Baaritaanka kiisaska la xiriira phishing, botnets, macaamil ganacsiyo been abuur ah iyo kooxaha burcadda dambiyada, Khubarada Kooxda-IB ayaa isticmaalayey falanqaynta garaafyada sanado badan si ay u aqoonsadaan noocyada kala duwan ee isku xirnaanta. Kiisaska kala duwani waxay leeyihiin xog-ururin u gaar ah, algoorithms u gaar ah oo lagu aqoonsado isku-xidhka, iyo is-dhexgalyada loogu talagalay hawlo gaar ah. Dhammaan qalabkan waxaa gudaha soo saaray kooxda-IB waxaana heli kara shaqaalahayaga oo keliya.

Falanqaynta garaafka ee kaabayaasha shabakadda (garaafka shabakada) ayaa noqday qalabkii ugu horeeyey ee gudaha ah ee aanu ku dhisnay dhamaan waxsoosaarka guud ee shirkada. Kahor intaanan abuurin garaafka shabakadayada, waxaan falanqeynnay horumarro badan oo la mid ah suuqa mana aan helin hal badeecad oo qancisay baahideena. Maqaalkan waxaan ka hadli doonaa sida aan u abuurnay garaafka shabakada, sida aan u isticmaalno iyo dhibaatooyinka aan la kulannay.

Dmitry Volkov. Kooxda CTO-IB iyo madaxa sirdoonka internetka

Muxuu samayn karaa garaafka shabakada Kooxda-IB?

Baaritaanada

Tan iyo markii la aasaasay kooxda-IB sannadkii 2003 ilaa hadda, aqoonsiga, ka-hortagga iyo keenista dembiilayaasha internetka waxay ahayd mudnaanta koowaad ee shaqadeenna. Ma jiro hal baaritaan oo cyberattack ah oo dhameystiran iyada oo aan la falanqeyn kaabayaasha shabakadda ee weeraryahannada. Bilawgii safarkayaga, waxay ahayd "shaqo gacanta ah" oo aad u adag in la raadiyo cilaaqaadka ka caawin kara aqoonsiga dambiilayaasha: macluumaadka ku saabsan magacyada domainka, ciwaanada IP-ga, faraha dhijitaalka ah ee server-yada, iwm.

Inta badan weeraryahanadu waxay isku dayaan inay si qarsoodi ah ugu dhaqmaan shabakada sida ugu macquulsan. Si kastaba ha ahaatee, sida dadka oo dhan, waxay sameeyaan khaladaad. Hadafka ugu weyn ee falanqaynta noocan oo kale ah waa in la helo "caddaan" ama "cawlan" mashaariicda taariikhiga ah ee weeraryahannada kuwaas oo leh isgoysyada kaabayaasha xunxun ee loo isticmaalo dhacdada hadda jirta ee aan baarayno. Haddii ay suurtagal tahay in la ogaado "mashruucyada cadaanka ah", ka dibna helitaanka weerarka, sida caadiga ah, waxay noqotaa hawl yar. Marka laga hadlayo kuwa "cawlan", raadinta waxay qaadataa waqti iyo dadaal dheeri ah, maadaama milkiilayaashoodu isku dayaan inay qariyaan ama qariyaan xogta diiwaangelinta, laakiin fursadaha ayaa weli ah mid aad u sarreeya. Sida caadiga ah, bilawga falalkooda dambiyada, weerarradu waxay bixiyaan feejignaan yar oo ammaankooda ah waxayna sameeyaan khaladaad badan, sidaas darteed si qoto dheer oo aan u dhexgelin karno sheekada, waxay sare u qaadeysaa fursadaha baaritaan guul leh. Taasi waa sababta garaaf shabakad leh taariikh wanaagsan ay u tahay shay aad muhiim u ah baaritaankan oo kale. Si fudud loo dhigo, xogta qotodheer ee taariikhiga ah ee shirkadu leedahay, ayaa ka sii fiican garaafka. Aynu sheegno in taariikhda 5-sano ay caawin karto xallinta, shuruud ahaan, 1-2 ka mid ah 10 dambiyada, iyo taariikhda 15-sano waxay siinaysaa fursad lagu xalliyo dhammaan tobankii.

