තතුබෑම්, බොට්නෙට්, වංචනික ගනුදෙනු සහ අපරාධ හැකර් කණ්ඩායම් සම්බන්ධ සිද්ධීන් විමර්ශනය කිරීම, Group-IB විශේෂඥයින් විවිධ ආකාරයේ සම්බන්ධතා හඳුනා ගැනීම සඳහා වසර ගණනාවක් තිස්සේ ප්‍රස්ථාර විශ්ලේෂණය භාවිතා කර ඇත. විවිධ අවස්ථා සඳහා ඔවුන්ගේම දත්ත කට්ටල, සම්බන්ධතා හඳුනාගැනීම සඳහා ඔවුන්ගේම ඇල්ගොරිතම සහ විශේෂිත කාර්යයන් සඳහා සකස් කරන ලද අතුරු මුහුණත් ඇත. මෙම සියලු මෙවලම් Group-IB විසින් අභ්‍යන්තරව සංවර්ධනය කරන ලද අතර ඒවා ලබා ගත හැක්කේ අපගේ සේවකයින්ට පමණි.

ජාල යටිතල ව්‍යුහයේ ප්‍රස්තාර විශ්ලේෂණය (ජාල ප්රස්ථාරය) සමාගමේ සියලුම පොදු නිෂ්පාදන සඳහා අප ගොඩනඟන ලද පළමු අභ්‍යන්තර මෙවලම බවට පත් විය. අපගේ ජාල ප්‍රස්ථාරය නිර්මාණය කිරීමට පෙර, අපි වෙළඳපොලේ බොහෝ සමාන වර්ධනයන් විශ්ලේෂණය කළ අතර අපගේ අවශ්‍යතා තෘප්තිමත් කරන එක නිෂ්පාදනයක් සොයා ගැනීමට නොහැකි විය. මෙම ලිපියෙන් අපි ජාල ප්‍රස්ථාරය නිර්මාණය කළේ කෙසේද, අපි එය භාවිතා කරන්නේ කෙසේද සහ අප මුහුණ දුන් දුෂ්කරතා ගැන කතා කරමු.

දිමිත්‍රි වොල්කොව්, CTO Group-IB සහ සයිබර් බුද්ධි අංශ ප්‍රධානියා

Group-IB ජාල ප්‍රස්ථාරයට කුමක් කළ හැකිද?

විමර්ශන

2003 දී Group-IB ආරම්භ කළ දා සිට මේ දක්වා, සයිබර් අපරාධකරුවන් හඳුනා ගැනීම, නිෂ්ප්‍රභ කිරීම සහ නීතිය ඉදිරියට ගෙන ඒම අපගේ කාර්යයේ ප්‍රමුඛ කාර්යයක් වී ඇත. ප්‍රහාරකයන්ගේ ජාල යටිතල ව්‍යූහය විශ්ලේෂණය නොකර එක සයිබර් ප්‍රහාර පරීක්ෂණයක්වත් සම්පූර්ණ නොවීය. අපගේ ගමනේ ආරම්භයේදීම, අපරාධකරුවන් හඳුනා ගැනීමට උපකාරී වන සබඳතා සෙවීම තරමක් වේදනාකාරී “අත්පොත කාර්යයක්” විය: වසම් නාම, IP ලිපින, සේවාදායකයන්ගේ ඩිජිටල් ඇඟිලි සලකුණු ආදිය පිළිබඳ තොරතුරු.

බොහෝ ප්රහාරකයන් ජාලය තුළ හැකි තරම් නිර්නාමිකව ක්රියා කිරීමට උත්සාහ කරයි. කෙසේ වෙතත්, සියලු මිනිසුන් මෙන්, ඔවුන් වැරදි කරයි. එවැනි විශ්ලේෂණයක ප්‍රධාන අරමුණ වන්නේ අප විමර්ශනය කරන වත්මන් සිද්ධියේදී භාවිතා කරන ද්වේෂසහගත යටිතල පහසුකම් සමඟ මංසන්ධි ඇති ප්‍රහාරකයින්ගේ "සුදු" හෝ "අළු" ඓතිහාසික ව්‍යාපෘති සොයා ගැනීමයි. "සුදු ව්යාපෘති" හඳුනා ගැනීමට හැකි නම්, ප්රහාරකයා සොයා ගැනීම, නීතියක් ලෙස, සුළු කාර්යයක් බවට පත් වේ. "අළු" සම්බන්ධයෙන් ගත් කල, ඔවුන්ගේ හිමිකරුවන් ලියාපදිංචි දත්ත නිර්නාමික කිරීමට හෝ සැඟවීමට උත්සාහ කරන බැවින්, සෙවීමට වැඩි කාලයක් හා වෑයමක් අවශ්‍ය වේ, නමුත් අවස්ථා තරමක් ඉහළ ය. රීතියක් ලෙස, ඔවුන්ගේ සාපරාධී ක්‍රියාකාරකම් ආරම්භයේදී, ප්‍රහාරකයින් ඔවුන්ගේ ආරක්ෂාව කෙරෙහි අඩු අවධානයක් යොමු කරන අතර වැරදි වැඩි කරයි, එබැවින් අපට කතාවට ගැඹුරට කිමිදිය හැකි තරමට සාර්ථක පරීක්ෂණයක අවස්ථා වැඩි වේ. හොඳ ඉතිහාසයක් සහිත ජාල ප්‍රස්තාරයක් එවැනි විමර්ශනයක අතිශය වැදගත් අංගයක් වන්නේ එබැවිනි. සරලව කිවහොත්, සමාගමක් සතුව ඇති ගැඹුරු ඓතිහාසික දත්ත, එහි ප්‍රස්ථාරය වඩා හොඳය. අවුරුදු 5 ක ඉතිහාසයක් කොන්දේසි සහිතව, අපරාධ 1 න් 2-10 ක් විසඳීමට උපකාර කළ හැකි බවත්, අවුරුදු 15 ක ඉතිහාසයක් දසයම විසඳීමට අවස්ථාවක් ලබා දෙන බවත් කියමු.

