Strokovnjaki Group-IB pri preiskovanju primerov, povezanih z lažnim predstavljanjem, botneti, goljufivimi transakcijami in kriminalnimi hekerskimi skupinami, že vrsto let uporabljajo analizo grafov za prepoznavanje različnih vrst povezav. Različni primeri imajo svoje nabore podatkov, lastne algoritme za prepoznavanje povezav in vmesnike, prilagojene specifičnim nalogam. Vsa ta orodja so bila interno razvita v Group-IB in so bila na voljo le našim zaposlenim.

Grafična analiza omrežne infrastrukture (mrežni graf) je postalo prvo interno orodje, ki smo ga vgradili v vse javne izdelke podjetja. Pred izdelavo mrežnega grafa smo analizirali veliko podobnih dogodkov na trgu in nismo našli niti enega izdelka, ki bi zadovoljil naše potrebe. V tem članku bomo govorili o tem, kako smo ustvarili mrežni graf, kako ga uporabljamo in na kakšne težave smo naleteli.

Dmitrij Volkov, CTO Group-IB in vodja kibernetskega obveščanja

Kaj lahko naredi mrežni graf Group-IB?

Preiskave

Od ustanovitve Group-IB leta 2003 do danes je bila identifikacija, razglasitev in privedba kibernetskih kriminalcev pred sodišče glavna prednostna naloga našega dela. Nobena preiskava kibernetskega napada ni bila popolna brez analize omrežne infrastrukture napadalcev. Na samem začetku naše poti je bilo precej mukotrpno »ročno delo« iskanje odnosov, ki bi lahko pomagali pri identifikaciji kriminalcev: podatki o imenih domen, naslovih IP, digitalnih prstnih odtisih strežnikov itd.

Večina napadalcev poskuša v omrežju delovati čim bolj anonimno. Vendar kot vsi ljudje delajo napake. Glavni cilj takšne analize je najti »bele« ali »sive« zgodovinske projekte napadalcev, ki imajo presečišča z zlonamerno infrastrukturo, uporabljeno v trenutnem incidentu, ki ga preiskujemo. Če je mogoče odkriti "bele projekte", potem iskanje napadalca praviloma postane nepomembna naloga. V primeru "sivih" iskanje zahteva več časa in truda, saj njihovi lastniki poskušajo anonimizirati ali skriti podatke o registraciji, vendar so možnosti precej visoke. Napadalci praviloma na začetku svojih kriminalnih dejanj manj skrbijo za lastno varnost in delajo več napak, zato globlje kot se lahko poglobimo v zgodbo, večje so možnosti za uspešno preiskavo. Zato je mrežni graf z dobro zgodovino izjemno pomemben element takšne preiskave. Preprosto povedano, globlje zgodovinske podatke ima podjetje, boljši je njegov graf. Recimo, da lahko 5-letna zgodovina pomaga rešiti, pogojno, 1-2 od 10 zločinov, 15-letna zgodovina pa daje možnost razrešiti vseh deset.

Lažno predstavljanje in odkrivanje goljufij

Vsakič, ko prejmemo sumljivo povezavo do phishing, goljufivega ali piratskega vira, samodejno zgradimo graf povezanih omrežnih virov in preverimo vse najdene gostitelje za podobno vsebino. To vam omogoča, da poiščete tako stara spletna mesta z lažnim predstavljanjem, ki so bila aktivna, vendar neznana, kot tudi popolnoma nova, ki so pripravljena na prihodnje napade, vendar se še ne uporabljajo. Osnovni primer, ki se pojavlja precej pogosto: na strežniku s samo 5 mesti smo našli lažno spletno mesto. S preverjanjem vsakega od njih najdemo lažno vsebino na drugih spletnih mestih, kar pomeni, da lahko blokiramo 5 namesto 1.

Poiščite zaledja

Ta postopek je potreben za določitev, kje se zlonamerni strežnik dejansko nahaja.
99 % prodajaln kartic, hekerskih forumov, številnih virov lažnega predstavljanja in drugih zlonamernih strežnikov je skritih za lastnimi proxy strežniki in proxyji zakonitih storitev, na primer Cloudflare. Poznavanje pravega ozadja je zelo pomembno za preiskave: ponudnik gostovanja, pri katerem je mogoče zaseči strežnik, postane znan, in postane mogoče graditi povezave z drugimi zlonamernimi projekti.

