي طاقت. مثال طور، جيڪڏهن اسان وٽ گراف تي هڪ ننڍڙو ڪلستر (50 عناصر) آهي، جنهن ۾ هڪ خراب ڊومين شامل آهي، ۽ ٻيو وڏو ڪلستر (5 هزار عناصر) ۽ ٻئي ڪلسٽر هڪ ڪنيڪشن (لائن) سان ڳنڍيل آهن، تمام گهٽ طاقت (وزن) سان. ، پوءِ اهڙو ڪنيڪشن ٽوڙيو ويندو ۽ وڏي ڪلستر مان عناصر ختم ڪيا ويندا. پر جيڪڏهن ننڍن ۽ وڏن ڪلسترن جي وچ ۾ ڪيترائي لاڳاپا هجن ۽ انهن جي قوت آهستي آهستي وڌندي وڃي، ته پوءِ ان صورت ۾ اهو ڪنيڪشن نه ٽٽندو ۽ ٻنهي ڪلسٽرن مان ضروري عنصر گراف تي قائم رهندا.
سرور ۽ ڊومين جي ملڪيت جو وقفو حساب ۾ نه ورتو ويو آهي. وضاحت. ”خراب ڊومين“ جلد يا دير سان ختم ٿي ويندا ۽ بدسلوڪي يا جائز مقصدن لاءِ ٻيهر خريد ڪيا ويندا. جيتوڻيڪ بلٽ پروف هوسٽنگ سرور مختلف هيڪرز کي ڪرائي تي ڏنا ويا آهن، تنهن ڪري اهو ڄاڻڻ ۽ حساب ۾ رکڻ ضروري آهي ته وقفو جڏهن هڪ خاص ڊومين/سرور هڪ مالڪ جي ڪنٽرول هيٺ هو. اسان اڪثر هڪ اهڙي صورتحال کي منهن ڏيون ٿا جتي IP 11.11.11.11 سان سرور هاڻي هڪ بئنڪنگ بوٽ لاءِ C&C طور استعمال ٿئي ٿو، ۽ 2 مهينا اڳ ان کي ڪنٽرول ڪيو ويو هو Ransomware. جيڪڏهن اسان اڪائونٽ جي ملڪيت جي وقفن ۾ وٺڻ کان سواءِ ڪنيڪشن ٺاهيون ٿا، اهو ڏسڻ ۾ ايندو ته بينڪنگ botnet ۽ ransomware جي مالڪن جي وچ ۾ ڪو تعلق آهي، جيتوڻيڪ حقيقت ۾ ڪو به ناهي. اسان جي ڪم ۾، اهڙي غلطي نازڪ آهي.
اسان سسٽم کي سيکاريو ته ملڪيت جي وقفن کي طئي ڪرڻ لاء. ڊومينز لاءِ اهو نسبتاً سادو آهي، ڇاڪاڻ ته whois اڪثر ڪري رجسٽريشن جي شروعات ۽ ختم ٿيڻ جي تاريخن تي مشتمل هوندو آهي ۽، جڏهن ڪير جي تبديلين جي مڪمل تاريخ هوندي آهي، ته وقفي جو تعين ڪرڻ آسان هوندو آهي. جڏهن هڪ ڊومين جي رجسٽريشن ختم نه ڪئي وئي آهي، پر ان جو انتظام ٻين مالڪن ڏانهن منتقل ڪيو ويو آهي، اهو پڻ ٽريڪ ڪري سگهجي ٿو. ايس ايس ايل سرٽيفڪيٽن لاءِ اهڙو ڪو مسئلو ناهي، ڇاڪاڻ ته اهي هڪ ڀيرو جاري ڪيا ويندا آهن ۽ نه وري تجديد ڪيا ويندا آهن ۽ نه ئي منتقل ڪيا ويندا آهن. پر خود دستخط ٿيل سرٽيفڪيٽن سان، توهان سرٽيفڪيٽ جي صحيح مدت ۾ بيان ڪيل تاريخن تي ڀروسو نٿا ڪري سگهو، ڇو ته توهان اڄ هڪ SSL سرٽيفڪيٽ ٺاهي سگهو ٿا، ۽ 2010 کان سرٽيفڪيٽ جي شروعات جي تاريخ بيان ڪري سگهو ٿا. سڀ کان وڌيڪ ڏکيو ڪم سرورز لاءِ ملڪيت جي وقفن جو تعين ڪرڻ آهي، ڇاڪاڻ ته صرف هوسٽنگ فراهم ڪندڙن وٽ رينجر جون تاريخون ۽ مدو آهن. سرور جي ملڪيت جي مدت کي طئي ڪرڻ لاء، اسان پورٽ اسڪيننگ جا نتيجا استعمال ڪرڻ شروع ڪيو ۽ بندرگاهن تي هلندڙ خدمتن جي فنگر پرنٽس ٺاهڻ. ھن معلومات کي استعمال ڪندي، اسان صحيح طور تي چئي سگھون ٿا جڏھن سرور جو مالڪ تبديل ٿيو.
