Nalungtik kasus nu patali jeung phishing, botnets, transaksi curang jeung grup hacker kriminal, ahli Grup-IB geus ngagunakeun analisis grafik salila sababaraha taun pikeun ngaidentipikasi rupa-rupa sambungan. Kasus anu béda gaduh set data sorangan, algoritma sorangan pikeun ngaidentipikasi sambungan, sareng antarmuka anu disaluyukeun pikeun tugas khusus. Sadaya alat ieu dikembangkeun sacara internal ku Group-IB sareng ngan sayogi pikeun karyawan urang.
Analisis grafik infrastruktur jaringan (grafik jaringan) janten alat internal munggaran anu urang diwangun kana sadaya produk umum perusahaan. Sateuacan nyiptakeun grafik jaringan kami, kami nganalisis seueur kamajuan anu sami di pasar sareng henteu mendakan produk tunggal anu nyugemakeun kabutuhan urang sorangan. Dina artikel ieu kami baris ngobrol ngeunaan kumaha urang nyieun grafik jaringan, kumaha urang ngagunakeun eta, sarta naon kasusah urang encountered.
Dmitry Volkov, CTO Grup-IB sarta kapala kecerdasan cyber
Naon anu tiasa dilakukeun ku grafik jaringan Grup-IB?
Panalungtikan
Saprak ngadegna Grup-IB di 2003 nepi ka ayeuna, ngaidentipikasi, deanoning jeung bringing cybercriminals ka kaadilan geus prioritas luhur dina karya urang. Henteu aya hiji panalungtikan cyberattack anu lengkep tanpa analisa infrastruktur jaringan para panyerang. Dina awal perjalanan urang, éta rada painstaking "karya manual" pikeun milarian hubungan anu tiasa ngabantosan ngaidentipikasi penjahat: inpormasi ngeunaan nami domain, alamat IP, sidik digital server, jsb.
Seuseueurna panyerang nyobian ngalaksanakeun sabisa-bisa anonim dina jaringan. Sanajan kitu, kawas sakabeh jalma, maranéhna nyieun kasalahan. Tujuan utama analisa sapertos kitu nyaéta pikeun milarian proyék sajarah "bodas" atanapi "abu" panyerang anu gaduh persimpangan sareng infrastruktur jahat anu dianggo dina kajadian ayeuna anu urang nalungtik. Lamun kasebut nyaéta dimungkinkeun pikeun ngadeteksi "proyék bodas", lajeng manggihan panyerang, sakumaha aturan, janten tugas trivial. Dina kasus anu "abu", milarian langkung seueur waktos sareng usaha, sabab pamilikna nyobian anonim atanapi nyumputkeun data pendaptaran, tapi kamungkinanna tetep lumayan. Sakumaha aturan, dina awal kagiatan kriminal maranéhanana, panyerang teu merhatikeun kasalametan sorangan jeung nyieun leuwih kasalahan, jadi nu deeper urang bisa teuleum ka carita, nu leuwih luhur kasempetan panalungtikan suksés. Éta sababna grafik jaringan anu gaduh sajarah anu saé mangrupikeun unsur anu penting dina panalungtikan sapertos kitu. Kantun nempatkeun, data sajarah deeper parusahaan boga, hadé grafik na. Hayu urang nyebutkeun yén sajarah 5 taun bisa mantuan ngajawab, conditionally, 1-2 kaluar 10 kajahatan, sarta sajarah 15 taun méré kasempetan pikeun ngajawab sakabéh sapuluh.
Phishing jeung Deteksi panipuan
Unggal waktos urang nampi tautan anu curiga ka sumber daya phishing, curang atanapi bajakan, urang otomatis ngawangun grafik sumber jaringan anu aya hubunganana sareng pariksa sadaya host anu kapendak pikeun eusi anu sami. Ieu ngidinan Anjeun pikeun manggihan duanana situs phishing heubeul nu aktip tapi kanyahoan, kitu ogé nu lengkep anyar nu disiapkeun pikeun serangan hareup, tapi teu acan dipaké. Conto dasar anu sering lumangsung: kami mendakan situs phishing dina server anu ngan ukur 5 situs. Ku mariksa unggal sahijina, urang manggihan eusi phishing dina situs séjén, nu hartina urang bisa meungpeuk 5 tinimbang 1.