Imate na primer lažno spletno mesto za zbiranje podatkov o bančni kartici, ki se razreši na naslov IP 11.11.11.11, in naslov prodajalne kartic, ki se razreši na naslov IP 22.22.22.22. Med analizo se lahko izkaže, da imata spletno mesto z lažnim predstavljanjem in prodajalna kartic skupen zaledni naslov IP, na primer 33.33.33.33. To znanje nam omogoča vzpostavitev povezave med lažnim predstavljanjem in prodajalno kartic, kjer se lahko prodajajo podatki o bančni kartici.

Dogodkovna korelacija

Ko imate dva različna sprožilca (recimo na IDS) z različno zlonamerno programsko opremo in različnimi strežniki za nadzor napada, ju boste obravnavali kot dva neodvisna dogodka. Če pa obstaja dobra povezava med zlonamernimi infrastrukturami, potem postane očitno, da ne gre za različne napade, temveč za stopnje enega, bolj zapletenega večstopenjskega napada. In če je eden od dogodkov že pripisan kateri koli skupini napadalcev, je lahko tudi drugi pripisan isti skupini. Seveda je postopek dodeljevanja veliko bolj zapleten, zato ga obravnavajte kot preprost primer.

Obogatitev indikatorja

Temu ne bomo posvečali veliko pozornosti, saj je to najpogostejši scenarij za uporabo grafov v kibernetski varnosti: podate en indikator kot vhod, kot izhod pa dobite niz povezanih indikatorjev.

Prepoznavanje vzorcev

Prepoznavanje vzorcev je bistveno za učinkovit lov. Grafi vam omogočajo ne le iskanje povezanih elementov, ampak tudi prepoznavanje skupnih lastnosti, ki so značilne za določeno skupino hekerjev. Poznavanje takšnih edinstvenih značilnosti vam omogoča, da prepoznate napadalčevo infrastrukturo celo v fazi priprave in brez dokazov, ki potrjujejo napad, kot so lažna e-poštna sporočila ali zlonamerna programska oprema.

Zakaj smo ustvarili lasten mrežni graf?

Spet smo si ogledali rešitve različnih prodajalcev, preden smo prišli do zaključka, da moramo razviti lastno orodje, ki bi lahko naredilo nekaj, česar noben obstoječi izdelek ne bi mogel. Nastajala je več let, med katerimi smo jo večkrat popolnoma spremenili. Toda kljub dolgemu obdobju razvoja še nismo našli niti enega analoga, ki bi zadovoljil naše zahteve. Z lastnim produktom nam je na koncu uspelo rešiti skoraj vse težave, ki smo jih odkrili v obstoječih omrežnih grafih. Spodaj bomo te težave podrobno obravnavali:

problem
odločitev

Pomanjkanje ponudnika z različnimi zbirkami podatkov: domene, pasivni DNS, pasivni SSL, zapisi DNS, odprta vrata, storitve, ki se izvajajo na vratih, datoteke v interakciji z imeni domen in naslovi IP. Pojasnilo. Običajno ponudniki zagotavljajo ločene vrste podatkov in za popolno sliko morate kupiti naročnine od vseh. Kljub temu ni vedno mogoče pridobiti vseh podatkov: nekateri ponudniki pasivnega SSL zagotavljajo le podatke o potrdilih, ki so jih izdali zaupanja vredni CA, njihova pokritost s samopodpisanimi potrdili pa je izjemno slaba. Drugi prav tako zagotavljajo podatke s samopodpisanimi potrdili, vendar jih zbirajo samo iz standardnih vrat.
Vse omenjene zbirke smo zbrali sami. Na primer, za zbiranje podatkov o potrdilih SSL smo napisali lastno storitev, ki jih zbira tako od zaupanja vrednih CA-jev kot s skeniranjem celotnega prostora IPv4. Certifikati niso bili zbrani le iz IP-ja, ampak tudi iz vseh domen in poddomen iz naše baze: če imate domeno example.com in njeno poddomeno www.example.com in vsi se razrešijo na IP 1.1.1.1, ko poskušate pridobiti potrdilo SSL iz vrat 443 na IP, domeni in njeni poddomeni, lahko dobite tri različne rezultate. Za zbiranje podatkov o odprtih vratih in delujočih storitvah smo morali ustvariti lasten sistem porazdeljenega skeniranja, saj so imele druge storitve naslove IP svojih strežnikov za skeniranje pogosto na »črnih listah«. Tudi naši strežniki za skeniranje končajo na črnih listah, vendar je rezultat zaznavanja storitev, ki jih potrebujemo, višji kot pri tistih, ki preprosto skenirajo čim več vrat in prodajo dostop do teh podatkov.