තතුබෑම් සහ වංචා හඳුනාගැනීම

අපි තතුබෑම්, වංචනික හෝ කොල්ලකෑම් සම්පතකට සැකසහිත සබැඳියක් ලැබෙන සෑම අවස්ථාවකම, අපි ස්වයංක්‍රීයව අදාළ ජාල සම්පත් ප්‍රස්ථාරයක් ගොඩනඟා සමාන අන්තර්ගතයන් සඳහා සොයා ගන්නා සියලුම ධාරක පරීක්ෂා කරමු. සක්‍රීය නමුත් නොදන්නා පැරණි තතුබෑම් අඩවි මෙන්ම අනාගත ප්‍රහාර සඳහා සූදානම් කර ඇති නමුත් තවමත් භාවිතා නොකරන සම්පූර්ණයෙන්ම නව ඒවා සොයා ගැනීමට මෙය ඔබට ඉඩ සලසයි. බොහෝ විට සිදු වන මූලික උදාහරණයක්: අපි අඩවි 5ක් පමණක් ඇති සේවාදායකයක තතුබෑම් අඩවියක් සොයා ගත්තෙමු. එක් එක් ඒවා පරීක්ෂා කිරීමෙන්, අපි වෙනත් අඩවි වල තතුබෑම් අන්තර්ගතය සොයා ගනිමු, එයින් අදහස් කරන්නේ අපට 5 වෙනුවට 1 අවහිර කළ හැකි බවයි.

පසුපෙළ සොයන්න

අනිෂ්ට සේවාදායකය ඇත්ත වශයෙන්ම පවතින්නේ කොතැනද යන්න තීරණය කිරීමට මෙම ක්‍රියාවලිය අවශ්‍ය වේ.
කාඩ්පත් සාප්පු, හැකර් සංසද, බොහෝ තතුබෑම් සම්පත් සහ අනෙකුත් අනිෂ්ට සේවාදායකයන්ගෙන් 99%ක් ඔවුන්ගේම ප්‍රොක්සි සේවාදායකයන් සහ නීත්‍යානුකූල සේවාවන්හි ප්‍රොක්සි දෙක පිටුපස සැඟවී ඇත, උදාහරණයක් ලෙස, Cloudflare. විමර්ශන සඳහා සැබෑ පසුතලය පිළිබඳ දැනුම ඉතා වැදගත් වේ: සේවාදායකය අල්ලා ගත හැකි සත්කාරක සපයන්නා ප්‍රසිද්ධ වන අතර වෙනත් අනිෂ්ට ව්‍යාපෘති සමඟ සම්බන්ධතා ගොඩනගා ගැනීමට හැකි වේ.

උදාහරණයක් ලෙස, ඔබට IP ලිපිනය 11.11.11.11 වෙත විසඳන බැංකු කාඩ්පත් දත්ත රැස් කිරීම සඳහා තතුබෑම් අඩවියක් සහ IP ලිපිනය 22.22.22.22 වෙත විසඳන කාඩ් ෂොප් ලිපිනයක් ඇත. විශ්ලේෂණය අතරතුර, තතුබෑම් අඩවිය සහ කාඩ් ෂොප් යන දෙකටම පොදු පසුපෙළ IP ලිපිනයක් ඇති බව පෙනී යා හැකිය, උදාහරණයක් ලෙස, 33.33.33.33. මෙම දැනුම අපට තතුබෑම් ප්‍රහාර සහ බැංකු කාඩ්පත් දත්ත අලෙවි කළ හැකි කාඩ්පත් සාප්පුවක් අතර සම්බන්ධයක් ගොඩනගා ගැනීමට ඉඩ සලසයි.

සිදුවීම් සහසම්බන්ධය

ප්‍රහාරය පාලනය කිරීම සඳහා ඔබට විවිධ අනිෂ්ට මෘදුකාංග සහ විවිධ සේවාදායකයන් සමඟ විවිධ ප්‍රේරක දෙකක් (IDS මත කියමු) ඇති විට, ඔබ ඒවා ස්වාධීන සිදුවීම් දෙකක් ලෙස සලකනු ඇත. නමුත් අනිෂ්ට යටිතල ව්‍යුහයන් අතර හොඳ සම්බන්ධයක් තිබේ නම්, මේවා විවිධ ප්‍රහාර නොව, එක්, වඩාත් සංකීර්ණ බහු-අදියර ප්‍රහාරයක අදියර බව පැහැදිලි වේ. තවද එක් සිදුවීමක් දැනටමත් කිසියම් ප්‍රහාරක කණ්ඩායමකට ආරෝපණය කර ඇත්නම්, දෙවැන්න එම කණ්ඩායමටද ආරෝපණය කළ හැකිය. ඇත්ත වශයෙන්ම, ආරෝපණ ක්‍රියාවලිය වඩාත් සංකීර්ණ වේ, එබැවින් මෙය සරල උදාහරණයක් ලෙස සලකන්න.

දර්ශක පොහොසත් කිරීම

අපි මේ ගැන වැඩි අවධානයක් යොමු නොකරමු, මන්ද මෙය සයිබර් ආරක්‍ෂාවේදී ප්‍රස්ථාර භාවිතා කිරීමේ වඩාත් පොදු අවස්ථාව මෙයයි: ඔබ එක් දර්ශකයක් ආදානය ලෙස ලබා දෙන අතර ප්‍රතිදානයක් ලෙස ඔබට අදාළ දර්ශක මාලාවක් ලැබේ.

රටා හඳුනා ගැනීම

ඵලදායී දඩයම් කිරීම සඳහා රටා හඳුනා ගැනීම අත්යවශ්ය වේ. ප්‍රස්ථාර මඟින් ඔබට අදාළ මූලද්‍රව්‍ය සොයා ගැනීමට පමණක් නොව, විශේෂිත හැකර් කණ්ඩායමක ලක්ෂණයක් වන පොදු ගුණාංග හඳුනා ගැනීමටද ඉඩ සලසයි. එවැනි අද්විතීය ලක්ෂණ පිළිබඳ දැනුම ඔබට සූදානම් වීමේ අදියරේදී පවා ප්‍රහාරකයාගේ යටිතල පහසුකම් හඳුනා ගැනීමට සහ තතුබෑම් ඊමේල් හෝ අනිෂ්ට මෘදුකාංග වැනි ප්‍රහාරය සනාථ කරන සාක්ෂි නොමැතිව හඳුනා ගැනීමට ඔබට ඉඩ සලසයි.

