Duke hetuar rastet që lidhen me phishing, botnet, transaksione mashtruese dhe grupe kriminale hakerash, ekspertët e Group-IB kanë përdorur analizën e grafikëve për shumë vite për të identifikuar lloje të ndryshme lidhjesh. Raste të ndryshme kanë grupet e tyre të të dhënave, algoritmet e tyre për identifikimin e lidhjeve dhe ndërfaqet e përshtatura për detyra specifike. Të gjitha këto mjete u zhvilluan brenda nga Group-IB dhe ishin në dispozicion vetëm për punonjësit tanë.

Analiza e grafikut të infrastrukturës së rrjetit (grafiku i rrjetit) u bë mjeti i parë i brendshëm që ndërtuam në të gjitha produktet publike të kompanisë. Para se të krijonim grafikun tonë të rrjetit, ne analizuam shumë zhvillime të ngjashme në treg dhe nuk gjetëm një produkt të vetëm që plotësonte nevojat tona. Në këtë artikull do të flasim se si e krijuam grafikun e rrjetit, si e përdorim atë dhe çfarë vështirësish kemi hasur.

Dmitry Volkov, CTO Group-IB dhe kreu i inteligjencës kibernetike

Çfarë mund të bëjë grafiku i rrjetit Group-IB?

hetim

Që nga themelimi i Group-IB në 2003 e deri më sot, identifikimi, denoncimi dhe sjellja e kriminelëve kibernetikë para drejtësisë ka qenë një prioritet kryesor në punën tonë. Asnjë hetim i vetëm i sulmit kibernetik nuk ishte i plotë pa analizuar infrastrukturën e rrjetit të sulmuesve. Në fillim të udhëtimit tonë, ishte një "punë manuale" mjaft e mundimshme për të kërkuar marrëdhënie që mund të ndihmonin në identifikimin e kriminelëve: informacione rreth emrave të domeneve, adresave IP, gjurmëve dixhitale të serverëve, etj.

Shumica e sulmuesve përpiqen të veprojnë në mënyrë sa më anonime në rrjet. Megjithatë, si të gjithë njerëzit, ata bëjnë gabime. Qëllimi kryesor i një analize të tillë është gjetja e projekteve historike "të bardha" ose "gri" të sulmuesve që kanë kryqëzime me infrastrukturën keqdashëse të përdorur në incidentin aktual që po hetojmë. Nëse është e mundur të zbulohen "projektet e bardha", atëherë gjetja e sulmuesit, si rregull, bëhet një detyrë e parëndësishme. Në rastin e atyre "gri", kërkimi kërkon më shumë kohë dhe përpjekje, pasi pronarët e tyre përpiqen të anonimizojnë ose fshehin të dhënat e regjistrimit, por shanset mbeten mjaft të larta. Si rregull, në fillim të aktiviteteve të tyre kriminale, sulmuesit i kushtojnë më pak vëmendje sigurisë së tyre dhe bëjnë më shumë gabime, kështu që sa më thellë të zhytemi në histori, aq më të larta janë shanset për një hetim të suksesshëm. Kjo është arsyeja pse një grafik rrjeti me një histori të mirë është një element jashtëzakonisht i rëndësishëm i një hetimi të tillë. E thënë thjesht, sa më të thella historike të ketë një kompani, aq më i mirë është grafiku i saj. Le të themi se një histori 5-vjeçare mund të ndihmojë në zgjidhjen, me kusht, 1-2 nga 10 krime, dhe një histori 15-vjeçare jep një shans për të zgjidhur të dhjetë.

Fishing dhe zbulimi i mashtrimit

Sa herë që marrim një lidhje të dyshimtë për një burim phishing, mashtrues ose pirat, ne ndërtojmë automatikisht një grafik të burimeve të lidhura të rrjetit dhe kontrollojmë të gjithë hostet e gjetur për përmbajtje të ngjashme. Kjo ju lejon të gjeni të dyja faqet e vjetra të phishing që ishin aktive, por të panjohura, si dhe ato krejtësisht të reja që janë përgatitur për sulme të ardhshme, por që nuk janë përdorur ende. Një shembull elementar që ndodh mjaft shpesh: gjetëm një faqe phishing në një server me vetëm 5 sajte. Duke kontrolluar secilën prej tyre, gjejmë përmbajtje phishing në sajte të tjera, që do të thotë se mund të bllokojmë 5 në vend të 1.