Pomanjkanje dostopa do celotne baze zgodovinskih zapisov. Pojasnilo. Vsak normalen dobavitelj ima dobro zbrano zgodovino, vendar iz naravnih razlogov mi kot naročnik nismo mogli dobiti dostopa do vseh zgodovinskih podatkov. Tisti. Dobite lahko celotno zgodovino za posamezen zapis, na primer glede na domeno ali naslov IP, vendar ne morete videti zgodovine vsega - in brez tega ne morete videti celotne slike.
Da bi zbrali čim več zgodovinskih zapisov o domenah, smo kupili različne baze podatkov, razčlenili veliko odprtih virov, ki so imeli to zgodovino (še dobro, da jih je bilo veliko) in se dogovarjali z registratorji domen. Vse posodobitve lastnih zbirk seveda hranimo s celotno zgodovino revizij.

Vse obstoječe rešitve vam omogočajo ročno izdelavo grafa. Pojasnilo. Recimo, da ste kupili veliko naročnin pri vseh možnih ponudnikih podatkov (običajno imenovanih "obogetitelji"). Ko morate zgraditi graf, z »rokami« daste ukaz za gradnjo iz želenega povezovalnega elementa, nato med prikazanimi elementi izberete potrebne in daste ukaz za dokončanje povezav iz njih itd. V tem primeru je odgovornost za to, kako dobro bo sestavljen graf, v celoti na osebi.
Naredili smo avtomatsko gradnjo grafov. Tisti. če morate zgraditi graf, se povezave iz prvega elementa zgradijo samodejno, nato pa tudi iz vseh naslednjih. Specialist navede samo globino, na kateri je treba zgraditi graf. Postopek samodejnega izpolnjevanja grafov je preprost, vendar ga drugi ponudniki ne implementirajo, ker proizvede ogromno nepomembnih rezultatov, pa tudi to pomanjkljivost smo morali upoštevati (glej spodaj).

Številni nepomembni rezultati so problem vseh grafov omrežnih elementov. Razlaga. Na primer, »slaba domena« (sodelovala v napadu) je povezana s strežnikom, ki ima v zadnjih 10 letih povezanih 500 drugih domen. Pri ročnem dodajanju ali samodejni izdelavi grafa bi se moralo na grafu pojaviti tudi vseh teh 500 domen, čeprav niso povezane z napadom. Ali pa na primer preverite indikator IP iz varnostnega poročila prodajalca. Običajno so takšna poročila objavljena z veliko zamudo in pogosto trajajo eno leto ali več. Najverjetneje je v času, ko berete poročilo, strežnik s tem naslovom IP že najet drugim ljudem z drugimi povezavami in sestavljanje grafa bo spet povzročilo nepomembne rezultate.
Sistem smo usposobili za prepoznavanje nepomembnih elementov z uporabo iste logike, kot so to ročno počeli naši strokovnjaki. Na primer, preverjate slabo domeno example.com, ki se zdaj razreši na IP 11.11.11.11, pred mesecem dni pa na IP 22.22.22.22. Poleg domene example.com je IP 11.11.11.11 povezan tudi z example.ru, IP 22.22.22.22 pa je povezan s 25 tisoč drugimi domenami. Sistem, tako kot oseba, razume, da je 11.11.11.11 najverjetneje namenski strežnik, in ker je domena example.ru po črkovanju podobna example.com, potem sta z veliko verjetnostjo povezana in bi morala biti na graf; vendar IP 22.22.22.22 pripada deljenemu gostovanju, zato vseh njegovih domen ni treba vključiti v graf, razen če obstajajo druge povezave, ki kažejo, da je treba vključiti tudi eno od teh 25 tisoč domen (na primer example.net) . Preden sistem razume, da je treba povezave prekiniti in nekaterih elementov ne premakniti na graf, upošteva številne lastnosti elementov in skupin, v katere so ti elementi združeni, ter moč trenutnih povezav. Na primer, če imamo na grafu majhno gručo (50 elementov), ​​ki vključuje slabo domeno, in drugo veliko gručo (5 tisoč elementov) in sta oba grozda povezana s povezavo (črto) z zelo nizko močjo (težo), , potem bo taka povezava prekinjena in elementi iz velike gruče bodo odstranjeni. Če pa obstaja veliko povezav med majhnimi in velikimi grozdi in njihova moč postopoma narašča, potem v tem primeru povezava ne bo prekinjena in potrebni elementi iz obeh grozdov bodo ostali na grafu.