Fikirka iyo Ogaanshaha Khayaanada

Mar kasta oo aan helno xiriirinta shakiga leh ee phishing, been abuurka ama kheyraadka budhcad-badeedda, waxaan si toos ah u dhisnaa garaaf ilaha shabakada ee laxiriira waxaanan hubinnaa dhammaan martigaliyayaasha la helay waxyaabaha la midka ah. Tani waxay kuu ogolaaneysaa inaad hesho labada goobood ee hore ee phishing kuwaas oo firfircoonaa laakiin aan la aqoon, iyo sidoo kale kuwa cusub oo gebi ahaanba cusub oo loo diyaariyey weeraro mustaqbalka, laakiin aan weli la isticmaalin. Tusaalaha hoose ee dhaca marar badan: waxaan ka helnay barta phishing server ka leh 5 goobood oo kaliya. Markaad hubiso mid kasta oo iyaga ka mid ah, waxaan ka heleynaa waxyaabo phishing ah goobo kale, taas oo macnaheedu yahay inaan xannibi karno 5 halkii 1.

Raadi dhabarka dambe

Habkani waa lagama maarmaan si loo go'aamiyo meesha server-ka xaasidnimadu dhab ahaantii ku nool yahay.
99% dukaamada kaararka, golayaasha hackers-ka, ilo badan oo phishing ah iyo adeegayaal kale oo xaasidnimo ah ayaa ku qarsoon labadaba adeegayaasha wakiiladooda iyo wakiiladooda adeegyada sharciga ah, tusaale ahaan, Cloudflare. Aqoonta ku saabsan dhabarka dhabta ah ayaa aad muhiim ugu ah baaritaannada: bixiyaha martigelinta ee lagala wareegi karo server-ka ayaa la ogaanayaa, waxaana suurtagal ah in la dhiso xiriiryo mashaariic kale oo xaasidnimo ah.

Tusaale ahaan, waxa aad haysataa goob phishing ah oo lagu ururiyo xogta kaadhka bangiga taas oo ku xidha cinwaanka IP-ga 11.11.11.11, iyo ciwaanka kaararka oo xaliya ciwaanka IP 22.22.22.22. Inta lagu jiro falanqaynta, waxaa laga yaabaa in ay soo baxdo in goobta phishing-ka iyo kaardhiskuba ay leeyihiin ciwaanka IP-ga dhabarka ah ee caadiga ah, tusaale ahaan, 33.33.33.33. Aqoontaani waxay noo ogolaaneysaa inaan dhisno xiriir ka dhexeeya weerarrada phishing-ka iyo dukaanka kaadhadhka halkaasoo xogta kaararka bangiga lagu iibin karo.

Isku xidhka dhacdada

Markaad haysato laba kiciye oo kala duwan (aan ku nidhaahno IDS) oo wata malware kala duwan iyo servero kala duwan si loo xakameeyo weerarka, waxaad ula dhaqmi doontaa sidii laba dhacdo oo madax banaan. Laakiin haddii uu jiro xiriir wanaagsan oo ka dhexeeya kaabayaasha xaasidnimada ah, markaas waxaa muuqaneysa in kuwani aysan ahayn weeraro kala duwan, laakiin marxaladaha mid ka mid ah, weerarro badan oo kakan. Oo haddii mid ka mid ah dhacdooyinka horeba loo nisbeeyo koox kasta oo weerar ah, ka dibna kan labaad ayaa sidoo kale loo saari karaa koox isku mid ah. Dabcan, habka tifaftiruhu aad buu u adag yahay, markaa u daawee tan tusaale fudud.

Kobcinta tilmaamayaasha

Ma bixin doonno dareen badan tan, maadaama tani ay tahay xaaladda ugu badan ee isticmaalka garaafyada amniga internetka: waxaad siinaysaa hal tilmaame ahaan sida wax soo saarka, iyo wax soo saar ahaan waxaad heleysaa tilmaameyaal badan oo la xiriira.

Aqoonsiga qaababka

Aqoonsiga qaababka ayaa lagama maarmaan u ah ugaarsiga waxtarka leh. Garaafyadu waxay kuu oggolaanayaan inaadan helin oo keliya walxaha la xidhiidha, laakiin sidoo kale inaad aqoonsato guryaha caadiga ah ee sifo u ah koox gaar ah oo tuugo ah. Aqoonta sifooyinka gaarka ah ee noocan oo kale ah waxay kuu ogolaaneysaa inaad aqoonsato kaabayaasha weerarka xitaa marxaladda diyaarinta iyo iyada oo aan lahayn caddayn xaqiijinaysa weerarka, sida emails phishing ama malware.