අපි අපේම ජාල ප්‍රස්ථාරයක් නිර්මාණය කළේ ඇයි?

නැවතත්, පවතින නිෂ්පාදනයකට කළ නොහැකි දෙයක් කළ හැකි අපගේම මෙවලමක් සංවර්ධනය කිරීමට අවශ්‍ය බව නිගමනය කිරීමට පෙර අපි විවිධ වෙළෙන්දන්ගෙන් විසඳුම් දෙස බැලුවෙමු. එය නිර්මාණය කිරීමට වසර කිහිපයක් ගත වූ අතර, එම කාලය තුළ අපි එය කිහිප වතාවක් සම්පූර්ණයෙන්ම වෙනස් කළෙමු. එහෙත්, දිගු සංවර්ධන කාලය තිබියදීත්, අපගේ අවශ්‍යතා සපුරාලන එක ප්‍රතිසමයක් අපට තවමත් සොයාගෙන නොමැත. අපගේම නිෂ්පාදනයක් භාවිතා කරමින්, පවතින ජාල ප්‍රස්ථාරවල අප විසින් සොයාගත් සියලුම ගැටළු පාහේ විසඳීමට අවසානයේ අපට හැකි විය. පහත අපි මෙම ගැටළු විස්තරාත්මකව සලකා බලමු:

ප්රශ්නය
තීරණය

විවිධ දත්ත එකතු කිරීම් සහිත සැපයුම්කරුවෙකු නොමැතිකම: වසම්, නිෂ්ක්‍රීය DNS, උදාසීන SSL, DNS වාර්තා, විවෘත වරායන්, වරායන්හි ධාවන සේවා, වසම් නාම සහ IP ලිපින සමඟ අන්තර්ක්‍රියා කරන ගොනු. පැහැදිලි කිරීම. සාමාන්‍යයෙන්, සපයන්නන් වෙනම දත්ත වර්ග සපයන අතර සම්පූර්ණ පින්තූරය ලබා ගැනීම සඳහා, ඔබ සැමගෙන් දායකත්වයන් මිලදී ගත යුතුය. එසේ වුවද, සියලු දත්ත ලබා ගැනීම සැමවිටම කළ නොහැක: සමහර නිෂ්ක්‍රීය SSL සපයන්නන් දත්ත සපයන්නේ විශ්වාසදායක CAs විසින් නිකුත් කරන ලද සහතික පිළිබඳ පමණි, සහ ස්වයං අත්සන් කළ සහතික පිළිබඳ ඔවුන්ගේ ආවරණය අතිශයින් දුර්වල ය. තවත් අය ස්වයං අත්සන් කළ සහතික භාවිතා කරමින් දත්ත ලබා දෙයි, නමුත් ඒවා රැස් කරන්නේ සම්මත වරායෙන් පමණි.
ඉහත එකතු කිරීම් සියල්ල අපි විසින්ම එකතු කර ගත්තෙමු. උදාහරණයක් ලෙස, SSL සහතික පිළිබඳ දත්ත රැස් කිරීම සඳහා, අපි අපගේම සේවාවක් ලියා ඇති අතර එය විශ්වාසදායක CA වලින් සහ සම්පූර්ණ IPv4 අවකාශය පරිලෝකනය කිරීමෙන් ඒවා එකතු කරයි. සහතික එකතු කර ඇත්තේ IP වෙතින් පමණක් නොව, අපගේ දත්ත ගබඩාවෙන් සියලුම වසම් සහ උප ඩොමේන් වලින් ද: ඔබට example.com වසම සහ එහි උප වසම තිබේ නම් www.example.com සහ ඒවා සියල්ලම IP 1.1.1.1 වෙත විසඳා ගනී, එවිට ඔබ IP, වසම සහ එහි උප ඩොමේනය මත 443 වරායෙන් SSL සහතිකයක් ලබා ගැනීමට උත්සාහ කරන විට, ඔබට වෙනස් ප්‍රතිඵල තුනක් ලබා ගත හැක. විවෘත වරායන් සහ ධාවන සේවා පිළිබඳ දත්ත රැස් කිරීම සඳහා, අපට අපගේම බෙදා හරින ලද ස්කෑනිං පද්ධතියක් නිර්මාණය කිරීමට සිදු විය, මන්ද අනෙකුත් සේවාවන් බොහෝ විට ඔවුන්ගේ ස්කෑනිං සේවාදායකයන්ගේ IP ලිපින “කළු ලැයිස්තු” මත තබා ඇත. අපගේ ස්කෑනිං සර්වර් ද අසාදු ලේඛනවල අවසන් වේ, නමුත් අපට අවශ්‍ය සේවාවන් හඳුනාගැනීමේ ප්‍රතිඵලය හැකි තරම් වරායන් ස්කෑන් කර මෙම දත්ත වෙත ප්‍රවේශය විකුණන අයට වඩා ඉහළ ය.

ඓතිහාසික වාර්තාවල සම්පූර්ණ දත්ත ගබඩාවට ප්රවේශය නොමැතිකම. පැහැදිලි කිරීම. සෑම සාමාන්‍ය සැපයුම්කරුවෙකුටම හොඳ සමුච්චිත ඉතිහාසයක් ඇත, නමුත් ස්වාභාවික හේතූන් මත සේවාදායකයෙකු ලෙස අපට සියලුම ඓතිහාසික දත්ත වෙත ප්‍රවේශය ලබා ගත නොහැකි විය. එම. ඔබට එක් වාර්තාවක් සඳහා සම්පූර්ණ ඉතිහාසය ලබා ගත හැකිය, උදාහරණයක් ලෙස, වසම හෝ IP ලිපිනය මගින්, නමුත් ඔබට සෑම දෙයකම ඉතිහාසය දැකිය නොහැක - සහ මෙය නොමැතිව ඔබට සම්පූර්ණ පින්තූරය දැකිය නොහැක.
වසම් මත හැකි තරම් ඓතිහාසික වාර්තා එකතු කිරීම සඳහා, අපි විවිධ දත්ත සමුදායන් මිලදී ගෙන, මෙම ඉතිහාසය ඇති බොහෝ විවෘත සම්පත් විග්‍රහ කළෙමු (ඒවායින් බොහොමයක් තිබීම හොඳය), සහ වසම් නාම රෙජිස්ට්‍රාර්වරුන් සමඟ සාකච්ඡා කළෙමු. අපගේම එකතු කිරීම් සඳහා වන සියලුම යාවත්කාලීන කිරීම් ඇත්ත වශයෙන්ම සම්පූර්ණ සංශෝධන ඉතිහාසයක් සමඟ තබා ඇත.