ٿورا ڪنيڪشن. وضاحت. اڄڪلهه، اهو مسئلو ناهي ته ڊومينز جي هڪ مفت لسٽ حاصل ڪرڻ جنهن جي هڪ مخصوص اي ميل ايڊريس تي مشتمل آهي، يا سڀني ڊومينز کي ڳولڻ لاء جيڪي هڪ مخصوص IP پتي سان لاڳاپيل هئا. پر جڏهن اهو هيڪرز تي اچي ٿو جيڪي ٽريڪ ڪرڻ لاءِ تمام گهڻي محنت ڪن ٿا، اسان کي نئين ملڪيت ڳولڻ ۽ نوان ڪنيڪشن ٺاهڻ لاءِ اضافي چالن جي ضرورت آهي.
اسان گهڻو وقت ان تحقيق ۾ گذاريو ته ڪيئن اسان ڊيٽا ڪڍي سگهون ٿا جيڪو روايتي انداز ۾ موجود نه هو. اسان هتي بيان نٿا ڪري سگهون ته اهو واضح سببن لاءِ ڪيئن ڪم ڪري ٿو، پر ڪجهه حالتن ۾، هيڪرز، جڏهن ڊومينز رجسٽر ڪري رهيا آهن يا سرور کي ڪرائي تي ڏيڻ ۽ ترتيب ڏيڻ، انهن کي غلطيون ڪن ٿيون جيڪي انهن کي اي ميل پتي، هيڪر عرف، ۽ پس منظر پتي ڳولڻ جي اجازت ڏين ٿيون. وڌيڪ ڪنيڪشن جيڪي توهان ڪڍندا، وڌيڪ صحيح گراف جيڪي توهان ٺاهي سگهو ٿا.
اسان جو گراف ڪيئن ڪم ڪري ٿو
نيٽ ورڪ گراف استعمال ڪرڻ شروع ڪرڻ لاءِ، توھان کي ڊومين داخل ڪرڻ جي ضرورت آھي، IP پتو، اي ميل، يا SSL سرٽيفڪيٽ فنگر پرنٽ سرچ بار ۾. اتي ٽي حالتون آھن جيڪي تجزيو ڪندڙ ڪنٽرول ڪري سگھن ٿا: وقت، قدم جي کوٽائي، ۽ صاف ڪرڻ.
وقت
وقت - تاريخ يا وقفو جڏهن ڳولهيو ويو عنصر بدسلوڪي مقصدن لاءِ استعمال ڪيو ويو. جيڪڏهن توهان هن پيٽرولر جي وضاحت نه ڪندا، سسٽم پاڻ کي هن وسيلن لاء آخري ملڪيت جي وقفي جو اندازو لڳائيندو. مثال طور، 11 جولاء تي، ايسٽ شايع ڪيو بابت ڪيئن بوهٽريپ سائبر جاسوسي لاءِ 0 ڏينهن جو استحصال استعمال ڪري ٿو. رپورٽ جي آخر ۾ 6 اشارا آهن. انهن مان هڪ، محفوظ-ٽيلي ميٽري[.] نيٽ، 16 جولاءِ تي ٻيهر رجسٽر ٿيو. تنهن ڪري، جيڪڏهن توهان 16 جولاء کان پوء گراف ٺاهيندا، توهان کي غير مناسب نتيجا ملندا. پر جيڪڏهن توهان ظاهر ڪيو ته هي ڊومين هن تاريخ کان اڳ استعمال ڪيو ويو هو، پوء گراف ۾ 126 نوان ڊومينز، 69 IP پتي شامل آهن جيڪي ايسٽ رپورٽ ۾ درج نه ڪيا ويا آهن:
- ukrfreshnews[.]com
- unian-search[.]com
- دنيا جي ڄاڻ
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]اڻ ڄاڻ
- rian-ua[.]net
- ۽ ٻيا.