Interval lastništva strežnika in domene se ne upošteva. Pojasnilo. »Slabe domene« bodo prej ali slej potekle in bodo ponovno kupljene za zlonamerne ali zakonite namene. Tudi neprebojne gostovalne strežnike oddajajo različnim hekerjem, zato je nujno poznati in upoštevati interval, ko je bila določena domena/strežnik pod nadzorom enega lastnika. Pogosto naletimo na situacijo, ko se strežnik z IP 11.11.11.11 zdaj uporablja kot C&C za bančnega bota, pred 2 mesecema pa ga je nadzoroval Ransomware. Če vzpostavimo povezavo brez upoštevanja lastniških intervalov, bo videti, kot da obstaja povezava med lastniki bančnega botneta in izsiljevalsko programsko opremo, čeprav je v resnici ni. Pri našem delu je takšna napaka kritična.
Sistem smo naučili določati lastniške intervale. Za domene je to razmeroma preprosto, saj whois pogosto vsebuje datume začetka in poteka registracije, in ko je na voljo popolna zgodovina sprememb whois, je enostavno določiti intervale. Ko domeni še ni potekla registracija, upravljanje pa je bilo preneseno na druge lastnike, ji je mogoče tudi slediti. Pri SSL certifikatih tega problema ni, ker se izdajo enkrat in se ne podaljšujejo ali prenašajo. Toda pri samopodpisanih certifikatih ne morete zaupati datumom, navedenim v obdobju veljavnosti certifikata, saj lahko že danes ustvarite SSL certifikat in določite začetni datum certifikata od leta 2010. Najtežje je določiti lastniške intervale za strežnike, saj imajo samo ponudniki gostovanja datume in obdobja najema. Za določitev obdobja lastništva strežnika smo začeli uporabljati rezultate skeniranja vrat in ustvarjanja prstnih odtisov delujočih storitev na vratih. S temi informacijami lahko dokaj natančno rečemo, kdaj se je spremenil lastnik strežnika.

Malo povezav. Razlaga. Dandanes niti ni problem dobiti brezplačnega seznama domen, katerih whois vsebuje določen e-poštni naslov, ali poiskati vse domene, ki so bile povezane z določenim naslovom IP. Ko pa gre za hekerje, ki se po svojih najboljših močeh trudijo, da bi jih bilo težko izslediti, potrebujemo dodatne trike za iskanje novih lastnosti in vzpostavitev novih povezav.
Veliko časa smo porabili za raziskovanje, kako bi lahko izluščili podatke, ki niso bili na voljo na običajen način. Tukaj ne moremo opisati, kako deluje iz očitnih razlogov, vendar v določenih okoliščinah hekerji pri registraciji domen ali najemu in postavitvi strežnikov naredijo napake, ki jim omogočajo, da odkrijejo e-poštne naslove, hekerske vzdevke in zaledne naslove. Več povezav kot izvlečete, natančnejše grafe lahko zgradite.

Kako deluje naš graf

Če želite začeti uporabljati graf omrežja, morate v iskalno vrstico vnesti domeno, naslov IP, e-pošto ali prstni odtis potrdila SSL. Obstajajo trije pogoji, ki jih lahko nadzoruje analitik: čas, globina koraka in čiščenje.