Pilarian pikeun backends
Prosés ieu diperlukeun pikeun nangtukeun dimana server jahat sabenerna resides.
99% toko kartu, forum hacker, seueur sumber phishing sareng server jahat sanésna disumputkeun di tukangeun server proxy sorangan sareng proksi jasa anu sah, contona, Cloudflare. Pangaweruh ngeunaan backend nyata pohara penting pikeun investigations: panyadia hosting ti mana server bisa nyita janten dipikawanoh, sarta janten mungkin pikeun ngawangun sambungan kalawan proyék jahat lianna.
Contona, anjeun boga situs phishing pikeun ngumpulkeun data kartu bank nu ngabéréskeun alamat IP 11.11.11.11, sarta alamat cardshop nu ngabéréskeun alamat IP 22.22.22.22. Salila analisa, sigana yén situs phishing sareng toko kartu gaduh alamat IP backend umum, contona, 33.33.33.33. Pangaweruh ieu ngamungkinkeun urang ngawangun sambungan antara serangan phishing sareng toko kartu dimana data kartu bank tiasa dijual.
Korélasi acara
Lamun anjeun boga dua micu béda (hayu urang nyebutkeun on hiji IDS) kalawan malware béda jeung server béda ngadalikeun serangan, anjeun bakal ngubaran eta salaku dua acara bebas. Tapi upami aya hubungan anu saé antara infrastruktur jahat, janten écés yén ieu sanés serangan anu béda, tapi tahapan hiji, serangan multi-tahap anu langkung kompleks. Sareng upami salah sahiji kajadian parantos dikaitkeun ka grup panyerang, maka anu kadua ogé tiasa dikaitkeun ka grup anu sami. Tangtosna, prosés atribusi langkung rumit, janten ngubaran ieu salaku conto anu saderhana.
Pengayaan indikator
Kami moal nengetan pisan kana ieu, sabab ieu mangrupikeun skenario anu paling umum pikeun ngagunakeun grafik dina cybersecurity: anjeun masihan hiji indikator salaku input, sareng salaku kaluaran anjeun nampi sababaraha indikator anu aya hubunganana.
Ngidentipikasi pola
Identipikasi pola penting pisan pikeun moro éféktif. Grafik ngamungkinkeun anjeun henteu ngan ukur mendakan elemen anu aya hubunganana, tapi ogé pikeun ngaidentipikasi sipat umum anu janten ciri tina grup hacker khusus. Pangaweruh ngeunaan ciri unik sapertos kitu ngamungkinkeun anjeun ngenalkeun infrastruktur panyerang sanajan dina tahap persiapan sareng tanpa bukti anu mastikeun serangan, sapertos email phishing atanapi malware.
Naha urang nyieun grafik jaringan sorangan?
Deui, urang nempo solusi ti ngical paralatan béda saméméh urang datang ka kacindekan yen urang diperlukeun pikeun ngembangkeun alat urang sorangan nu bisa ngalakukeun hiji hal anu euweuh produk aya bisa ngalakukeun. Butuh sababaraha taun pikeun nyiptakeunana, salami urang parantos robih sababaraha kali. Tapi, sanaos periode pangembangan anu panjang, kami henteu acan mendakan analog tunggal anu bakal nyugemakeun sarat kami. Ngagunakeun produk urang sorangan, kami pamustunganana bisa ngajawab ampir sakabéh masalah urang kapanggih dina grafik jaringan aya. Di handap ieu kami bakal nganggap masalah ieu sacara rinci:
masalah
kaputusan
Kurangna panyadia sareng kumpulan data anu béda: domain, DNS pasip, SSL pasip, rékaman DNS, palabuhan kabuka, jasa ngajalankeun dina palabuhan, file anu berinteraksi sareng nami domain sareng alamat IP. Katerangan. Biasana, panyadia nyayogikeun jinis data anu misah, sareng pikeun nyandak gambar lengkep, anjeun kedah mésér langganan ti sadayana. Sanajan kitu, teu salawasna mungkin pikeun ménta sakabéh data: sababaraha panyadia SSL pasip nyadiakeun data wungkul ngeunaan sertipikat dikaluarkeun ku CA dipercaya, sarta sinyalna maranéhanana sertipikat timer ditandatanganan pisan goréng. Batur ogé nyadiakeun data ngagunakeun sertipikat timer ditandatanganan, tapi ngumpulkeun éta ukur ti palabuhan baku.