පවතින සියලුම විසඳුම් ඔබට අතින් ප්‍රස්ථාරයක් තැනීමට ඉඩ සලසයි. පැහැදිලි කිරීම. ඔබ හැකි සියලුම දත්ත සපයන්නන්ගෙන් (සාමාන්‍යයෙන් "පොහොසත් කරන්නන්" ලෙස හඳුන්වනු ලබන) දායකත්ව විශාල ප්‍රමාණයක් මිලදී ගත් බව කියමු. ඔබට ප්‍රස්ථාරයක් තැනීමට අවශ්‍ය වූ විට, ඔබට අවශ්‍ය සම්බන්ධතා මූලද්‍රව්‍යයෙන් ගොඩනැගීමට “අත්” විධානය ලබා දෙයි, පසුව දිස්වන මූලද්‍රව්‍යවලින් අවශ්‍ය ඒවා තෝරා ඒවායින් සම්බන්ධතා සම්පූර්ණ කිරීමට විධානය ලබා දෙන්න, යනාදිය. මෙම අවස්ථාවෙහිදී, ප්රස්ථාරය කෙතරම් හොඳින් ගොඩනගනු ඇත්ද යන්න පිළිබඳ වගකීම සම්පූර්ණයෙන්ම පුද්ගලයා මත පවතී.
අපි ප්‍රස්ථාරවල ස්වයංක්‍රීය ඉදිකිරීම් කළා. එම. ඔබට ප්‍රස්ථාරයක් තැනීමට අවශ්‍ය නම්, පළමු මූලද්‍රව්‍යයේ සම්බන්ධතා ස්වයංක්‍රීයව ගොඩනගා ඇත, පසුව සියලුම ඒවායින් ද. විශේෂඥයා ප්රස්තාරය ගොඩ නැගීමට අවශ්ය ගැඹුර පමණක් දක්වයි. ප්‍රස්ථාර ස්වයංක්‍රීයව සම්පූර්ණ කිරීමේ ක්‍රියාවලිය සරල ය, නමුත් අනෙකුත් වෙළෙන්දන් එය ක්‍රියාත්මක නොකරන්නේ එය අදාළ නොවන ප්‍රතිඵල විශාල ප්‍රමාණයක් නිපදවන නිසා සහ අපට මෙම අඩුපාඩුව ද සැලකිල්ලට ගැනීමට සිදු විය (පහත බලන්න).

බොහෝ අදාළ නොවන ප්‍රතිඵල සියලු ජාල මූලද්‍රව්‍ය ප්‍රස්ථාරවල ගැටලුවකි. පැහැදිලි කිරීම. උදාහරණයක් ලෙස, "නරක වසම" (ප්රහාරයකට සහභාගී වූ) පසුගිය වසර 10 පුරාවට වෙනත් වසම් 500ක් සම්බන්ධ කර ඇති සේවාදායකයක් සමඟ සම්බන්ධ වේ. ප්‍රස්ථාරයක් අතින් එකතු කිරීමේදී හෝ ස්වයංක්‍රීයව ගොඩනඟන විට, මෙම වසම් 500ම ප්‍රහාරයට සම්බන්ධ නොවූවත්, ප්‍රස්ථාරයේ දිස්විය යුතුය. නැතහොත්, උදාහරණයක් ලෙස, ඔබ විකුණුම්කරුගේ ආරක්ෂක වාර්තාවෙන් IP දර්ශකය පරීක්ෂා කරන්න. සාමාන්‍යයෙන්, එවැනි වාර්තා නිකුත් කරනු ලබන්නේ සැලකිය යුතු ප්‍රමාදයකින් වන අතර බොහෝ විට වසරක් හෝ ඊට වැඩි කාලයක් පවතී. බොහෝ දුරට ඉඩ ඇත්තේ, ඔබ වාර්තාව කියවන අවස්ථාවේදී, මෙම IP ලිපිනය සහිත සේවාදායකය වෙනත් සම්බන්ධතා ඇති වෙනත් පුද්ගලයින්ට දැනටමත් කුලියට ගෙන ඇති අතර, ප්‍රස්ථාරයක් තැනීමෙන් ඔබට නැවත අදාළ නොවන ප්‍රතිඵල ලැබෙනු ඇත.
අපගේ ප්‍රවීණයන් අතින් සිදු කරන ලද තර්කයම භාවිතා කරමින් අදාළ නොවන මූලද්‍රව්‍ය හඳුනා ගැනීමට අපි පද්ධතිය පුහුණු කළෙමු. උදාහරණයක් ලෙස, ඔබ දැන් IP 11.11.11.11 සහ මාසයකට පෙර - IP 22.22.22.22 වෙත විසඳන නරක වසම example.com පරීක්ෂා කරයි. example.com වසමට අමතරව, IP 11.11.11.11 example.ru සමඟ ද සම්බන්ධ වන අතර IP 22.22.22.22 වෙනත් වසම් 25 ක් සමඟ සම්බන්ධ වේ. පද්ධතිය, පුද්ගලයෙකු මෙන්, 11.11.11.11 බොහෝ දුරට කැප වූ සේවාදායකයක් බව වටහාගෙන ඇති අතර, example.ru වසම උදාහරණයක්.com අක්ෂර වින්‍යාසයෙන් සමාන බැවින්, ඉහළ සම්භාවිතාවක් සහිතව, ඒවා සම්බන්ධ වී ඇති අතර ඒවා මත තිබිය යුතුය. ප්රස්ථාරය; නමුත් IP 22.22.22.22 හවුල් සත්කාරකත්වයට අයත් වේ, එබැවින් මෙම වසම් 25 න් එකක් ද ඇතුළත් කළ යුතු බව පෙන්වන වෙනත් සම්බන්ධතා තිබේ නම් මිස එහි සියලුම වසම් ප්‍රස්ථාරයට ඇතුළත් කිරීමට අවශ්‍ය නොවේ (උදාහරණයක් ලෙස, example.net) . සම්බන්ධතා බිඳ දැමිය යුතු බවත් සමහර මූලද්‍රව්‍ය ප්‍රස්ථාරයට ගෙන නොයන බවත් පද්ධතිය තේරුම් ගැනීමට පෙර, මෙම මූලද්‍රව්‍ය ඒකාබද්ධ කර ඇති මූලද්‍රව්‍ය සහ පොකුරු වල බොහෝ ගුණාංග මෙන්ම වත්මන් සම්බන්ධතාවල ශක්තිය ද සැලකිල්ලට ගනී. උදාහරණයක් ලෙස, අපට නරක වසමක් ඇතුළත් ප්‍රස්ථාරයේ කුඩා පොකුරක් (මූලද්‍රව්‍ය 50ක්) තිබේ නම් සහ තවත් විශාල පොකුරක් (මූලද්‍රව්‍ය 5 දහසක්) සහ පොකුරු දෙකම ඉතා අඩු ශක්තියකින් (බර) සම්බන්ධතාවයකින් (රේඛාවකින්) සම්බන්ධ වේ නම්. , එවිට එවැනි සම්බන්ධතාවයක් කැඩී ඇති අතර විශාල පොකුරෙන් මූලද්රව්ය ඉවත් කරනු ලැබේ. නමුත් කුඩා හා විශාල පොකුරු අතර බොහෝ සම්බන්ධතා තිබේ නම් සහ ඒවායේ ශක්තිය ක්රමයෙන් වැඩිවේ නම්, මෙම නඩුවේදී සම්බන්ධතාවය කැඩී නොයන අතර පොකුරු දෙකෙන්ම අවශ්ය මූලද්රව්ය ප්රස්ථාරයේ පවතිනු ඇත.