Kërkoni për backends

Ky proces është i nevojshëm për të përcaktuar se ku ndodhet në të vërtetë serveri me qëllim të keq.
99% e dyqaneve të kartave, forumeve të hakerëve, shumë burimeve të phishing dhe serverëve të tjerë me qëllim të keq janë të fshehura pas serverëve të tyre proxy dhe përfaqësuesve të shërbimeve legjitime, për shembull, Cloudflare. Njohuritë për backend-in e vërtetë janë shumë të rëndësishme për hetimet: ofruesi i pritjes nga i cili mund të sekuestrohet serveri bëhet i njohur dhe bëhet e mundur të ndërtohen lidhje me projekte të tjera me qëllim të keq.

Për shembull, ju keni një sajt phishing për mbledhjen e të dhënave të kartës bankare që zgjidhet në adresën IP 11.11.11.11 dhe një adresë dyqani kartash që zgjidh në adresën IP 22.22.22.22. Gjatë analizës, mund të rezultojë se si faqja e phishing ashtu edhe dyqani i kartave kanë një adresë IP të përbashkët, për shembull, 33.33.33.33. Kjo njohuri na lejon të ndërtojmë një lidhje midis sulmeve të phishing dhe një dyqani kartash ku mund të shiten të dhënat e kartave bankare.

Korrelacioni i ngjarjes

Kur keni dy nxitës të ndryshëm (le të themi në një IDS) me malware të ndryshëm dhe serverë të ndryshëm për të kontrolluar sulmin, do t'i trajtoni ato si dy ngjarje të pavarura. Por nëse ekziston një lidhje e mirë midis infrastrukturave me qëllim të keq, atëherë bëhet e qartë se këto nuk janë sulme të ndryshme, por faza të një sulmi më kompleks me shumë faza. Dhe nëse një nga ngjarjet i atribuohet tashmë ndonjë grupi sulmuesish, atëherë e dyta gjithashtu mund t'i atribuohet të njëjtit grup. Natyrisht, procesi i atribuimit është shumë më kompleks, prandaj trajtojeni këtë si një shembull të thjeshtë.

Pasurimi i treguesve

Ne nuk do t'i kushtojmë shumë vëmendje kësaj, pasi ky është skenari më i zakonshëm për përdorimin e grafikëve në sigurinë kibernetike: ju jepni një tregues si hyrje dhe si dalje merrni një sërë treguesish të lidhur.

Identifikimi i modeleve

Identifikimi i modeleve është thelbësor për gjuetinë efektive. Grafikët ju lejojnë jo vetëm të gjeni elementë të lidhur, por edhe të identifikoni vetitë e zakonshme që janë karakteristike për një grup të caktuar hakerash. Njohja e këtyre karakteristikave unike ju lejon të njihni infrastrukturën e sulmuesit edhe në fazën e përgatitjes dhe pa prova që konfirmojnë sulmin, si p.sh. email phishing ose malware.

Pse krijuam grafikun tonë të rrjetit?

Përsëri, ne shikuam zgjidhje nga shitës të ndryshëm përpara se të arrinim në përfundimin se duhej të zhvillonim mjetin tonë që mund të bënte diçka që asnjë produkt ekzistues nuk mund ta bënte. U deshën disa vite për ta krijuar atë, gjatë të cilave e ndryshuam plotësisht disa herë. Por, pavarësisht periudhës së gjatë të zhvillimit, ne ende nuk kemi gjetur një analog të vetëm që do të kënaqte kërkesat tona. Duke përdorur produktin tonë, ne përfundimisht ishim në gjendje të zgjidhnim pothuajse të gjitha problemet që zbuluam në grafikët ekzistues të rrjetit. Më poshtë do t'i shqyrtojmë këto probleme në detaje:

problem
vendim

Mungesa e një ofruesi me koleksione të ndryshme të dhënash: domenet, DNS pasive, SSL pasive, regjistrimet DNS, portet e hapura, shërbimet e ekzekutimit në porte, skedarët që ndërveprojnë me emrat e domeneve dhe adresat IP. Shpjegim. Në mënyrë tipike, ofruesit ofrojnë lloje të veçanta të të dhënave dhe për të marrë pamjen e plotë, duhet të blini abonime nga të gjithë. Megjithatë, nuk është gjithmonë e mundur të merren të gjitha të dhënat: disa ofrues pasivë SSL ofrojnë të dhëna vetëm për certifikatat e lëshuara nga CA të besuara dhe mbulimi i tyre i certifikatave të vetë-nënshkruara është jashtëzakonisht i dobët. Të tjerë gjithashtu ofrojnë të dhëna duke përdorur certifikata të vetë-nënshkruara, por i mbledhin ato vetëm nga portet standarde.
Ne mblodhëm të gjitha koleksionet e mësipërme vetë. Për shembull, për të mbledhur të dhëna për certifikatat SSL, ne kemi shkruar shërbimin tonë që i mbledh ato si nga CA-të e besuara, ashtu edhe duke skanuar të gjithë hapësirën IPv4. Certifikatat u mblodhën jo vetëm nga IP, por edhe nga të gjitha domenet dhe nëndomenet nga databaza jonë: nëse keni domenin example.com dhe nëndomain e tij www.example.com dhe të gjitha zgjidhen në IP 1.1.1.1, atëherë kur përpiqeni të merrni një certifikatë SSL nga porti 443 në një IP, domen dhe nëndomain të tij, mund të merrni tre rezultate të ndryshme. Për të mbledhur të dhëna për portet e hapura dhe shërbimet në funksionim, na u desh të krijonim sistemin tonë të skanimit të shpërndarë, sepse shërbimet e tjera shpesh kishin adresat IP të serverëve të tyre të skanimit në "listat e zeza". Serverët tanë të skanimit përfundojnë gjithashtu në listat e zeza, por rezultati i zbulimit të shërbimeve që na duhen është më i lartë se ai i atyre që thjesht skanojnë sa më shumë porte dhe shesin akses në këto të dhëna.

Mungesa e aksesit në të gjithë bazën e të dhënave të të dhënave historike. Shpjegim. Çdo furnizues normal ka një histori të mirë të akumuluar, por për arsye natyrore ne, si klient, nuk mundëm të kishim akses në të gjitha të dhënat historike. Ato. Ju mund të merrni të gjithë historinë për një rekord të vetëm, për shembull, sipas domenit ose adresës IP, por nuk mund të shihni historinë e gjithçkaje - dhe pa këtë nuk mund të shihni pamjen e plotë.
Për të mbledhur sa më shumë regjistrime historike mbi domenet, blemë baza të ndryshme të dhënash, analizuam shumë burime të hapura që kishin këtë histori (është mirë që kishte shumë prej tyre) dhe negociuam me regjistruesit e emrave të domenit. Të gjitha përditësimet në koleksionet tona sigurisht që mbahen me një histori të plotë rishikimi.

Të gjitha zgjidhjet ekzistuese ju lejojnë të ndërtoni një grafik me dorë. Shpjegim. Le të themi se keni blerë shumë abonime nga të gjithë ofruesit e mundshëm të të dhënave (zakonisht të quajtur "pasurues"). Kur duhet të ndërtoni një grafik, ju "duart" jepni komandën për të ndërtuar nga elementi i dëshiruar i lidhjes, pastaj zgjidhni ato të nevojshme nga elementët që shfaqen dhe jepni komandën për të përfunduar lidhjet prej tyre, e kështu me radhë. Në këtë rast, përgjegjësia se sa mirë do të ndërtohet grafiku i takon tërësisht personit.
Bëmë ndërtim automatik të grafikëve. Ato. nëse keni nevojë të ndërtoni një grafik, atëherë lidhjet nga elementi i parë ndërtohen automatikisht, pastaj nga të gjitha ato të mëvonshme gjithashtu. Specialisti tregon vetëm thellësinë në të cilën duhet të ndërtohet grafiku. Procesi i plotësimit automatik të grafikëve është i thjeshtë, por shitësit e tjerë nuk e zbatojnë atë sepse prodhon një numër të madh rezultatesh të parëndësishme, dhe ne gjithashtu duhej ta merrnim parasysh këtë pengesë (shih më poshtë).