Waa maxay sababta aan u abuurnay garaaf shabakad noo gaar ah?

Mar labaad, waxaanu eegnay xalalka iibiyeyaasha kala duwan ka hor inta aanaan gaarin gabagabada in aan u baahannahay inaan horumarino qalab noo gaar ah oo samayn kara wax aan wax soo saarka jira samayn karin. Waxay qaadatay dhowr sano in la abuuro, inta lagu guda jiro taas oo aan gebi ahaanba beddelnay dhowr jeer. Laakiin, inkasta oo muddada dheer ee horumarka, weli ma aan helin hal analog ah oo buuxin kara shuruudahayaga. Isticmaalka alaabtayada, waxaan ugu dambeyntii awoodnay inaan xallino ku dhawaad ​​dhammaan dhibaatooyinka aan ka helnay garaafyada shabakadaha jira. Hoos waxaan si faahfaahsan uga fiirsan doonaa dhibaatooyinkan:

dhibaato
go'aanka

La'aanta bixiye leh xog ururin kala duwan: domains, DNS dadban, SSL dadban, diiwaanka DNS, dekedaha furan, adeegyada socodsiinta dekedaha, faylasha la falgala magacyada domain iyo cinwaanada IP. Sharaxaad. Caadi ahaan, bixiyeyaasha waxay bixiyaan noocyo kala duwan oo xog ah, iyo si aad u hesho sawirka buuxa, waxaad u baahan tahay inaad qof kasta ka iibsato rukunnada. Si kastaba ha ahaatee, had iyo jeer suurtagal maaha in la helo dhammaan xogta: qaar ka mid ah bixiyeyaasha SSL dadban waxay bixiyaan xogta ku saabsan shahaadooyinka ay bixiyaan CA-yada la aaminsan yahay, iyo caynsanaanta shahaadooyinka is-saxiixa ah waa mid aad u liidata. Kuwa kale waxay sidoo kale bixiyaan xogta iyagoo isticmaalaya shahaadooyin iskood u saxeexay, laakiin waxay ka soo ururiyaan oo keliya dekedaha caadiga ah.
Dhammaan ururinta kor ku xusan lafteena ayaanu soo ururinay. Tusaale ahaan, si aan u ururino xogta ku saabsan shahaadooyinka SSL, waxaan qornay adeeg noo gaar ah oo ka soo aruuriya CA-yada la aamini karo iyo anagoo iskaan ka baarnay dhammaan booska IPV4. Shahaadooyinka lagama soo ururin oo keliya IP, laakiin sidoo kale dhammaan xayndaabyada iyo subdomains-ka xogtayada: haddii aad leedahay domain example.com iyo subdomainkiisa www.example.com Dhammaantood waxay ku xalliyaan IP 1.1.1.1, ka dib markaad isku daydo inaad ka hesho shahaadada SSL ee dekedda 443 ee IP, domain iyo subdomainkeeda, waxaad heli kartaa saddex natiijooyin oo kala duwan. Si loo ururiyo xogta dekedaha furan iyo adeegyada socda, waxay ahayd inaan abuurno nidaam iskaanka qaybsan oo noo gaar ah, sababtoo ah adeegyada kale waxay inta badan lahaayeen ciwaanada IP-yada ee server-yadooda iskaanka ee "liiska madow." Server-yadayada iskaanka ayaa sidoo kale ku dhamaada liisaska madow, laakiin natiijada ogaanshaha adeegyada aan u baahanahay ayaa ka sarreeya kuwa si fudud u baadha dekadaha badan ee suurtogalka ah oo iibiya helitaanka xogtan.

La'aanta helitaanka dhammaan xogta diiwaannada taariikhiga ah. Sharaxaad. Alaab-qeybiye kasta oo caadi ah wuxuu leeyahay taariikh urursan oo wanaagsan, laakiin sababo dabiici ah dartood, macmiil ahaan, ma aannu heli karin dhammaan xogta taariikhiga ah. Kuwaas. Waxaad taariikhda oo dhan ku heli kartaa hal rikoodh, tusaale ahaan, domain ama cinwaanka IP-ga, laakiin ma arki kartid taariikhda wax kasta - oo tan la'aanteed ma arki kartid sawirka buuxa.
Si aan u ururino inta ugu badan ee diiwaannada taariikhiga ah ee xayndaabyada, waxaan soo iibsannay xog uruurin kala duwan, oo aan kala soocnay ilo badan oo furan oo taariikhdan lahaa ( way wanaagsan tahay in ay jiraan qaar badan oo iyaga ka mid ah), waxaanan kala xaajoodnay diiwaan-geliyayaasha magac domain. Dhammaan wixii cusbooneed ee ku saabsan ururinteena waxaa dabcan lagu hayaa taariikh dib u eegis buuxda.