Urang ngumpulkeun sakabeh koleksi di luhur sorangan. Contona, pikeun ngumpulkeun data ngeunaan sertipikat SSL, urang nulis layanan sorangan nu ngumpulkeun duanana ti CA dipercaya jeung scanning sakabéh spasi IPv4. Sertipikat dikumpulkeun henteu ngan ti IP, tapi ogé tina sadaya domain sareng subdomain tina database kami: upami anjeun gaduh domain example.com sareng subdomain na. sarta aranjeunna sadayana ngabéréskeun IP 1.1.1.1, lajeng mun anjeun nyobian pikeun ménta sertipikat SSL ti port 443 on IP, domain na subdomain na, anjeun bisa meunang tilu hasil béda. Pikeun ngumpulkeun data ngeunaan palabuhan kabuka sareng jasa anu ngajalankeun, urang kedah nyiptakeun sistem scanning anu disebarkeun sorangan, sabab jasa anu sanés sering ngagaduhan alamat IP tina server scanning na dina "béréndélan hideung." Server scanning kami ogé ditungtungan dina daptar hideung, tapi hasil tina ngadeteksi jasa anu urang butuhkeun langkung luhur tibatan jalma anu ngan saukur nyeken palabuhan saloba-gancang sareng ngajual aksés kana data ieu.
Kurangna aksés ka sakabéh database catetan sajarah. Katerangan. Unggal supplier normal boga sajarah akumulasi alus, tapi alesan alam urang, salaku klien, teu bisa meunang aksés ka sadaya data sajarah. Jelema. Anjeun tiasa nampi sadaya sajarah pikeun rékaman tunggal, contona, ku domain atanapi alamat IP, tapi anjeun moal tiasa ningali sajarah sadayana - sareng tanpa ieu anjeun moal tiasa ningali gambar lengkep.
Pikeun ngumpulkeun saloba rékaman sajarah dina domain-gancang, urang meuli rupa basis data, parsed loba sumber kabuka anu miboga sajarah ieu (éta alus nu aya loba di antarana), sarta disawalakeun jeung registrars ngaran domain. Kabéh apdet pikeun koleksi urang sorangan anu tangtu diteundeun kalawan sajarah révisi pinuh.
Sadaya solusi anu aya ngamungkinkeun anjeun ngawangun grafik sacara manual. Katerangan. Anggap anjeun mésér seueur langganan ti sadaya panyadia data anu mungkin (biasana disebut "enrichers"). Nalika anjeun kedah ngawangun grafik, anjeun "leungeun" masihan paréntah pikeun ngawangun tina unsur sambungan anu dipikahoyong, teras pilih anu diperyogikeun tina elemen anu muncul sareng masihan paréntah pikeun ngarengsekeun sambungan ti aranjeunna, sareng saterasna. Dina hal ieu, tanggung jawab pikeun kumaha ogé grafik bakal diwangun perenahna sagemblengna ka jalma nu.
Kami ngadamel konstruksi otomatis tina grafik. Jelema. Upami anjeun kedah ngawangun grafik, maka sambungan tina unsur anu munggaran diwangun sacara otomatis, teras tina sadaya anu salajengna. Spésialis ngan ukur nunjukkeun jero dimana grafik kedah diwangun. Prosés otomatis ngalengkepan grafik téh basajan, tapi ngical paralatan séjén teu nerapkeun eta sabab ngahasilkeun angka nu gede ngarupakeun hasil teu relevan, sarta kami ogé kungsi nyandak aral ieu kana rekening (tempo di handap).