Shumë rezultate të parëndësishme janë problem me të gjithë grafikët e elementeve të rrjetit. Shpjegim. Për shembull, një "domain i keq" (i marrë pjesë në një sulm) lidhet me një server që ka 10 domene të tjera të lidhura me të gjatë 500 viteve të fundit. Kur shtoni manualisht ose ndërtoni automatikisht një grafik, të gjitha këto 500 domene duhet të shfaqen gjithashtu në grafik, megjithëse ato nuk janë të lidhura me sulmin. Ose, për shembull, ju kontrolloni treguesin IP nga raporti i sigurisë së shitësit. Në mënyrë tipike, raporte të tilla lëshohen me një vonesë të konsiderueshme dhe shpesh përfshijnë një vit ose më shumë. Me shumë mundësi, në momentin që lexoni raportin, serveri me këtë adresë IP tashmë është marrë me qira për persona të tjerë me lidhje të tjera, dhe ndërtimi i një grafiku do të rezultojë përsëri në marrjen e rezultateve të parëndësishme.
Ne e trajnuam sistemin për të identifikuar elementë të parëndësishëm duke përdorur të njëjtën logjikë siç bënë manualisht ekspertët tanë. Për shembull, po kontrolloni një domen të keq example.com, i cili tani zgjidh në IP 11.11.11.11 dhe një muaj më parë - në IP 22.22.22.22. Përveç domenit example.com, IP 11.11.11.11 shoqërohet gjithashtu me example.ru, dhe IP 22.22.22.22 shoqërohet me 25 mijë domene të tjera. Sistemi, si një person, e kupton që 11.11.11.11 ka shumë të ngjarë të jetë një server i dedikuar, dhe meqenëse domeni example.ru është i ngjashëm në drejtshkrim me example.com, atëherë, me një probabilitet të lartë, ata janë të lidhur dhe duhet të jenë në grafiku; por IP 22.22.22.22 i përket hostimit të përbashkët, kështu që të gjitha domenet e tij nuk kanë nevojë të përfshihen në grafik, përveç nëse ka lidhje të tjera që tregojnë se një nga këto 25 mijë domene gjithashtu duhet të përfshihet (për shembull, shembull.net) . Përpara se sistemi të kuptojë se lidhjet duhet të prishen dhe disa elementë të mos zhvendosen në grafik, ai merr parasysh shumë veti të elementeve dhe grupimeve në të cilat kombinohen këto elemente, si dhe fuqinë e lidhjeve aktuale. Për shembull, nëse kemi një grup të vogël (50 elementë) në grafik, i cili përfshin një domen të keq, dhe një grup tjetër të madh (5 mijë elementë) dhe të dy grupet lidhen me një lidhje (linje) me forcë (peshë) shumë të ulët. , atëherë një lidhje e tillë do të prishet dhe elementët nga grupi i madh do të hiqen. Por nëse ka shumë lidhje midis grupimeve të vogla dhe të mëdha dhe forca e tyre rritet gradualisht, atëherë në këtë rast lidhja nuk do të prishet dhe elementët e nevojshëm nga të dy grupet do të mbeten në grafik.