Čas

Čas – datum ali interval, ko je bil iskani element uporabljen v zlonamerne namene. Če tega parametra ne podate, bo sistem sam določil zadnji interval lastništva za ta vir. Na primer, 11. julija je Eset objavil poročilo o tem, kako Buhtrap uporablja 0-day exploit za kibernetsko vohunjenje. Na koncu poročila je 6 indikatorjev. Eden od njih, secure-telemetry[.]net, je bil ponovno registriran 16. julija. Če torej zgradite graf po 16. juliju, boste dobili nepomembne rezultate. Če pa navedete, da je bila ta domena uporabljena pred tem datumom, potem graf vključuje 126 novih domen, 69 naslovov IP, ki niso navedeni v poročilu Eset:

• ukrfreshnews[.]com
• unian-search[.]com
• vesti-svet[.]info
• runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]info
• rian-ua[.]net
• itd

Poleg omrežnih indikatorjev takoj najdemo povezave z zlonamernimi datotekami, ki so imele povezave s to infrastrukturo in oznake, ki povedo, da sta bila uporabljena Meterpreter in AZORult.

Odlična stvar je, da ta rezultat dobite v eni sekundi in vam ni več treba porabiti dni za analizo podatkov. Seveda se s takšnim pristopom včasih precej skrajša čas preiskav, ki je pogosto kritičen.

Število korakov ali globina rekurzije, s katero bo zgrajen graf

Privzeto je globina 3. To pomeni, da bodo vsi neposredno povezani elementi najdeni iz želenega elementa, nato bodo nove povezave zgrajene iz vsakega novega elementa z drugimi elementi, novi elementi pa bodo ustvarjeni iz novih elementov iz zadnjega korak.

Vzemimo primer, ki ni povezan z APT in 0-dnevnimi podvigi. Pred kratkim je bil na Habréju opisan zanimiv primer goljufije v zvezi s kriptovalutami. Poročilo omenja domeno themcx[.]co, ki jo prevaranti uporabljajo za gostovanje spletnega mesta, ki naj bi bilo menjalnica kovancev rudarjev, in iskanje po telefonu[.]xyz za privabljanje prometa.

Iz opisa je jasno, da shema zahteva precej veliko infrastrukturo za privabljanje prometa v goljufive vire. Odločili smo se, da bomo to infrastrukturo pogledali tako, da smo zgradili graf v 4 korakih. Rezultat je bil graf z 230 domenami in 39 naslovi IP. Nato razdelimo domene v 2 kategoriji: tiste, ki so podobne storitvam za delo s kriptovalutami, in tiste, ki so namenjene usmerjanju prometa prek storitev telefonskega preverjanja:

Povezano s kriptovaluto
Povezano s storitvami prebijanja telefonov

kovanec[.]cc
mesto z evidenco klicateljev[.].

mcxwallet[.]co
telefonski zapisi[.]prostor

btcnoise[.]com
fone-odkriti[.]xyz

kriptominer[.]gledati
številka-razkriti[.]info

Čiščenje

Privzeto je omogočena možnost »Čiščenje grafa« in vsi nepomembni elementi bodo odstranjeni iz grafa. Mimogrede, uporabljen je bil v vseh prejšnjih primerih. Predvidevam naravno vprašanje: kako lahko zagotovimo, da se nekaj pomembnega ne izbriše? Odgovoril bom: za analitike, ki radi ročno gradijo grafe, je mogoče onemogočiti samodejno čiščenje in izbrati število korakov = 1. Nato bo analitik lahko dokončal graf iz elementov, ki jih potrebuje, in odstranil elemente iz grafa, ki niso pomembni za nalogo.

Že na grafu je analitiku na voljo zgodovina sprememb v whois, DNS, pa tudi odprtih vratih in storitvah, ki se izvajajo na njih.

Finančno lažno predstavljanje

Raziskali smo dejavnosti ene skupine APT, ki je več let izvajala phishing napade na stranke različnih bank v različnih regijah. Značilnost te skupine je bila registracija domen, zelo podobnih imenom pravih bank, večina phishing strani pa je imela enak dizajn, razlike so bile le v imenih bank in njihovih logotipih.