Seueur hasil anu teu relevan mangrupikeun masalah sareng sadaya grafik unsur jaringan. Katerangan. Contona, hiji "domain goréng" (ilubiung dina serangan) pakait sareng server nu boga 10 domain séjénna pakait sareng eta leuwih 500 taun kaliwat. Lamun sacara manual nambahkeun atawa otomatis ngawangun grafik, sadaya 500 domain ieu ogé kudu muncul dina grafik, sanajan maranéhna teu patali jeung serangan. Atanapi, contona, anjeun pariksa indikator IP tina laporan kaamanan anu ngajual. Biasana, laporan sapertos kitu dileupaskeun kalayan reureuh anu signifikan sareng sering nganjang sataun atanapi langkung. Paling dipikaresep, dina waktu anjeun maca laporan, server kalawan alamat IP ieu geus disewa ka jalma séjén kalawan sambungan séjén, sarta ngawangun grafik deui bakal ngakibatkeun anjeun meunang hasil teu relevan.
Kami ngalatih sistem pikeun ngaidentipikasi elemen anu teu relevan nganggo logika anu sami sareng para ahli sacara manual. Contona, anjeun mariksa hiji domain goréng example.com, nu ayeuna resolves ka IP 11.11.11.11, sarta sabulan katukang - ka IP 22.22.22.22. Salian domain example.com, IP 11.11.11.11 ogé pakait sareng example.ru, sareng IP 22.22.22.22 pakait sareng 25 rébu domain sanés. Sistim nu, kawas hiji jalma, understands yén 11.11.11.11 paling dipikaresep dedicated server, sarta saprak domain example.ru sarupa dina éjahan example.com, lajeng, kalawan kamungkinan luhur, aranjeunna disambungkeun tur kudu dina grafik; tapi IP 22.22.22.22 milik dibagikeun hosting, jadi sakabéh domain na teu perlu kaasup dina grafik iwal aya sambungan séjén némbongkeun yén salah sahiji 25 rébu domain ieu ogé perlu kaasup (contona, conto. net) . Sateuacan sistem ngartos yén sambungan kedah pegat sareng sababaraha elemen henteu dipindahkeun kana grafik, éta tumut kana seueur pasipatan unsur sareng klaster dimana unsur-unsur ieu digabungkeun, ogé kakuatan sambungan anu ayeuna. Contona, upami urang boga klaster leutik (50 elemen) dina grafik, nu ngawengku hiji domain goréng, sarta klaster badag sejen (5 sarébu elemen) sarta duanana klaster disambungkeun ku sambungan (garis) kalawan kakuatan pisan low (beurat). , teras sambungan sapertos kitu bakal pegat sareng elemen tina klaster ageung bakal dipiceun. Tapi upami aya seueur sambungan antara klaster leutik sareng ageung sareng kakuatanana laun-laun ningkat, maka dina hal ieu sambunganna moal pegat sareng unsur-unsur anu dipikabutuh tina duanana klaster bakal tetep dina grafik.
Interval kapamilikan server sareng domain henteu dipertimbangkeun. Katerangan. "Domain goréng" engké atanapi engké bakal kadaluwarsa sareng dipésér deui pikeun tujuan jahat atanapi sah. Malah server hosting bulletproof anu disewa ka hacker béda, jadi éta kritis uninga tur tumut kana akun interval nalika domain / server tinangtu aya dina kontrol hiji boga. Urang mindeng sapatemon kaayaan dimana server kalawan IP 11.11.11.11 ayeuna dipaké salaku C & C pikeun bot perbankan, sarta 2 sababaraha bulan kapengker ieu dikawasa ku Ransomware. Lamun urang ngawangun sambungan tanpa nyokot kana interval kapamilikan akun, éta bakal kasampak kawas aya sambungan antara nu boga botnet perbankan sarta ransomware, sanajan dina kanyataanana euweuh. Dina karya urang, kasalahan sapertos anu kritis.