සේවාදායකය සහ වසම් හිමිකාරිත්ව පරතරය සැලකිල්ලට නොගනී. පැහැදිලි කිරීම. "නරක වසම්" ඉක්මනින් හෝ පසුව කල් ඉකුත් වන අතර ද්වේෂසහගත හෝ නීත්‍යානුකූල අරමුණු සඳහා නැවත මිලදී ගනු ලැබේ. වෙඩි නොවදින සත්කාරක සේවාදායක පවා විවිධ හැකර්වරුන්ට කුලියට දී ඇත, එබැවින් යම් වසමක්/සේවාදායකයක් එක් හිමිකරුවෙකුගේ පාලනය යටතේ පැවති කාල සීමාව දැන ගැනීම සහ සැලකිල්ලට ගැනීම ඉතා වැදගත් වේ. IP 11.11.11.11 සහිත සේවාදායකයක් දැන් බැංකු බොට් සඳහා C&C ලෙස භාවිතා කරන අතර මාස 2 කට පෙර එය Ransomware මගින් පාලනය කරන තත්වයක් අපට බොහෝ විට හමු වේ. අපි හිමිකාරිත්ව කාල පරතරයන් සැලකිල්ලට නොගෙන සම්බන්ධතාවයක් ගොඩනඟා ගත්තොත්, එය බැංකු botnet සහ ransomware අයිතිකරුවන් අතර සම්බන්ධයක් ඇති බව පෙනේ, නමුත් ඇත්ත වශයෙන්ම කිසිවක් නැත. අපගේ කාර්යයේදී, එවැනි දෝෂයක් තීරනාත්මක ය.
හිමිකාරිත්ව කාල පරතරයන් තීරණය කිරීමට අපි පද්ධතියට ඉගැන්නුවෙමු. වසම් සඳහා මෙය සාපේක්ෂ වශයෙන් සරල ය, මන්ද බොහෝ විට whois ලියාපදිංචි කිරීමේ ආරම්භක සහ කල් ඉකුත් වීමේ දිනයන් අඩංගු වන අතර, whois වෙනස්වීම් පිළිබඳ සම්පූර්ණ ඉතිහාසයක් ඇති විට, කාල පරතරයන් තීරණය කිරීම පහසුය. වසමක ලියාපදිංචිය කල් ඉකුත් වී නැති නමුත් එහි කළමනාකාරීත්වය වෙනත් හිමිකරුවන් වෙත මාරු කර ඇති විට, එය ලුහුබැඳීමටද හැකිය. SSL සහතික සඳහා එවැනි ගැටළුවක් නොමැත, මන්ද ඒවා එක් වරක් නිකුත් කර ඇති අතර ඒවා අලුත් කිරීම හෝ මාරු කිරීම සිදු නොවේ. නමුත් ස්වයං-අත්සන් කළ සහතික සමඟ, ඔබට සහතිකයේ වලංගු කාල සීමාව තුළ සඳහන් දින විශ්වාස කළ නොහැක, මන්ද ඔබට අද SSL සහතිකයක් ජනනය කළ හැකි අතර සහතිකයේ ආරම්භක දිනය 2010 සිට සඳහන් කරන්න. වඩාත්ම දුෂ්කර දෙය නම් සේවාදායකයන් සඳහා හිමිකාරිත්ව කාල පරතරයන් තීරණය කිරීමයි, මන්ද සත්කාරක සපයන්නන්ට පමණක් දින සහ කුලී කාල සීමාවන් ඇත. සේවාදායක හිමිකාරිත්වයේ කාලසීමාව තීරණය කිරීම සඳහා, අපි වරාය පරිලෝකනය කිරීමේ ප්‍රතිඵල භාවිතා කිරීමට සහ වරායන්හි ධාවන සේවාවල ඇඟිලි සලකුණු නිර්මාණය කිරීමට පටන් ගත්තෙමු. මෙම තොරතුරු භාවිතා කිරීමෙන්, සේවාදායකයේ හිමිකරු වෙනස් වූ විට අපට තරමක් නිවැරදිව පැවසිය හැකිය.