نيٽ ورڪ اشارن کان علاوه، اسان فوري طور تي خراب فائلن سان ڪنيڪشن ڳوليندا آهيون جيڪي هن انفراسٽرڪچر ۽ ٽيگ سان ڪنيڪشن هئا جيڪي اسان کي ٻڌائين ٿا ته ميٽرپريٽر ۽ AZORult استعمال ڪيا ويا هئا.
وڏي ڳالهه اها آهي ته توهان اهو نتيجو هڪ سيڪنڊ ۾ حاصل ڪيو ۽ توهان کي هاڻي ڊيٽا جي تجزيي ۾ ڏينهن گذارڻ جي ضرورت ناهي. يقينن، اهو طريقو ڪڏهن ڪڏهن خاص طور تي تحقيقات لاء وقت گھٽائي ٿو، جيڪو اڪثر ڪري نازڪ هوندو آهي.
قدمن جو تعداد يا ورهاست جي کوٽائي جنهن سان گراف ٺاهيو ويندو
ڊفالٽ طور، کوٽائي 3 آهي. ان جو مطلب اهو آهي ته سڀئي سڌو لاڳاپيل عنصر گهربل عنصر مان مليا ويندا، پوء هر نئين عنصر کان ٻين عنصرن سان نوان ڪنيڪشن ٺاهيا ويندا، ۽ نوان عنصر ٺاهيا ويندا نوان عنصرن مان آخري. قدم
اچو ته هڪ مثال وٺون جيڪو APT ۽ 0 ڏينهن جي استحصال سان لاڳاپيل ناهي. حالانڪه، هبري تي cryptocurrencies سان لاڳاپيل دوکي جو هڪ دلچسپ ڪيس بيان ڪيو ويو آهي. رپورٽ ۾ ڊومين thecx[.]co جو ذڪر ڪيو ويو آهي، اسڪيمرز طرفان ويب سائيٽ کي ميزباني ڪرڻ لاءِ استعمال ڪيو ويو آهي جيڪا ٽريفڪ کي راغب ڪرڻ لاءِ Miner Coin Exchange ۽ فون-lookup[.]xyz ٿيڻ جو ارادو رکي ٿي.
ان جي وضاحت مان واضح ٿئي ٿو ته اسڪيم کي وڏي پئماني تي انفراسٽرڪچر جي ضرورت آهي ته جيئن ٽريفڪ کي دوکي جي وسيلن ڏانهن راغب ڪري سگهجي. اسان 4 مرحلن ۾ گراف تعمير ڪندي هن انفراسٽرڪچر کي ڏسڻ جو فيصلو ڪيو. پيداوار هڪ گراف هو 230 ڊومينز ۽ 39 IP پتي سان. اڳيون، اسان ڊومينز کي 2 ڀاڱن ۾ ورهايو ٿا: اھي جيڪي آھن جيڪي cryptocurrencies سان ڪم ڪرڻ لاءِ خدمتن سان ملندڙ جلندڙ آھن ۽ اھي جيڪي فون جي تصديق جي خدمتن ذريعي ٽرئفڪ کي ھلائڻ لاءِ آھن:
cryptocurrency سان لاڳاپيل
فون پنچنگ سروسز سان لاڳاپيل
ڪوئن سنڀاليندڙ[.]cc
ڪالر-رڪارڊ[.] سائيٽ.
mcxwallet[.]co
فون رڪارڊ[.] اسپيس
btcnoise[.]com
fone-Uncover[.]xyz
cryptominer [.] واچ
نمبر- انڪشاف[.] ڄاڻ
صفائي
ڊفالٽ طور، "گراف صاف ڪرڻ" اختيار کي فعال ڪيو ويو آهي ۽ سڀئي غير لاڳاپيل عناصر گراف مان هٽايا ويندا. رستي ۾، اهو سڀني پوئين مثالن ۾ استعمال ڪيو ويو آهي. مان هڪ قدرتي سوال پيش ڪريان ٿو: اسان ڪيئن پڪ ڪري سگهون ٿا ته ڪجهه اهم حذف نه ڪيو ويو آهي؟ مان جواب ڏيندس: تجزيه نگارن لاءِ جيڪي هٿ سان گراف ٺاهڻ پسند ڪن ٿا، خودڪار صفائي کي غير فعال ڪري سگهجي ٿو ۽ قدمن جو تعداد منتخب ڪري سگهجي ٿو = 1. اڳتي هلي، تجزيه نگار انهن عناصرن مان گراف مڪمل ڪري سگهندو جن کي هن جي ضرورت آهي ۽ انهن مان عناصر کي هٽائي ڇڏيو. گراف جيڪو ڪم سان لاڳاپيل ناهي.