V tem primeru nam je zelo pomagala avtomatizirana analiza grafov. Če vzamemo eno od njihovih domen - lloydsbnk-uk[.]com, smo v nekaj sekundah zgradili graf z globino 3 korakov, ki je identificiral več kot 250 zlonamernih domen, ki jih je ta skupina uporabljala od leta 2015 in jih še naprej uporablja. . Nekatere od teh domen so banke že kupile, vendar zgodovinski zapisi kažejo, da so bile predhodno registrirane na napadalce.

Zaradi jasnosti je na sliki prikazan graf z globino 2 koraka.

Omeniti velja, da so napadalci že leta 2019 nekoliko spremenili svojo taktiko in začeli registrirati ne le domene bank za gostovanje spletnega lažnega predstavljanja, temveč tudi domene različnih svetovalnih podjetij za pošiljanje lažnih elektronskih sporočil. Na primer domene swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.

Kobaltova tolpa

Decembra 2018 je hekerska skupina Cobalt, specializirana za ciljane napade na banke, poslala poštno kampanjo v imenu Narodne banke Kazahstana.

Pisma so vsebovala povezave do hXXps://nationalbank.bz/Doc/Prikaz.doc. Preneseni dokument je vseboval makro, ki je zagnal Powershell, ki bi poskušal naložiti in izvesti datoteko iz hXXp://wateroilclub.com/file/dwm.exe v %Temp%einmrmdmy.exe. Datoteka %Temp%einmrmdmy.exe ali dwm.exe je spremljevalec CobInt, konfiguriran za interakcijo s strežnikom hXXp://admvmsopp.com/rilruietguadvtoefmuy.

Predstavljajte si, da ne morete prejemati teh lažnih e-poštnih sporočil in opraviti popolne analize zlonamernih datotek. Graf za zlonamerno domeno nationalbank[.]bz takoj prikaže povezave z drugimi zlonamernimi domenami, jo pripiše skupini in prikaže, katere datoteke so bile uporabljene v napadu.

Vzemimo naslov IP 46.173.219[.]152 iz tega grafa in iz njega zgradimo graf v enem prehodu in izklopimo čiščenje. Z njim je povezanih 40 domen, na primer bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

Sodeč po imenih domen se zdi, da se uporabljajo v goljufivih shemah, vendar je čistilni algoritem ugotovil, da niso povezane s tem napadom, in jih ni uvrstil na graf, kar močno poenostavi postopek analize in pripisovanja.

Če znova zgradite graf z uporabo nationalbank[.]bz, vendar onemogočite algoritem za čiščenje grafa, bo vseboval več kot 500 elementov, od katerih večina nima nobene zveze s skupino Cobalt ali njihovimi napadi. Spodaj je podan primer, kako izgleda tak graf:

Zaključek

Po nekaj letih natančnega prilagajanja, testiranja v resničnih preiskavah, raziskovanja groženj in lova na napadalce nam je uspelo ne le ustvariti edinstveno orodje, ampak tudi spremeniti odnos strokovnjakov v podjetju do njega. Sprva tehnični strokovnjaki želijo popoln nadzor nad procesom gradnje grafa. Prepričati jih, da lahko avtomatska konstrukcija grafov to naredi bolje kot oseba z dolgoletnimi izkušnjami, je bilo izjemno težko. O vsem je odločal čas in večkratna »ročna« preverjanja rezultatov tega, kar je graf dal. Zdaj naši strokovnjaki sistemu ne le zaupajo, ampak rezultate, ki jih pridobi, uporabljajo tudi pri vsakodnevnem delu. Ta tehnologija deluje znotraj vsakega od naših sistemov in nam omogoča boljše prepoznavanje groženj katere koli vrste. Vmesnik za ročno analizo grafov je vgrajen v vse izdelke Group-IB in znatno širi zmogljivosti za lov na kibernetske kriminalitete. To potrjujejo ocene analitikov naših strank. Mi pa še naprej bogatimo graf s podatki in delamo na novih algoritmih z uporabo umetne inteligence za ustvarjanje najbolj natančnega mrežnega grafa.

Vir: www.habr.com