Dhammaan xalalka jira waxay kuu oggolaanayaan inaad gacanta ku dhisto garaaf. Sharaxaad. Aynu nidhaahno waxaad ka iibsatay rukunno badan dhammaan bixiyeyaasha xogta ee suurtogalka ah (badanaa loo yaqaan "wax-kordhinta"). Markaad u baahan tahay inaad dhisto garaaf, waxaad "gacmaha" ku siinaysaa amarka inaad ka dhisto qaybta isku xirka ee la doonayo, ka dibna ka dooro kuwa lagama maarmaanka u ah walxaha muuqda oo bixi amarka si loo dhamaystiro isku xirka iyaga, iyo wixii la mid ah. Xaaladdan oo kale, mas'uuliyadda sida ugu wanaagsan ee garaafyada loo dhisi doono waxay si buuxda u saaran tahay qofka.
Waxaan si toos ah u samaynay garaafyo. Kuwaas. Haddii aad u baahan tahay inaad dhisto garaaf, markaa isku xirka qaybta hore ayaa si toos ah loo dhisay, ka dibna dhammaan kuwa xiga, sidoo kale. Khabiirka takhasuska leh ayaa kaliya tilmaamaya qoto dheer ee garaafku u baahan yahay in lagu dhiso. Habka si toos ah loo dhamaystiro garaafyada waa sahlan tahay, laakiin iibiyeyaasha kale ma hirgeliyaan sababtoo ah waxay soo saartaa tiro aad u badan oo natiijooyin aan khusayn, sidoo kale waxaan ku qasbanahay inaan xisaabta ku darno cilladan (hoos fiiri).

Natiijooyin badan oo aan khusayn ayaa dhibaato ku ah garaafyada qaybaha shabakada. Sharaxaad. Tusaale ahaan, "domain xun" (oo ka qaybqaatay weerar) wuxuu la xiriiraa server-ka leh 10 oo kale oo la xidhiidha 500kii sano ee la soo dhaafay. Marka gacanta lagu daro ama si toos ah loo dhisayo garaaf, dhammaan 500 ee domain waa inay sidoo kale ka muuqdaan garaafka, inkastoo aysan la xiriirin weerarka. Ama, tusaale ahaan, waxaad ka hubinaysaa tusaha IP-ga warbixinta amniga iibiyaha. Caadi ahaan, warbixinnada noocan oo kale ah waxaa lagu sii daayaa dib u dhac weyn waxayna badiyaa socdaan sanad ama ka badan. Waxay u badan tahay, wakhtiga aad akhrinayso warbixinta, server-ka leh ciwaanka IP-ga waxa mar hore laga kireeyay dad kale oo xidhiidho kale leh, iyo dhisidda garaaf waxay mar kale kuu horseedi doontaa inaad hesho natiijooyin aan khusayn.
Waxaan u tababarnay nidaamka si loo aqoonsado walxaha aan khusayn anagoo adeegsanayna caqli-gal la mid ah sidii khubaradayadu gacanta ku sameeyeen. Tusaale ahaan, waxaad hubinaysaa domain xun example.com, kaas oo hadda xalinaya IP 11.11.11.11, iyo bil ka hor - ilaa IP 22.22.22.22. Marka lagu daro tusaale ahaan domain-ka, IP 11.11.11.11 waxa kale oo lala xiriiriyaa example.ru, IP 22.22.22.22 waxay la xiriirtaa 25 kun oo kale. Nidaamku, sida qofka, wuxuu fahamsan yahay in 11.11.11.11 ay u badan tahay server-ka go'an, iyo maadaama domainka example.ru uu la mid yahay higgaadda tusaale.com, markaa, oo leh suurtogalnimo sare, way ku xiran yihiin oo waa inay ku jiraan garaafka; laakiin IP 22.22.22.22 waxaa iska leh martigelinta la wadaago, sidaa darteed dhammaan xayndaabkeeda uma baahna in lagu daro garaafka ilaa ay jiraan xiriiro kale oo muujinaya in mid ka mid ah 25 kun oo goobood sidoo kale loo baahan yahay in lagu daro (tusaale, tusaale.net) . Kahor inta uusan nidaamku fahmin in isku xirnaanta ay u baahan yihiin in la jebiyo, qaarna aan loo rarin garaafka, waxa ay xisaabta ku dareysaa waxyaabo badan oo ka mid ah curiyeyaasha iyo rucuboodyada ay ku jiraan curiyayaashan, iyo sidoo kale xoogga isku xirnaanta hadda. Tusaale ahaan, haddii aan ku hayno garaafyada koox yar (50 element) oo ay ku jiraan domain xun, iyo koox kale oo weyn (5 kun oo walxood) iyo labada kooxoodba waxaa ku xiran xiriir (line) oo leh awood aad u hooseeya (miisaan). , ka dibna xiriirka noocan oo kale ah ayaa go'i doona oo canaasiirta kutlada weyn ayaa laga saari doonaa. Laakiin haddii ay jiraan xiriiro badan oo ka dhexeeya kooxo yaryar iyo kuwa waaweyn oo xooggoodu si tartiib tartiib ah u kordho, markaa kiiskan xiriirku ma jebin doono oo walxaha lagama maarmaanka ah ee labada kooxoodba waxay ku sii jiri doonaan garaafka.