Intervali i pronësisë së serverit dhe domenit nuk merret parasysh. Shpjegim. "Domenet e këqija" herët a vonë do të skadojnë dhe do të blihen përsëri për qëllime keqdashëse ose legjitime. Edhe serverët pritës antiplumb u jepen me qira hakerave të ndryshëm, kështu që është kritike të dihet dhe të merret parasysh intervali kur një domen/server i caktuar ishte nën kontrollin e një pronari. Shpesh hasim një situatë ku një server me IP 11.11.11.11 përdoret tani si C&C për një bot bankar dhe 2 muaj më parë ai kontrollohej nga Ransomware. Nëse ndërtojmë një lidhje pa marrë parasysh intervalet e pronësisë, do të duket sikur ka një lidhje midis pronarëve të botnet-it bankar dhe ransomware-it, megjithëse në fakt nuk ka asnjë. Në punën tonë, një gabim i tillë është kritik.
Ne e mësuam sistemin të përcaktojë intervalet e pronësisë. Për domenet kjo është relativisht e thjeshtë, sepse whois shpesh përmban datat e fillimit dhe skadimit të regjistrimit dhe, kur ka një histori të plotë të ndryshimeve whois, është e lehtë të përcaktohen intervalet. Kur regjistrimi i një domeni nuk ka skaduar, por menaxhimi i tij është transferuar te pronarët e tjerë, ai gjithashtu mund të gjurmohet. Nuk ka një problem të tillë për certifikatat SSL, sepse ato lëshohen një herë dhe nuk rinovohen apo transferohen. Por me certifikatat e vetë-nënshkruara, nuk mund t'u besoni datave të specifikuara në periudhën e vlefshmërisë së certifikatës, sepse mund të gjeneroni një certifikatë SSL sot dhe të specifikoni datën e fillimit të certifikatës nga viti 2010. Gjëja më e vështirë është të përcaktoni intervalet e pronësisë për serverët, sepse vetëm ofruesit e pritjes kanë data dhe periudha qiraje. Për të përcaktuar periudhën e pronësisë së serverit, filluam të përdorim rezultatet e skanimit të portit dhe krijimin e gjurmëve të gishtërinjve të shërbimeve të ekzekutimit në porte. Duke përdorur këtë informacion, ne mund të themi me saktësi kur ka ndryshuar pronari i serverit.

Pak lidhje. Shpjegim. Në ditët e sotme, nuk është as problem të merrni një listë falas të domeneve, whois i të cilave përmban një adresë specifike emaili, ose të zbuloni të gjitha domenet që ishin të lidhur me një adresë IP specifike. Por kur bëhet fjalë për hakerat që bëjnë çmos që të jenë të vështirë për t'u gjurmuar, ne kemi nevojë për truke shtesë për të gjetur prona të reja dhe për të ndërtuar lidhje të reja.
Kaluam shumë kohë duke hulumtuar se si mund të nxjerrim të dhëna që nuk ishin të disponueshme në një mënyrë konvencionale. Nuk mund të përshkruajmë këtu se si funksionon për arsye të dukshme, por në rrethana të caktuara, hakerët, kur regjistrojnë domene ose marrin me qira dhe vendosin serverë, bëjnë gabime që i lejojnë ata të zbulojnë adresat e emailit, pseudonimet e hakerëve dhe adresat e backend-it. Sa më shumë lidhje të nxirrni, aq më të sakta mund të ndërtoni.

Si funksionon grafiku ynë

Për të filluar përdorimin e grafikut të rrjetit, duhet të futni fushën e gishtërinjve të domenit, adresës IP, emailit ose certifikatës SSL në shiritin e kërkimit. Ekzistojnë tre kushte që analisti mund të kontrollojë: kohën, thellësinë e hapit dhe pastrimin.

Kohë

Koha – data ose intervali kur elementi i kërkuar është përdorur për qëllime keqdashëse. Nëse nuk e specifikoni këtë parametër, vetë sistemi do të përcaktojë intervalin e fundit të pronësisë për këtë burim. Për shembull, më 11 korrik, Eset publikoi raportin rreth mënyrës sesi Buhtrap përdor shfrytëzimin 0-ditor për spiunazh kibernetik. Në fund të raportit janë 6 tregues. Njëri prej tyre, safe-telemetry[.]net, u riregjistrua më 16 korrik. Prandaj, nëse ndërtoni një grafik pas 16 korrikut, do të merrni rezultate të parëndësishme. Por nëse tregoni se ky domen është përdorur përpara kësaj date, atëherë grafiku përfshin 126 domene të reja, 69 adresa IP që nuk janë të listuara në raportin Eset:

• ukrfreshnews[.]com
• unian-search[.]com
• vesti-world[.]info
• runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]info
• rian-ua[.]net
• etj

Përveç treguesve të rrjetit, ne gjejmë menjëherë lidhje me skedarë keqdashës që kishin lidhje me këtë infrastrukturë dhe etiketa që na tregojnë se janë përdorur Meterpreter dhe AZORult.