සම්බන්ධතා කිහිපයක්. පැහැදිලි කිරීම. වර්තමානයේ, නිශ්චිත විද්‍යුත් තැපැල් ලිපිනයක් අඩංගු වසම් ලැයිස්තුවක් නොමිලේ ලබා ගැනීම හෝ නිශ්චිත IP ලිපිනයක් සමඟ සම්බන්ධ වී ඇති සියලුම වසම් සොයා ගැනීම පවා ගැටළුවක් නොවේ. නමුත් ලුහුබැඳීමට අපහසු වීමට හැකි උපරිමය කරන හැකර්වරුන් සම්බන්ධයෙන් ගත් කල, අපට නව දේපල සොයා ගැනීමට සහ නව සම්බන්ධතා ගොඩනැගීමට අමතර උපක්‍රම අවශ්‍ය වේ.
සාම්ප්‍රදායික ආකාරයෙන් ලබා ගත නොහැකි දත්ත ලබා ගන්නේ කෙසේද යන්න පිළිබඳව අපි බොහෝ කාලයක් පර්යේෂණ කළෙමු. පැහැදිලි හේතූන් මත එය ක්‍රියා කරන ආකාරය අපට මෙහි විස්තර කළ නොහැක, නමුත් යම් යම් තත්වයන් යටතේ, හැකර්වරුන්, වසම් ලියාපදිංචි කිරීමේදී හෝ සේවාදායක කුලියට ගැනීමේදී සහ සැකසීමේදී, ඊමේල් ලිපින, හැකර් අන්වර්ථ සහ පසුපෙළ ලිපින සොයා ගැනීමට ඉඩ සලසන වැරදි සිදු කරයි. ඔබ වැඩිපුර සම්බන්ධතා උපුටා ගන්නා තරමට, ඔබට වඩාත් නිවැරදි ප්‍රස්ථාර ගොඩනගා ගත හැකිය.

අපගේ ප්‍රස්ථාරය ක්‍රියා කරන ආකාරය

ජාල ප්‍රස්තාරය භාවිතා කිරීම ආරම්භ කිරීමට, ඔබ විසින් වසම, IP ලිපිනය, විද්‍යුත් තැපෑල, හෝ SSL සහතිකයේ ඇඟිලි සලකුණ සෙවුම් තීරුවට ඇතුළු කළ යුතුය. විශ්ලේෂකයාට පාලනය කළ හැකි කොන්දේසි තුනක් ඇත: කාලය, පියවර ගැඹුර සහ නිෂ්කාශනය.

කාලය

සෙවූ මූලද්‍රව්‍යය අනිෂ්ට අරමුණු සඳහා භාවිත කළ වේලාව - දිනය හෝ කාල පරතරය. ඔබ මෙම පරාමිතිය සඳහන් නොකරන්නේ නම්, පද්ධතිය විසින්ම මෙම සම්පත සඳහා අවසාන හිමිකාර කාල සීමාව තීරණය කරනු ඇත. උදාහරණයක් ලෙස, ජූලි 11, Eset ප්රකාශයට පත් කරන ලදී වාර්තාව Buhtrap සයිබර් ඔත්තු බැලීම සඳහා දින 0 සූරාකෑම භාවිතා කරන ආකාරය ගැන. වාර්තාව අවසානයේ දර්ශක 6 ක් ඇත. ඒවායින් එකක්, ආරක්ෂිත-ටෙලිමෙට්‍රි[.]net, ජූලි 16 දින නැවත ලියාපදිංචි කරන ලදී. ඒ නිසා ජුලි 16න් පස්සේ ප්‍රස්තාරයක් හැදුවොත් අදාල නැති ප්‍රතිඵල ලැබෙනවා. නමුත් මෙම වසම මෙම දිනයට පෙර භාවිතා කර ඇති බව ඔබ සඳහන් කරන්නේ නම්, ප්‍රස්ථාරයට නව වසම් 126 ක්, Eset වාර්තාවේ ලැයිස්තුගත කර නොමැති IP ලිපින 69 ක් ඇතුළත් වේ:

• ukrfreshnews[.]com
• unian-search[.]com
• vesti-world[.]තොරතුරු
• runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]තොරතුරු
• rian-ua[.]net
• I.

ජාල දර්ශක වලට අමතරව, මෙම යටිතල ව්‍යුහය සමඟ සම්බන්ධතා ඇති අනිෂ්ට ගොනු සමඟ සම්බන්ධතා සහ Meterpreter සහ AZORult භාවිතා කළ බව අපට පවසන ටැග් අපි වහාම සොයා ගනිමු.

ලොකුම දෙය නම් ඔබට මෙම ප්‍රතිඵලය තත්පරයක් ඇතුළත ලැබෙන අතර ඔබට තවදුරටත් දත්ත විශ්ලේෂණය කිරීමට දින වැය කිරීමට අවශ්‍ය නොවේ. ඇත්ත වශයෙන්ම, මෙම ප්රවේශය සමහර විට විමර්ශන සඳහා කාලය සැලකිය යුතු ලෙස අඩු කරයි, එය බොහෝ විට තීරනාත්මක වේ.

ප්‍රස්ථාරය ගොඩනගනු ලබන පියවර ගණන හෝ පුනරාවර්තන ගැඹුර

පෙරනිමියෙන්, ගැඹුර 3 වේ. මෙයින් අදහස් කරන්නේ සෘජුවම සම්බන්ධ වන සියලුම මූලද්‍රව්‍ය අපේක්ෂිත මූලද්‍රව්‍යයෙන් සොයා ගන්නා බවයි, එවිට එක් එක් නව මූලද්‍රව්‍ය වලින් අනෙක් මූලද්‍රව්‍ය වෙත නව සම්බන්ධතා ගොඩනඟනු ඇති අතර අවසාන මූලද්‍රව්‍ය වලින් නව මූලද්‍රව්‍ය නිර්මාණය වනු ඇත. පියවර.

අපි APT සහ 0-දින සූරාකෑමට සම්බන්ධ නොවන උදාහරණයක් ගනිමු. මෑතකදී, හබ්රේ හි ගුප්තකේතන මුදල් සම්බන්ධ වංචා පිළිබඳ සිත්ගන්නා සිද්ධියක් විස්තර කරන ලදී. මයිනර් කාසි හුවමාරුවක් යැයි සිතන වෙබ් අඩවියක් සංග්‍රහ කිරීමට වංචාකරුවන් විසින් භාවිතා කරන themcx[.]co වසම වාර්තාවේ සඳහන් කරයි සහ ගමනාගමනය ආකර්ෂණය කර ගැනීමට දුරකථන සෙවීම[.]xyz.