Urang ngajarkeun sistem pikeun nangtukeun interval kapamilikan. Pikeun domain ieu kawilang basajan, sabab whois mindeng ngandung mimiti pendaptaran jeung kaping béakna jeung, nalika aya sajarah lengkep parobahan whois, éta gampang pikeun nangtukeun interval. Nalika pendaptaran domain teu kadaluwarsa, tapi manajemén na geus dibikeun ka nu boga séjén, éta ogé bisa dilacak. Henteu aya masalah sapertos pikeun sertipikat SSL, sabab dikaluarkeun sakali sareng henteu di-renew atanapi ditransfer. Tapi kalayan sertipikat anu ditandatanganan sorangan, anjeun moal tiasa percanten ka tanggal anu ditunjuk dina periode validitas sertipikat, sabab anjeun tiasa ngahasilkeun sertipikat SSL ayeuna, sareng netepkeun tanggal mimiti sertipikat ti 2010. Hal anu paling hese nyaéta pikeun nangtukeun interval kapamilikan pikeun server, sabab ngan ukur panyadia hosting anu gaduh tanggal sareng période nyéwa. Pikeun nangtukeun periode kapamilikan server, urang mimitian nganggo hasil scanning port jeung nyieun sidik jasa ngajalankeun on palabuhan. Ngagunakeun informasi ieu, urang bisa cukup akurat nyebutkeun lamun boga server robah.
Sababaraha sambungan. Katerangan. Ayeuna, éta sanés masalah pikeun kéngingkeun daptar domain gratis anu whois ngandung alamat email khusus, atanapi milarian sadaya domain anu aya hubunganana sareng alamat IP khusus. Tapi lamun datang ka hacker anu ngalakukeun pangalusna maranéhna pikeun jadi teuas pikeun ngalacak, urang peryogi trik tambahan pikeun manggihan sipat anyar jeung ngawangun sambungan anyar.
Urang nyéépkeun waktos seueur pikeun nalungtik kumaha urang tiasa nimba data anu henteu sayogi dina cara konvensional. Kami henteu tiasa ngajelaskeun di dieu kumaha éta tiasa dianggo pikeun alesan anu jelas, tapi dina kaayaan anu tangtu, peretas, nalika ngadaptar domain atanapi nyéwa sareng nyetél server, ngadamel kasalahan anu ngamungkinkeun aranjeunna mendakan alamat email, alias hacker, sareng alamat backend. Langkung seueur sambungan anu anjeun pikahoyong, langkung seueur grafik anu anjeun tiasa ngawangun.
Kumaha grafik urang jalan
Pikeun ngamimitian nganggo grafik jaringan, anjeun kedah ngalebetkeun domain, alamat IP, email, atanapi sidik sertipikat SSL kana bar teang. Aya tilu kaayaan anu tiasa dikontrol ku analis: waktos, jero léngkah, sareng ngabersihan.
Waktos
Waktos - tanggal atanapi interval nalika unsur anu dipilarian dianggo pikeun tujuan jahat. Mun anjeun teu nangtukeun parameter ieu, sistem sorangan bakal nangtukeun interval kapamilikan panungtungan pikeun sumberdaya ieu. Contona, dina 11 Juli, Eset diterbitkeun ngeunaan kumaha Buhtrap ngagunakeun eksploitasi 0 dinten pikeun spionase cyber. Aya 6 indikator dina ahir laporan. Salah sahijina, secure-telemetry[.]net, didaptarkeun deui dina 16 Juli. Janten, upami anjeun ngawangun grafik saatos 16 Juli, anjeun bakal nampi hasil anu henteu relevan. Tapi upami anjeun nunjukkeun yén domain ieu dianggo sateuacan tanggal ieu, maka grafik kalebet 126 domain énggal, 69 alamat IP anu henteu didaptarkeun dina laporan Eset:
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-dunya[.]info
- runewsmeta[.]com
- foxnewsmeta [.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- jeung sajabana.