اڳ ۾ ئي گراف تي، whois، DNS، گڏوگڏ کليل بندرگاهن ۽ خدمتن ۾ تبديلين جي تاريخ انھن تي ھلندڙ تجزيي نگار لاء موجود آهي.
مالي فشنگ
اسان هڪ APT گروپ جي سرگرمين جي تحقيق ڪئي، جنهن ڪيترن ئي سالن تائين مختلف علائقن ۾ مختلف بينڪن جي گراهڪن جي خلاف فشنگ حملا ڪيا. هن گروپ جي هڪ خاص خصوصيت اها هئي ته ڊومينز جي رجسٽريشن بلڪل حقيقي بئنڪن جي نالن سان ملندڙ جلندڙ هئي، ۽ اڪثر فشنگ سائيٽن جو ڊزائن ساڳيو هوندو هو، فرق صرف بئنڪن جي نالن ۽ انهن جي لوگو ۾ هوندو هو.
هن معاملي ۾، خودڪار گراف تجزيو اسان کي تمام گهڻو مدد ڪئي. انهن جي ڊومين مان هڪ کي کڻڻ - lloydsbnk-uk[.]com، چند سيڪنڊن ۾ اسان 3 مرحلن جي کوٽائي سان هڪ گراف ٺاهيو، جنهن ۾ 250 کان وڌيڪ خراب ڊومينز جي نشاندهي ڪئي وئي جيڪي هن گروپ پاران 2015 کان استعمال ڪيا ويا آهن ۽ استعمال ٿيڻ جاري آهن. . انهن مان ڪجهه ڊومين اڳ ۾ ئي بينڪن طرفان خريد ڪيا ويا آهن، پر تاريخي رڪارڊ ڏيکاري ٿو ته اهي اڳ ۾ حملي ڪندڙن ڏانهن رجسٽرڊ ڪيا ويا آهن.
وضاحت لاءِ، انگ اکر ڏيکاري ٿو گراف کي 2 قدمن جي کوٽائي سان.
اها ڳالهه قابل ذڪر آهي ته 2019 ۾، حملي آورن پنهنجي حڪمت عملي کي ڪجهه حد تائين تبديل ڪيو ۽ ويب فشنگ جي ميزباني ڪرڻ لاء نه رڳو بينڪن جي ڊومينز کي رجسٽر ڪرڻ شروع ڪيو، پر فشنگ اي ميلون موڪلڻ لاء مختلف صلاحڪار ڪمپنين جي ڊومين پڻ. مثال طور، ڊومينز swift-department.com، saudconsultancy.com، vbgrigoryanpartners.com.
ڪوبالٽ گروهه
ڊسمبر 2018 ۾، هيڪر گروپ ڪوبالٽ، بينڪن تي ٽارگيٽيڊ حملن ۾ ماهر، قزاقستان جي نيشنل بئنڪ جي طرفان هڪ ميلنگ مهم موڪليو.
خط ۾ hXXps://nationalbank.bz/Doc/Prikaz.doc جا لنڪ شامل هئا. ڊائون لوڊ ڪيل دستاويز ۾ هڪ ميڪرو شامل آهي جيڪو پاور شيل شروع ڪيو، جيڪو فائل کي لوڊ ڪرڻ ۽ عمل ڪرڻ جي ڪوشش ڪندو hXXp://wateroilclub.com/file/dwm.exe ۾ %Temp%einmrmdmy.exe. فائل %Temp%einmrmdmy.exe aka dwm.exe ھڪڙو CobInt اسٽيجر آھي جيڪو سرور سان رابطو ڪرڻ لاءِ ترتيب ڏنو ويو آھي hXXp://admvmsopp.com/rilruietguadvtoefmuy.