වංචනික සම්පත් වෙත ගමනාගමනය ආකර්ෂණය කර ගැනීම සඳහා යෝජනා ක්‍රමයට තරමක් විශාල යටිතල පහසුකම් අවශ්‍ය බව විස්තරයෙන් පැහැදිලි වේ. අපි පියවර 4 කින් ප්‍රස්ථාරයක් ගොඩනඟා මෙම යටිතල පහසුකම් දෙස බැලීමට තීරණය කළෙමු. ප්‍රතිදානය වසම් 230ක් සහ IP ලිපින 39ක් සහිත ප්‍රස්ථාරයක් විය. මීළඟට, අපි වසම් වර්ග 2කට බෙදන්නෙමු: ගුප්තකේතන මුදල් සමඟ වැඩ කිරීම සඳහා වන සේවාවන්ට සමාන ඒවා සහ දුරකථන සත්‍යාපන සේවා හරහා ගමනාගමනය කිරීමට අදහස් කරන ඒවා:

cryptocurrency හා සම්බන්ධයි
දුරකථන සිදුරු සේවා සමඟ සම්බන්ධයි

කාසි පාලක[.]cc
ඇමතුම් වාර්තා[.]අඩවිය.

mcxwallet[.]co
දුරකථන වාර්තා[.]අවකාශය

btcnoise[.]com
fone-uncover[.]xyz

cryptominer[.]ඔරලෝසුව
අංකය-අනාවරණය[.]තොරතුරු

පිරිසිදු කිරීම

පෙරනිමියෙන්, "ප්‍රස්තාර පිරිසිදු කිරීම" විකල්පය සක්‍රීය කර ඇති අතර ප්‍රස්ථාරයෙන් අදාළ නොවන සියලුම අංග ඉවත් කරනු ලැබේ. මාර්ගය වන විට, එය පෙර පැවති සියලුම උදාහරණ වල භාවිතා කරන ලදී. මම ස්වභාවික ප්‍රශ්නයක් පුරෝකථනය කරමි: වැදගත් දෙයක් මකා නොදැමීමට අපට වග බලා ගත හැක්කේ කෙසේද? මම පිළිතුරු දෙන්නෙමි: අතින් ප්‍රස්ථාර තැනීමට කැමති විශ්ලේෂකයින් සඳහා, ස්වයංක්‍රීය පිරිසිදු කිරීම අක්‍රීය කළ හැකි අතර පියවර ගණන තෝරා ගත හැකිය = 1. ඊළඟට, විශ්ලේෂකයාට ඔහුට අවශ්‍ය මූලද්‍රව්‍ය වලින් ප්‍රස්ථාරය සම්පූර්ණ කර මූලද්‍රව්‍ය ඉවත් කිරීමට හැකි වේ. කාර්යයට අදාළ නොවන ප්‍රස්තාරය.

දැනටමත් ප්‍රස්ථාරයේ, whois, DNS හි වෙනස්කම් වල ඉතිහාසය මෙන්ම ඒවා මත ක්‍රියාත්මක වන විවෘත වරායන් සහ සේවාවන් විශ්ලේෂකයාට ලබා ගත හැකිය.

මූල්ය තතුබෑම්

විවිධ කලාපවල විවිධ බැංකුවල ගනුදෙනුකරුවන්ට එරෙහිව වසර ගණනාවක් තතුබෑම් ප්‍රහාර එල්ල කළ එක් APT කණ්ඩායමක ක්‍රියාකාරකම් අපි විමර්ශනය කළෙමු. මෙම සමූහයේ ලක්ෂණයක් වූයේ සැබෑ බැංකු වල නම් වලට බෙහෙවින් සමාන වසම් ලියාපදිංචි කිරීම වන අතර, බොහෝ තතුබෑම් අඩවි වල එකම සැලසුමක් තිබුණි, එකම වෙනස වන්නේ බැංකු වල නම් සහ ඒවායේ ලාංඡන වල පමණි.

මෙම අවස්ථාවෙහිදී, ස්වයංක්රීය ප්රස්ථාර විශ්ලේෂණය අපට බොහෝ උපකාර විය. ඔවුන්ගේ වසම් වලින් එකක් - lloydsbnk-uk[.]com ගෙන, තත්පර කිහිපයකින් අපි පියවර 3 ක ගැඹුරකින් යුත් ප්‍රස්ථාරයක් ගොඩනඟා ගත්තෙමු, එය 250 සිට මෙම කණ්ඩායම විසින් භාවිතා කර ඇති සහ දිගටම භාවිතා කරන අනිෂ්ට වසම් 2015 කට වඩා හඳුනාගෙන ඇත. . මෙම වසම් වලින් සමහරක් දැනටමත් බැංකු විසින් මිලදී ගෙන ඇත, නමුත් ඓතිහාසික වාර්තා පෙන්නුම් කරන්නේ ඒවා ප්‍රහාරකයන්ට කලින් ලියාපදිංචි කර ඇති බවයි.

පැහැදිලිකම සඳහා, රූපය පියවර 2 ක ගැඹුරකින් යුත් ප්රස්ථාරයක් පෙන්වයි.

දැනටමත් 2019 දී, ප්‍රහාරකයින් ඔවුන්ගේ උපක්‍රම තරමක් වෙනස් කර වෙබ් තතුබෑම් සත්කාරකත්වය සඳහා බැංකු වසම් පමණක් නොව, තතුබෑම් ඊමේල් යැවීම සඳහා විවිධ උපදේශන සමාගම්වල වසම් ද ලියාපදිංචි කිරීමට පටන් ගෙන ඇති බව සැලකිය යුතු කරුණකි. උදාහරණයක් ලෙස, වසම් swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.

කොබෝල්ට් කල්ලිය

2018 දෙසැම්බරයේදී, බැංකු ඉලක්ක කරගත් ප්‍රහාර පිළිබඳ විශේෂඥතාවක් ඇති කොබෝල්ට් හැකර් කණ්ඩායම, කසකස්තානයේ ජාතික බැංකුව වෙනුවෙන් තැපැල් ව්‍යාපාරයක් යවා ඇත.