Muddada u dhaxaysa lahaanshaha serfarka iyo bogga lama tixgalinayo. Sharaxaad. "Goobaha xun" mar dhow ama hadhow way dhacayaan oo mar kale ayaa loo soo iibsan doonaa ujeedooyin xaasidnimo ama sharci ah. Xataa server-yada martigelinta rasaasta celiya waxaa laga kireeyaa hackers kala duwan, marka waxaa muhiim ah in la ogaado oo la tixgeliyo muddada u dhaxaysa markii domain/server gaar ah uu gacanta ku hayay hal milkiile. Waxaan inta badan la kulannaa xaalad ah in server leh IP 11.11.11.11 hadda loo isticmaalo C&C ee botka bangiyada, iyo 2 bilood ka hor waxaa gacanta ku hayay Ransomware. Haddii aan dhisno xiriir la'aan iyada oo aan xisaabta ku dareynin lahaanshaha lahaanshaha, waxay u ekaan doontaa inuu jiro xiriir ka dhexeeya milkiilayaasha bangiyada botnet iyo ransomware, inkastoo dhab ahaantii aysan jirin. Shaqadeena, khaladka noocan oo kale ah ayaa muhiim ah.
Waxaan baray nidaamka si loo go'aamiyo inta u dhaxaysa lahaanshaha. Goobaha domain-yada tani waa sahlan tahay, sababtoo ah inta badan waxay ka kooban tahay bilawga diiwaangelinta iyo taariikhda dhicitaanka iyo, marka ay jirto taariikh dhamaystiran oo ah whois isbedel, way fududahay in la go'aamiyo inta u dhaxaysa. Marka diiwaangelinta domain-ku aanu dhicin, laakiin maamulkiisa loo wareejiyay mulkiilayaal kale, sidoo kale waa la raadin karaa. Ma jirto dhibaato noocaas ah shahaadooyinka SSL, sababtoo ah hal mar ayaa la bixiyaa oo lama cusboonaysiin ama lama wareejiyo. Laakin shahaadooyinka is-saxiixa ah, ma aamini kartid taariikhaha lagu cayimay xilliga ansaxnimada shahaadada, sababtoo ah waxaad soo saari kartaa shahaadada SSL maanta, oo cadee taariikhda shahaadadu ay bilaabaneyso 2010. Waxa ugu adag waa in la go'aamiyo inta u dhaxaysa lahaanshaha ee server-yada, sababtoo ah kaliya bixiyeyaasha martigelinaya waxay leeyihiin taariikho kiro iyo waqtiyo. Si loo go'aamiyo muddada lahaanshaha serferka, waxaan bilownay inaan isticmaalno natiijooyinka baarista dekeda iyo abuurista faraha adeegyada socodsiinta dekedaha. Isticmaalka macluumaadkan, waxaan si cadaalad ah u dhihi karnaa goorta milkiilaha serferka uu bedelay.