تصور ڪريو ته اهي فشنگ اي ميلون حاصل ڪرڻ جي قابل نه آهن ۽ بدسلوڪي فائلن جو مڪمل تجزيو انجام ڏيو. خراب ڊومين نيشنل بئنڪ لاءِ گراف[.]bz فوري طور تي ٻين بدسلوڪي ڊومينز سان ڪنيڪشن ڏيکاري ٿو، ان کي هڪ گروپ ڏانهن منسوب ڪري ٿو ۽ ڏيکاري ٿو ته ڪهڙيون فائلون حملي ۾ استعمال ڪيون ويون.
اچو ته هن گراف مان IP پتو 46.173.219 [.] 152 وٺو ۽ ان مان هڪ گراف ٺاهيو ۽ هڪ پاس ۾ صفائي کي بند ڪريو. ان سان لاڳاپيل 40 ڊومينز آھن، مثال طور، bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
ڊومين جي نالن سان فيصلو ڪندي، اهو لڳي ٿو ته اهي فريب اسڪيمن ۾ استعمال ڪيا ويا آهن، پر صفائي الگورتھم اهو محسوس ڪيو ته اهي هن حملي سان لاڳاپيل نه هئا ۽ انهن کي گراف تي نه رکيو، جيڪو تجزيو ۽ انتساب جي عمل کي تمام آسان بڻائي ٿو.
جيڪڏهن توهان Nationalbank[.]bz استعمال ڪندي گراف کي ٻيهر ٺاهي رهيا آهيو، پر گراف کي صاف ڪرڻ واري الگورتھم کي غير فعال ڪري، پوءِ ان ۾ 500 کان وڌيڪ عنصر شامل هوندا، جن مان اڪثر جو ڪوبالٽ گروپ يا انهن جي حملن سان ڪو به تعلق ناهي. ان جو هڪ مثال هيٺ ڏنل گراف وانگر نظر اچي ٿو:
ٿڪل
ڪيترن ئي سالن جي فائن ٽيوننگ، حقيقي تحقيقات ۾ جاچ، خطري جي تحقيق ۽ حملي آورن جو شڪار ڪرڻ کان پوءِ، اسان نه رڳو هڪ منفرد اوزار ٺاهڻ ۾ ڪامياب ٿي ويا آهيون، پر ان حوالي سان ڪمپني جي ماهرن جو رويو به بدلائڻ ۾ ڪامياب ٿي ويا آهيون. شروعات ۾، ٽيڪنيڪل ماهر گراف جي تعمير جي عمل تي مڪمل ڪنٽرول چاهين ٿا. انهن کي يقين ڏياريو ته خودڪار گراف جي تعمير ڪيترن ئي سالن جي تجربي سان هڪ شخص کان بهتر ڪري سگهي ٿي انتهائي ڏکيو هو. هر شي جو فيصلو ڪيو ويو وقت ۽ ڪيترن ئي "دستي" جي چڪاس جي نتيجن جي نتيجن جي گراف جي پيداوار. هاڻي اسان جا ماهر نه رڳو سسٽم تي ڀروسو ڪن ٿا، پر انهن جي روزاني ڪم ۾ حاصل ڪيل نتيجن کي پڻ استعمال ڪن ٿا. هي ٽيڪنالاجي اسان جي هر هڪ سسٽم جي اندر ڪم ڪري ٿي ۽ اسان کي ڪنهن به قسم جي خطرن کي بهتر سڃاڻڻ جي اجازت ڏئي ٿي. دستي گراف جي تجزيي لاءِ انٽرفيس سڀني گروپ-آئي بي پروڊڪٽس ۾ ٺهيل آهي ۽ خاص طور تي سائبر ڏوهن جي شڪار لاءِ صلاحيتن کي وڌائي ٿو. اها تصديق ڪئي وئي آهي تجزيه نگارن جي جائزي اسان جي گراهڪن کان. ۽ اسان، موڙ ۾، ڊيٽا سان گراف کي بهتر ڪرڻ جاري رکون ٿا ۽ مصنوعي ذهانت استعمال ڪندي نئين الگورتھم تي ڪم ڪري رهيا آهيون سڀ کان وڌيڪ صحيح نيٽ ورڪ گراف ٺاهڻ لاءِ.
جو ذريعو: www.habr.com