Kuchunguza kesi zinazohusiana na ulaghai, roboti, miamala ya ulaghai na vikundi vya wadukuzi wa uhalifu, wataalamu wa Kundi-IB wamekuwa wakitumia uchanganuzi wa grafu kwa miaka mingi ili kutambua aina mbalimbali za miunganisho. Matukio tofauti yana seti zao za data, algoriti zao za kutambua miunganisho, na violesura vinavyolengwa kwa ajili ya kazi mahususi. Zana hizi zote zilitengenezwa ndani na Group-IB na zilipatikana kwa wafanyakazi wetu pekee.
Uchambuzi wa grafu ya miundombinu ya mtandao (grafu ya mtandao) ikawa chombo cha kwanza cha ndani ambacho tulitengeneza katika bidhaa zote za umma za kampuni. Kabla ya kuunda grafu ya mtandao wetu, tulichanganua maendeleo mengi sawa kwenye soko na hatukupata bidhaa moja ambayo ilikidhi mahitaji yetu wenyewe. Katika makala hii tutazungumzia jinsi tulivyounda grafu ya mtandao, jinsi tunavyoitumia na matatizo gani tuliyokutana nayo.
Dmitry Volkov, CTO Group-IB na mkuu wa cyber intelligence
Je, grafu ya mtandao wa Kundi-IB inaweza kufanya nini?
Uchunguzi
Tangu kuanzishwa kwa Kundi-IB mnamo 2003 hadi sasa, kuwatambua, kuwatenga na kuwaleta wahalifu wa mtandaoni kumepewa kipaumbele katika kazi yetu. Hakuna uchunguzi hata mmoja wa uvamizi wa mtandao uliokamilika bila kuchambua miundombinu ya mtandao ya washambuliaji. Mwanzoni kabisa mwa safari yetu, ilikuwa "kazi ya mwongozo" yenye uchungu sana kutafuta uhusiano ambao ungeweza kusaidia katika kutambua wahalifu: habari kuhusu majina ya vikoa, anwani za IP, alama za vidole za dijiti za seva, n.k.
Washambuliaji wengi hujaribu kutenda bila kujulikana iwezekanavyo kwenye mtandao. Walakini, kama watu wote, hufanya makosa. Lengo kuu la uchanganuzi kama huo ni kupata miradi ya kihistoria ya washambuliaji "nyeupe" au "kijivu" ambayo ina makutano na miundombinu hasidi iliyotumiwa katika tukio la sasa ambalo tunachunguza. Ikiwezekana kugundua "miradi nyeupe", basi kutafuta mshambuliaji, kama sheria, inakuwa kazi ndogo. Katika kesi ya "kijivu", utafutaji unachukua muda zaidi na jitihada, kwa kuwa wamiliki wao wanajaribu kuficha au kuficha data ya usajili, lakini nafasi zinabaki juu kabisa. Kama sheria, mwanzoni mwa shughuli zao za uhalifu, washambuliaji hawazingatii usalama wao wenyewe na hufanya makosa zaidi, kwa hivyo kadiri tunavyoweza kuingia kwenye hadithi, ndivyo uwezekano wa uchunguzi wa mafanikio unavyoongezeka. Ndiyo maana grafu ya mtandao yenye historia nzuri ni kipengele muhimu sana cha uchunguzi huo. Kwa ufupi, data ya kina ya kihistoria ambayo kampuni ina, ndivyo grafu yake inavyoboresha. Hebu tuseme kwamba historia ya miaka 5 inaweza kusaidia kutatua, kwa masharti, 1-2 kati ya uhalifu wa 10, na historia ya miaka 15 inatoa nafasi ya kutatua yote kumi.
Utambuzi wa Hadaa na Ulaghai
Kila wakati tunapopokea kiungo cha kutiliwa shaka kwa rasilimali ya ulaghai, ulaghai au maharamia, tunaunda kiotomatiki grafu ya rasilimali zinazohusiana na mtandao na kuangalia wapangishi wote wanaopatikana kwa maudhui sawa. Hii hukuruhusu kupata tovuti za zamani za kuhadaa ili kupata maelezo ya kibinafsi ambazo zilikuwa amilifu lakini hazijulikani, na vile vile mpya kabisa ambazo zimetayarishwa kwa mashambulizi ya siku zijazo, lakini bado hazijatumika. Mfano wa kimsingi ambao hutokea mara nyingi kabisa: tulipata tovuti ya kuhadaa ili kupata maelezo ya kibinafsi kwenye seva iliyo na tovuti 5 pekee. Kwa kuangalia kila mojawapo, tunapata maudhui ya kuhadaa ili kupata maelezo ya kibinafsi kwenye tovuti zingine, kumaanisha kuwa tunaweza kuzuia 5 badala ya 1.