Xiriiro yar Sharaxaad. Maalmahan, xitaa dhib maaha in la helo liis bilaash ah oo domains kuwaas oo ku jira ciwaanka iimaylka gaarka ah, ama in la ogaado dhammaan xayndaabyada la xidhiidha ciwaanka IP-ga gaarka ah. Laakiin marka ay timaado tuugada kuwaas oo ku dadaala in ay adagtahay in la raad raaco, waxaan u baahanahay farsamooyin dheeraad ah si aan u helno hanti cusub oo aan u dhisno xiriiryo cusub.
Waxaan ku bixinay waqti badan baaritaanka sida aan u soo saari karno xogta aan la heli karin si caadi ah. Kuma qeexi karno halkan sida ay u shaqeyso sababo muuqda, laakiin xaalado gaar ah, hackers, marka la diiwaan geliyo domains ama kireysiga iyo dejinta server-yada, waxay sameeyaan khaladaad u oggolaanaya inay ogaadaan ciwaannada emailka, aliases hacker, iyo ciwaannada dhabarka. Xidhiidhada badan ee aad soo saarto, garaafyada saxda ah ee aad dhisi karto.

Sida garaafkayagu u shaqeeyo

Si aad u bilowdo isticmaalka garaafyada shabakada, waxaad u baahan tahay inaad geliso domainka, ciwaanka IP-ga, iimaylka, ama sawirka shahaadada SSL ee barta raadinta. Waxaa jira saddex shuruudood oo uu falanqeeyaha xakamayn karo: waqtiga, qoto dheeraanta, iyo nadiifinta.

Waqti

Waqtiga - taariikhda ama muddada u dhaxaysa marka walxaha la raadiyay loo adeegsaday ujeedooyin xaasidnimo ah. Haddii aadan cayimin cabbirkan, nidaamka laftiisa ayaa go'aamin doona muddada lahaanshaha ee ugu dambeysa ee kheyraadkan. Tusaale ahaan, Luulyo 11, Eset la daabacay warbixinta ku saabsan sida Buhtrap u isticmaalo 0-maalin ka faa'iidaysiga basaaska internetka. Waxaa jira 6 tilmaame dhamaadka warbixinta. Mid iyaga ka mid ah, oo ah telemetry ammaan ah[.]net, ayaa dib loo diiwaan geliyay 16-kii Luulyo. Sidaa darteed, haddii aad dhisto garaaf wixii ka dambeeya Luulyo 16, waxaad heli doontaa natiijooyin aan khusayn. Laakiin haddii aad muujiso in boggan la isticmaalay taariikhdan ka hor, markaa garaafka waxaa ku jira 126 domains cusub, 69 cinwaan IP ah oo aan ku qornayn warbixinta Eset:

• ukrfreshnews[.]com
• unian-search[.]com
• vesti-world[.] macluumaad
• runewsmeta[.]com
• Foxnewsmeta[.]biz
• sobesednik-meta[.]info
• rian-UA[.]net
• iyo kuwa kale.

Marka lagu daro tilmaamayaasha shabakada, waxaanu isla markiiba helnaa xidhiidhada faylalka xaasidnimada leh ee xidhiidhka la lahaa kaabayaashan iyo tags noo sheegaya in Meterpreter iyo AZORult la isticmaalay.

Waxa ugu weyn ayaa ah inaad natiijadan ku hesho hal ilbiriqsi gudahood oo aadan u baahnayn inaad maalmo ku qaadato falanqaynta xogta. Dabcan, habkani wuxuu mararka qaarkood si weyn u yareeyaa wakhtiga baaritaanka, taas oo inta badan muhiim ah.

Tirada tillaabooyinka ama qoto-dheeraanta soo noqnoqda ee garaafku lagu dhisi doono

Sida caadiga ah, qoto dheerku waa 3. Taas macnaheedu waa in dhammaan walxaha si toos ah ula xidhiidha laga heli doono curiyaha la rabo, ka dibna waxaa la dhisi doonaa xiriiryo cusub oo ka soo baxaya shay kasta oo cusub iyo xubno kale, iyo curiye cusub ayaa laga abuuri doonaa curiyeyaasha cusub ee ugu dambeeya. tallaabo.