Gjëja më e mirë është se ju e merrni këtë rezultat brenda një sekonde dhe nuk keni më nevojë të shpenzoni ditë duke analizuar të dhënat. Sigurisht, kjo qasje ndonjëherë redukton ndjeshëm kohën për hetime, e cila shpesh është kritike.

Numri i hapave ose thellësia e rekursionit me të cilën do të ndërtohet grafiku

Si parazgjedhje, thellësia është 3. Kjo do të thotë që të gjithë elementët e lidhur drejtpërdrejt do të gjenden nga elementi i dëshiruar, më pas do të ndërtohen lidhje të reja nga çdo element i ri me elementët e tjerë, dhe elementë të rinj do të krijohen nga elementët e rinj nga i fundit. hap.

Le të marrim një shembull që nuk lidhet me APT dhe shfrytëzimet 0-ditore. Kohët e fundit, një rast interesant mashtrimi në lidhje me kriptovalutat u përshkrua në Habré. Raporti përmend domenin themcx[.]co, i përdorur nga mashtruesit për të pritur një faqe interneti që pretendon të jetë një shkëmbim monedhash Miner dhe një kërkim telefonik[.]xyz për të tërhequr trafikun.

Është e qartë nga përshkrimi se skema kërkon një infrastrukturë mjaft të madhe për të tërhequr trafikun drejt burimeve mashtruese. Ne vendosëm të shikojmë këtë infrastrukturë duke ndërtuar një grafik në 4 hapa. Dalja ishte një grafik me 230 domene dhe 39 adresa IP. Më pas, ne i ndajmë domenet në 2 kategori: ato që janë të ngjashme me shërbimet për të punuar me kriptovalutat dhe ato që synojnë të drejtojnë trafikun përmes shërbimeve të verifikimit të telefonit:

Lidhur me kriptomonedhën
Lidhur me shërbimet e goditjes së telefonit

monetar[.]cc
telefonuesi-record[.]site.

mcxwallet[.]bashkë
telefon-regjistrat[.]hapësirë

btcnoise[.]com
fone-zbuloj[.]xyz

cryptominer[.]orë
numër-zbuloj[.]info

Очистка

Si parazgjedhje, opsioni "Pastrimi i grafikut" është i aktivizuar dhe të gjithë elementët e parëndësishëm do të hiqen nga grafiku. Nga rruga, ajo u përdor në të gjithë shembujt e mëparshëm. Unë parashikoj një pyetje të natyrshme: si mund të sigurohemi që diçka e rëndësishme të mos fshihet? Unë do të përgjigjem: për analistët që duan të ndërtojnë grafikë me dorë, pastrimi i automatizuar mund të çaktivizohet dhe numri i hapave mund të zgjidhet = 1. Më pas, analisti do të jetë në gjendje të plotësojë grafikun nga elementët që i nevojiten dhe të heqë elementet nga grafikun që nuk ka lidhje me detyrën.

Tashmë në grafik, historia e ndryshimeve në whois, DNS, si dhe portet e hapura dhe shërbimet që funksionojnë në to vihen në dispozicion të analistit.

Fishing financiar

Ne hetuam aktivitetet e një grupi APT, i cili për disa vite kryente sulme phishing ndaj klientëve të bankave të ndryshme në rajone të ndryshme. Karakteristikë e këtij grupi ishte regjistrimi i domeneve shumë të ngjashëm me emrat e bankave reale, dhe shumica e faqeve të phishing-ut kishin të njëjtin dizajn, me dallimet e vetme në emrat e bankave dhe logot e tyre.

Në këtë rast, analiza e automatizuar e grafikut na ndihmoi shumë. Duke marrë një nga domenet e tyre - lloydsbnk-uk[.]com, në pak sekonda ndërtuam një grafik me një thellësi prej 3 hapash, i cili identifikoi më shumë se 250 domene me qëllim të keq që janë përdorur nga ky grup që nga viti 2015 dhe vazhdojnë të përdoren. . Disa nga këto domene tashmë janë blerë nga bankat, por të dhënat historike tregojnë se ato ishin regjistruar më parë për sulmuesit.