Salian indikator jaringan, urang langsung mendakan sambungan sareng file jahat anu gaduh sambungan sareng infrastruktur ieu sareng tag anu nyarioskeun yén Meterpreter sareng AZORult dianggo.
Hal anu hébat nyaéta anjeun nampi hasil ieu dina sadetik sareng anjeun henteu kedah nyéépkeun dinten-dinten pikeun nganalisis data. Tangtu, pendekatan ieu kadang nyata ngurangan waktu pikeun investigations, nu mindeng kritis.
Jumlah léngkah atawa jero rekursi nu grafik bakal diwangun
Sacara standar, jerona nyaéta 3. Ieu ngandung harti yén sakabéh elemen patali langsung bakal kapanggih tina unsur nu dipikahoyong, lajeng sambungan anyar bakal diwangun ti unggal elemen anyar pikeun elemen séjén, sarta elemen anyar bakal dijieun tina elemen anyar ti panungtungan. lengkah.
Hayu urang nyandak conto anu henteu aya hubunganana sareng APT sareng eksploitasi 0 dinten. Anyar, hiji kasus metot panipuan patali cryptocurrencies digambarkeun dina Habré. laporan nyebutkeun domain themcx[.]co, dipaké ku scammers mun boga imah ramatloka nu purports janten Miner Coin Exchange jeung telepon-lookup [.]xyz pikeun narik lalulintas.
Ieu jelas tina pedaran yén skéma merlukeun infrastruktur cukup badag pikeun narik lalulintas keur sumberdaya curang. Kami mutuskeun pikeun ningali infrastruktur ieu ku ngawangun grafik dina 4 léngkah. Kaluaran éta mangrupikeun grafik kalayan 230 domain sareng 39 alamat IP. Salajengna, urang ngabagi domain kana 2 kategori: anu sami sareng jasa pikeun damel sareng mata uang kripto sareng anu dimaksudkeun pikeun ngajalankeun lalu lintas ngalangkungan jasa verifikasi telepon:
Patali jeung cryptocurrency
Pakait sareng jasa punching telepon
coinkeeper[.]cc
panelepon-catetan [.]situs.
mcxwallet[.]co
telepon-rékam[.]spasi
btcnoise[.]com
fone-uncover[.]xyz
cryptominer [.] lalajo
number-uncover[.]info
Beberesih
Sacara standar, pilihan "Graph Cleanup" diaktipkeun sareng sadaya elemen anu teu relevan bakal dipiceun tina grafik. Ku jalan kitu, éta dipaké dina sakabéh conto saméméhna. Kuring ngarepkeun patarosan anu alami: kumaha urang tiasa mastikeun yén hal anu penting henteu dihapus? Kuring bakal ngajawab: pikeun analis anu resep ngawangun grafik ku leungeun, beberesih otomatis bisa ditumpurkeun sarta jumlah hambalan bisa dipilih = 1. Salajengna, analis bakal tiasa ngalengkepan grafik ti elemen anjeunna perlu jeung cabut elemen ti. grafik nu teu relevan keur tugas.
Parantos dina grafik, sajarah parobihan dina whois, DNS, ogé palabuhan kabuka sareng jasa anu dijalankeun dina éta sayogi pikeun analis.
phishing finansial
Urang nalungtik kagiatan hiji grup APT, nu salila sababaraha taun dilumangsungkeun serangan phishing ngalawan klien rupa-rupa bank di wewengkon béda. Fitur karakteristik grup ieu nya éta pendaptaran domain sarupa pisan jeung ngaran bank nyata, sarta lolobana situs phishing boga desain sarua, ngan béda dina ngaran bank jeung logos maranéhanana.
Dina hal ieu, analisis grafik otomatis mantuan kami pisan. Nyandak salah sahiji domain maranéhanana - lloydsbnk-uk[.]com, dina sababaraha detik urang ngawangun grafik kalayan jerona 3 léngkah, nu dicirikeun leuwih ti 250 domain jahat anu geus dipaké ku grup ieu saprak 2015 sarta terus dipaké. . Sababaraha domain ieu parantos dipésér ku bank, tapi catetan sajarah nunjukkeun yén éta sateuacana didaptarkeun ka panyerang.