Aynu soo qaadanno tusaale aan la xidhiidhin APT iyo ka faa'iidaysiga 0-maalin. Dhawaan, kiis xiiso leh oo khiyaano ah oo la xidhiidha cryptocurrencies ayaa lagu sharaxay Habré. Warbixintu waxay xustay domain themcx[.]co, oo ay adeegsadaan khayaanada si ay u martigeliyaan degelka sheegta inuu yahay Sarrifka Lacagta Macdanta iyo talefan-lookup[.] xyz si ay u soo jiitaan taraafikada.

Waxaa cad sharaxaadda in nidaamku u baahan yahay kaabayaal cadaalad ah oo ballaaran si loo soo jiito taraafikada ilaha been abuurka ah. Waxaan go'aansanay inaan eegno kaabayaashan annagoo dhisnay garaaf 4 tillaabo ah. Soosaarku wuxuu ahaa garaaf leh 230 domains iyo 39 cinwaan IP ah. Marka xigta, waxaan u qaybineynaa domains 2 qaybood: kuwa la mid ah adeegyada la shaqeeya cryptocurrencies iyo kuwa loogu talagalay in lagu wado gaadiidka iyada oo loo marayo adeegyada xaqiijinta telefoonka:

La xidhiidha cryptocurrency
Ku xidhan adeegyada feedhista telefoonka

qadaadiic[.]cc
soo wac-rikoob[.] site.

mcxwallet[.]co
diiwaanka telefoonka[.] meel bannaan

btcnoise[.]com
fone-daah-fur[.]xyz

cryptominer[.] daawo
nambar- daahfur[.] macluumaad

Nadiifinta

Sida caadiga ah, ikhtiyaarka "Nadiifinta Garaafyada" waa la dajiyay oo dhammaan walxaha aan khusayn ayaa laga saarayaa garaafka. Sida habka, waxaa loo adeegsaday dhammaan tusaalooyinkii hore. Waxaan sii arkay su'aal dabiici ah: sidee baan u hubin karnaa in wax muhiim ah aan la tirtirin? Waxaan uga jawaabi doonaa: falanqeeyayaasha jecel inay garaafyada gacanta ku dhistaan, nadiifinta otomaatiga ah waa la curyaami karaa oo tirada tillaabooyinka waa la dooran karaa = 1. Marka xigta, falanqeeyuhu wuxuu awood u yeelan doonaa inuu dhammaystiro garaafyada canaasiirta uu u baahan yahay oo uu ka saaro curiyeyaasha garaafka aan khusayn hawsha.

Horeba garaafka, taariikhda isbeddelka ee whois, DNS, iyo sidoo kale dekedaha furan iyo adeegyada ku shaqeeya iyaga ayaa diyaar u ah falanqeeyaha.

phishing maaliyadeed

Waxaan baarnay dhaqdhaqaaqa hal koox oo APT ah, kuwaas oo dhowr sano ku qaaday weeraro phishing ah oo ka dhan ah macaamiisha bangiyada kala duwan ee gobollada kala duwan. Tilmaamaha lagu garto kooxdan ayaa ahaa diiwaan gelinta domains aad ugu eg magacyada bangiyada dhabta ah, inta badan goobaha phishing-ga ayaa lahaa naqshad isku mid ah, farqiga kaliya ee ku jira magacyada bangiyada iyo calaamadahooda.

Xaaladdan oo kale, falanqaynta garaafyada tooska ah ayaa naga caawiyay wax badan. Qaadashada mid ka mid ah xayndaabkooda - lloydsbnk-uk[.] com, dhowr ilbiriqsi gudahood waxaan ku dhisnay garaaf leh qoto dheer oo 3 tillaabo ah, kaas oo aqoonsaday in ka badan 250 goobood oo xaasidnimo ah oo ay isticmaaleen kooxdan tan iyo 2015 oo ay sii socoto isticmaalkeeda. . Qaar ka mid ah goobahaas waxaa horay u iibsaday bangiyada, laakiin diiwaannada taariikhiga ah waxay muujinayaan in ay hore uga diiwaan gashan yihiin kuwa weeraray.

Si loo caddeeyo, jaantusku wuxuu muujinayaa garaaf leh qoto dheer oo ah 2 tillaabo.

Waxaa xusid mudan in mar horeba 2019, weeraryahanadu ay bedeleen xeeladahooda oo ay bilaabeen diiwaan gelinta ma aha oo kaliya goobaha bangiyada ee martigelinta phishing webka, laakiin sidoo kale goobaha shirkadaha kala duwan ee la-talinta ee dirista emails-ka phishingka. Tusaale ahaan, domains-ka swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.