ලිපිවල hXXps://nationalbank.bz/Doc/Prikaz.doc වෙත සබැඳි අඩංගු විය. බාගත කළ ලේඛනයේ Powershell දියත් කළ මැක්‍රෝ එකක් අඩංගු වූ අතර, එය %Temp%einmrmdmy.exe හි hXXp://wateroilclub.com/file/dwm.exe වෙතින් ගොනුව පූරණය කර ක්‍රියාත්මක කිරීමට උත්සාහ කරයි. %Temp%einmrmdmy.exe හෙවත් dwm.exe ගොනුව hXXp://admvmsopp.com/rilruietguadvtoefmuy සේවාදායකය සමඟ අන්තර් ක්‍රියා කිරීමට වින්‍යාස කර ඇති CobInt ස්ටේජරයකි.

මෙම තතුබෑම් ඊමේල් ලබා ගැනීමට සහ අනිෂ්ට ගොනු පිළිබඳ සම්පූර්ණ විශ්ලේෂණයක් කිරීමට නොහැකි වීම ගැන සිතන්න. අනිෂ්ට වසම් ජාතික බැංකුව[.]bz සඳහා වන ප්‍රස්ථාරය වහාම වෙනත් අනිෂ්ට වසම් සමඟ සම්බන්ධතා පෙන්වයි, එය කණ්ඩායමකට ආරෝපණය කරයි සහ ප්‍රහාරයේදී භාවිතා කළේ කුමන ගොනුද යන්න පෙන්වයි.

අපි මේ ප්‍රස්ථාරයෙන් IP address 46.173.219[.]152 අරගෙන ඒකෙන් ප්‍රස්ථාරයක් එක pass එකකින් හදලා Cleaning off කරමු. එයට සම්බන්ධ වසම් 40ක් ඇත, උදාහරණයක් ලෙස, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

වසම් නාම අනුව විනිශ්චය කිරීම, ඒවා වංචනික යෝජනා ක්‍රමවල භාවිතා කරන බව පෙනේ, නමුත් පිරිසිදු කිරීමේ ඇල්ගොරිතම ඔවුන් මෙම ප්‍රහාරයට සම්බන්ධ නොවන බව වටහා ගත් අතර ඒවා ප්‍රස්ථාරයට නොතැබූ අතර එමඟින් විශ්ලේෂණය සහ ආරෝපණය කිරීමේ ක්‍රියාවලිය බෙහෙවින් සරල කරයි.

ඔබ ජාතික බැංකුව[.]bz භාවිතයෙන් ප්‍රස්ථාරය නැවත ගොඩනඟන්නේ නම්, නමුත් ප්‍රස්ථාර පිරිසිදු කිරීමේ ඇල්ගොරිතම අක්‍රිය කරන්නේ නම්, එහි මූලද්‍රව්‍ය 500කට වඩා අඩංගු වනු ඇත, ඒවායින් බොහොමයක් කොබෝල්ට් කණ්ඩායමට හෝ ඔවුන්ගේ ප්‍රහාරවලට කිසිදු සම්බන්ධයක් නැත. එවැනි ප්‍රස්ථාරයක් පෙනෙන්නේ කෙසේද යන්න පිළිබඳ උදාහරණයක් පහත දැක්වේ:

නිගමනය

වසර ගණනාවක සියුම් සුසර කිරීම, සැබෑ විමර්ශනවල පරීක්ෂණ, තර්ජන පර්යේෂණ සහ ප්‍රහාරකයින් සඳහා දඩයම් කිරීම, අපි අද්විතීය මෙවලමක් නිර්මාණය කිරීමට පමණක් නොව, සමාගම තුළ සිටින ප්‍රවීණයන්ගේ ආකල්පය වෙනස් කිරීමට ද සමත් විය. මුලදී, තාක්ෂණික විශේෂඥයින්ට ප්රස්ථාර ඉදිකිරීම් ක්රියාවලිය සම්පූර්ණ පාලනය අවශ්ය වේ. වසර ගණනාවක පළපුරුද්ද ඇති පුද්ගලයෙකුට වඩා ස්වයංක්‍රීය ප්‍රස්ථාර ඉදිකිරීම මෙය කළ හැකි බව ඔවුන්ට ඒත්තු ගැන්වීම අතිශයින් දුෂ්කර විය. සෑම දෙයක්ම තීරණය කරන ලද්දේ කාලය සහ ප්‍රස්ථාරයෙන් නිපදවන ලද ප්‍රතිඵලවල "අත්පොත" බහුවිධ චෙක්පත් මගිනි. දැන් අපගේ විශේෂඥයින් පද්ධතිය විශ්වාස කරනවා පමණක් නොව, ඔවුන්ගේ දෛනික වැඩ කටයුතුවලදී එය ලබා ගන්නා ප්රතිඵල භාවිතා කරයි. මෙම තාක්ෂණය අපගේ සෑම පද්ධතියක් තුළම ක්‍රියා කරන අතර ඕනෑම ආකාරයක තර්ජන වඩාත් හොඳින් හඳුනා ගැනීමට අපට ඉඩ සලසයි. අතින් ප්‍රස්ථාර විශ්ලේෂණය සඳහා අතුරු මුහුණත සියලුම කණ්ඩායම්-IB නිෂ්පාදන තුළට ගොඩනගා ඇති අතර සයිබර් අපරාධ දඩයම් කිරීමේ හැකියාවන් සැලකිය යුතු ලෙස පුළුල් කරයි. අපගේ ගනුදෙනුකරුවන්ගේ විශ්ලේෂක සමාලෝචන මගින් මෙය සනාථ වේ. තවද, අපි, දත්ත සමඟ ප්‍රස්තාරය පොහොසත් කිරීම දිගටම කරගෙන යන අතර වඩාත් නිවැරදි ජාල ප්‍රස්ථාරයක් නිර්මාණය කිරීම සඳහා කෘතිම බුද්ධිය භාවිතයෙන් නව ඇල්ගොරිතම මත වැඩ කරන්නෙමු.

මූලාශ්රය: www.habr.com