Për qartësi, figura tregon një grafik me një thellësi prej 2 hapash.

Vlen të përmendet se tashmë në vitin 2019, sulmuesit ndryshuan disi taktikat e tyre dhe filluan të regjistrojnë jo vetëm domenet e bankave për pritjen e web phishing, por edhe domenet e kompanive të ndryshme konsulente për dërgimin e emaileve phishing. Për shembull, domenet swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.

Banda e kobaltit

Në dhjetor 2018, grupi i hakerëve Cobalt, i specializuar në sulmet e synuara ndaj bankave, dërgoi një fushatë postare në emër të Bankës Kombëtare të Kazakistanit.

Letrat përmbanin lidhje me hXXps://nationalbank.bz/Doc/Prikaz.doc. Dokumenti i shkarkuar përmbante një makro që nisi Powershell, i cili do të përpiqej të ngarkonte dhe ekzekutonte skedarin nga hXXp://wateroilclub.com/file/dwm.exe në %Temp%einmrmdmy.exe. Skedari %Temp%einmrmdmy.exe i njohur ndryshe si dwm.exe është një skedë CobInt i konfiguruar për të bashkëvepruar me serverin hXXp://admvmsopp.com/rilruietguadvtoefmuy.

Imagjinoni të mos jeni në gjendje të merrni këto emaile phishing dhe të kryeni një analizë të plotë të skedarëve me qëllim të keq. Grafiku për domenin me qëllim të keq Nationalbank[.]bz tregon menjëherë lidhjet me domene të tjera me qëllim të keq, ia atribuon atë një grupi dhe tregon se cilët skedarë janë përdorur në sulm.

Le të marrim adresën IP 46.173.219[.]152 nga ky grafik dhe të ndërtojmë një grafik prej tij me një kalim dhe të çaktivizojmë pastrimin. Ka 40 domene të lidhura me të, për shembull, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

Duke gjykuar nga emrat e domain-eve, duket se ato përdoren në skema mashtruese, por algoritmi i pastrimit kuptoi se nuk kishin lidhje me këtë sulm dhe nuk i vendosi në grafik, gjë që thjeshton shumë procesin e analizës dhe atribuimit.

Nëse e rindërtoni grafikun duke përdorur bankën kombëtare[.]bz, por duke çaktivizuar algoritmin e pastrimit të grafikut, atëherë ai do të përmbajë më shumë se 500 elementë, shumica e të cilëve nuk kanë të bëjnë fare me grupin Cobalt ose me sulmet e tyre. Një shembull se si duket një grafik i tillë është dhënë më poshtë:

Përfundim

Pas disa vitesh akordimi, testimi në hetime reale, kërkimi i kërcënimeve dhe gjuetia për sulmuesit, ne arritëm jo vetëm të krijonim një mjet unik, por edhe të ndryshonim qëndrimin e ekspertëve brenda kompanisë ndaj tij. Fillimisht, ekspertët teknikë kërkojnë kontroll të plotë mbi procesin e ndërtimit të grafikut. Bindja e tyre se ndërtimi automatik i grafikut mund ta bënte këtë më mirë se një person me shumë vite përvojë ishte jashtëzakonisht i vështirë. Gjithçka u vendos nga koha dhe kontrollet e shumta "manuale" të rezultateve të asaj që prodhoi grafiku. Tani ekspertët tanë jo vetëm që i besojnë sistemit, por edhe i përdorin rezultatet që ai merr në punën e tyre të përditshme. Kjo teknologji funksionon brenda secilit prej sistemeve tona dhe na lejon të identifikojmë më mirë kërcënimet e çdo lloji. Ndërfaqja për analizën manuale të grafikut është e integruar në të gjitha produktet e Group-IB dhe zgjeron ndjeshëm aftësitë për gjuetinë e krimit kibernetik. Kjo konfirmohet nga vlerësimet e analistëve nga klientët tanë. Dhe ne, nga ana tjetër, vazhdojmë të pasurojmë grafikun me të dhëna dhe të punojmë në algoritme të reja duke përdorur inteligjencën artificiale për të krijuar grafikun më të saktë të rrjetit.

Burimi: www.habr.com