Pikeun kajelasan, inohong nembongkeun grafik kalayan jerona 2 hambalan.
Perlu dicatet yén dina taun 2019, panyerang rada ngarobih taktikna sareng mimiti ngadaptar henteu ngan ukur domain bank pikeun hosting wéb phishing, tapi ogé domain sababaraha perusahaan konsultan pikeun ngirim email phishing. Contona, domain swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Geng kobalt
Dina Désémber 2018, grup hacker Cobalt, anu khusus dina serangan anu ditargetkeun ka bank, ngirim kampanye surat atas nama Bank Nasional Kazakhstan.
Suratna ngandung tumbu ka hXXps://nationalbank.bz/Doc/Prikaz.doc. Dokumén anu diunduh ngandung makro anu ngaluncurkeun Powershell, anu bakal nyobian ngamuat sareng ngaéksekusi file tina hXXp://wateroilclub.com/file/dwm.exe dina %Temp%einmrmdmy.exe. Berkas %Temp%einmrmdmy.exe alias dwm.exe mangrupakeun stager CobInt dikonpigurasi pikeun berinteraksi sareng server hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Bayangkeun teu tiasa nampi email phishing ieu sareng laksanakeun analisa lengkep file jahat. Grafik pikeun domain jahat nationalbank[.]bz geuwat nembongkeun sambungan jeung domain jahat séjén, atribut ka grup tur nembongkeun file mana anu dipaké dina serangan éta.
Hayu urang nyandak alamat IP 46.173.219 [.]152 tina grafik ieu sareng ngawangun grafik ti dinya dina hiji pass sareng mareuman beberesih. Aya 40 domain pakait sareng eta, contona, bl0ckchain [.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Ditilik ku ngaran domain, sigana nu sipatna dipaké dina schemes curang, tapi algoritma beberesih sadar yén maranéhna teu patali jeung serangan ieu sarta henteu nempatkeun aranjeunna dina grafik, nu greatly simplifies prosés analisis jeung attribution.
Lamun ngawangun deui grafik maké nationalbank [.] bz, tapi nganonaktipkeun algoritma beberesih grafik, mangka bakal ngandung leuwih ti 500 elemen, lolobana nu teu aya hubunganana jeung grup Kobalt atawa serangan maranéhanana. Conto kumaha grafik sapertos kieu dipasihkeun di handap:
kacindekan
Sanggeus sababaraha taun fine tuning, nguji dina investigations nyata, panalungtikan anceman jeung moro pikeun panyerang, urang junun teu ngan nyieun hiji alat unik, tapi ogé pikeun ngarobah sikep para ahli dina pausahaan ka arah eta. Mimitina, para ahli téknis hoyong kontrol lengkep dina prosés pangwangunan grafik. Ngayakinkeun aranjeunna yén konstruksi grafik otomatis tiasa ngalakukeun ieu langkung saé tibatan jalma anu gaduh pangalaman mangtaun-taun sesah pisan. Sagalana diputuskeun ku waktos sareng sababaraha cék "manual" tina hasil tina grafik anu dihasilkeun. Ayeuna para ahli kami henteu ngan ukur percanten ka sistem, tapi ogé ngagunakeun hasil anu ditampi dina padamelan sapopoé. Téknologi ieu jalan di jero unggal sistem urang sareng ngamungkinkeun urang pikeun ngaidentipikasi ancaman anu langkung saé tina jinis naon waé. Antarbeungeut pikeun analisis grafik manual diwangun kana sakabéh produk Grup-IB tur nyata expands kamampuhan pikeun moro cybercrime. Ieu dikonfirmasi ku ulasan analis ti klien kami. Sarta kami, kahareupna terus enrich grafik kalawan data sarta dianggo dina algoritma anyar ngagunakeun kecerdasan jieunan pikeun nyieun grafik jaringan paling akurat.
sumber: www.habr.com