Kooxda Cobalt

Bishii Disembar 2018, kooxda jabsiga ee Cobalt, oo ku takhasusay weerarrada lala beegsaday bangiyada, ayaa soo diray olole qoraal ah iyaga oo ka wakiil ah Bangiga Qaranka ee Kazakhstan.

Xarfaha waxaa ku jiray xiriirinta hXXps://nationalbank.bz/Doc/Prikaz.doc. Dukumeentiga la soo dejiyay waxa ku jiray makro soo bilaabay Powershell, kaas oo isku dayi doona in uu ka shubo oo ka fuliyo faylka hXXp://wateroilclub.com/file/dwm.exe gudaha %Temp%einmrmdmy.exe. Faylka%Temp%einmrmdmy.exe aka dwm.exe waa marxaladaha CobInt loo habeeyey si uu ula falgalo serferka hXXp://admvmsopp.com/rilruietguadvtoefmuy.

Bal qiyaas inaadan awoodin inaad hesho iimayladan phishing-ka ah oo samee falanqayn buuxda oo ku saabsan faylasha xaasidnimada ah. Garaafka bogga xaasidnimada ah ee bangiga qaranka[.]bz isla markiiba waxa uu muujiyaa isku xidhka xayndaabka kale, waxa uu u nisbeeyaa koox oo tusa faylalka loo adeegsaday weerarka.

Aynu ka soo qaadno ciwaanka IP-ga 46.173.219[.]152 garaafkan oo aan ka dhisno garaaf hal baas oo demi nadiifinta. Waxa jira 40 goobood oo la xidhiidha, tusaale ahaan, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

Marka la eego magacyada domain, waxay u muuqataa in loo isticmaalo qorshayaasha been abuurka ah, laakiin algorithm-ka nadiifinta ayaa ogaaday in aysan la xiriirin weerarkan oo aan ku dhejin garaafka, taas oo si weyn u fududaynaysa habka falanqaynta iyo muujinta.

Haddii aad dib u dhisto garaafka adigoo isticmaalaya bangiga qaranka[.] bz, laakiin aad joojiso garaafka nadiifinta algorithm, markaas waxay ka koobnaan doontaa in ka badan 500 walxood, kuwaas oo intooda badan aan shaqo ku lahayn kooxda Cobalt ama weeraradooda. Tusaale ahaan waxa garaafku u eg yahay ayaa hoos lagu bixiyaa:

gunaanad

Ka dib dhowr sano oo ganaax ah, tijaabinta baaritaanada dhabta ah, cilmi-baarista khatarta ah iyo ugaarsiga weeraryahannada, waxaan ku guuleysanay inaan abuurno qalab gaar ah, laakiin sidoo kale inaan bedelno dabeecadda khubarada gudaha shirkadda. Markii hore, khabiirada farsamada ayaa raba inay si buuxda u xakameeyaan habka dhismaha garaafyada. Ka dhaadhicinta in dhismaha garaafyada otomaatiga ah uu tan ka fiicnaan karo qofka leh khibrad sannado badan ayaa aad u adag. Wax walba waxaa lagu go'aamiyay waqti iyo hubinta "manual" badan ee natiijooyinka waxa garaafku soo saaray. Hadda khubaradayadu kaliya kuma kalsoona nidaamka, laakiin sidoo kale waxay isticmaalaan natiijooyinka ay helaan shaqadooda maalinlaha ah. Farsamadani waxay ka shaqeysaa mid kasta oo ka mid ah nidaamyadayada waxayna noo ogolaaneysaa inaan si fiican u aqoonsano khataraha nooc kasta ah. Isku-xidhka falanqaynta garaafyada gacanta waxa lagu dhisay dhammaan alaabooyinka Kooxda-IB oo si weyn u balaadhiya awoodaha ugaarsiga dembiyada internetka. Tan waxaa xaqiijiyay dib u eegista falanqeeyayaasha macaamiisheena. Annaguna, markeeda, waxaan sii wadeynaa inaan ku kobcinno garaafka xogta oo aan ka shaqeyno algorithms cusub iyadoo la adeegsanayo sirdoonka macmal si loo abuuro garaafka shabakada ugu saxsan.

Source: www.habr.com