Tafuta nyuma
Utaratibu huu ni muhimu ili kuamua mahali ambapo seva hasidi inakaa.
99% ya maduka ya kadi, mijadala ya wadukuzi, rasilimali nyingi za hadaa na seva zingine hasidi zimefichwa nyuma ya seva zao mbadala na seva mbadala za huduma halali, kwa mfano, Cloudflare. Ujuzi kuhusu hali halisi ya nyuma ni muhimu sana kwa uchunguzi: mtoa huduma mwenyeji ambaye seva inaweza kuchukuliwa hujulikana, na inawezekana kujenga miunganisho na miradi mingine mibaya.
Kwa mfano, una tovuti ya hadaa ya kukusanya data ya kadi ya benki ambayo inatatuliwa kwa anwani ya IP 11.11.11.11, na anwani ya duka la kadi ambayo inatatuliwa kwa anwani ya IP 22.22.22.22. Wakati wa uchambuzi, inaweza kuibuka kuwa tovuti ya hadaa na duka la kadi zina anwani ya kawaida ya IP, kwa mfano, 33.33.33.33. Maarifa haya huturuhusu kujenga muunganisho kati ya mashambulizi ya hadaa na duka la kadi ambapo data ya kadi ya benki inaweza kuuzwa.
Uwiano wa tukio
Unapokuwa na vianzio viwili tofauti (tuseme kwenye kitambulisho) chenye programu hasidi tofauti na seva tofauti ili kudhibiti shambulio hilo, utazichukulia kama matukio mawili huru. Lakini ikiwa kuna uhusiano mzuri kati ya miundombinu mbaya, basi inakuwa dhahiri kwamba haya si mashambulizi tofauti, lakini hatua za mashambulizi moja, ngumu zaidi ya hatua nyingi. Na ikiwa moja ya matukio tayari yanahusishwa na kundi lolote la washambuliaji, basi la pili linaweza pia kuhusishwa na kundi moja. Kwa kweli, mchakato wa uwasilishaji ni ngumu zaidi, kwa hivyo chukulia hii kama mfano rahisi.
Uboreshaji wa kiashiria
Hatutazingatia sana hili, kwa kuwa hii ndiyo hali ya kawaida ya kutumia grafu katika usalama wa mtandao: unatoa kiashirio kimoja kama ingizo, na kama matokeo unapata safu ya viashirio vinavyohusiana.
Kubainisha mifumo
Kutambua mifumo ni muhimu kwa uwindaji wa ufanisi. Grafu hukuruhusu sio tu kupata vitu vinavyohusiana, lakini pia kutambua mali ya kawaida ambayo ni tabia ya kikundi fulani cha watapeli. Ujuzi wa sifa kama hizo za kipekee hukuruhusu kutambua miundombinu ya mvamizi hata katika hatua ya maandalizi na bila ushahidi kuthibitisha shambulio hilo, kama vile barua pepe za kuhadaa ili kupata maelezo ya kibinafsi au programu hasidi.
Kwa nini tulitengeneza grafu yetu ya mtandao?
Tena, tuliangalia masuluhisho kutoka kwa wachuuzi tofauti kabla hatujafikia hitimisho kwamba tulihitaji kuunda zana yetu ambayo inaweza kufanya kitu ambacho hakuna bidhaa iliyopo inaweza kufanya. Ilichukua miaka kadhaa kuunda, wakati ambao tuliibadilisha kabisa mara kadhaa. Lakini, licha ya kipindi kirefu cha maendeleo, bado hatujapata analogi moja ambayo ingekidhi mahitaji yetu. Kwa kutumia bidhaa zetu wenyewe, hatimaye tuliweza kutatua karibu matatizo yote tuliyogundua katika grafu zilizopo za mtandao. Hapo chini tutazingatia shida hizi kwa undani:
tatizo
uamuzi
Ukosefu wa mtoaji aliye na makusanyo tofauti ya data: vikoa, DNS tulivu, SSL tuli, rekodi za DNS, bandari wazi, huduma zinazoendesha kwenye bandari, faili zinazoingiliana na majina ya kikoa na anwani za IP. Maelezo. Kwa kawaida, watoa huduma hutoa aina tofauti za data, na ili kupata picha kamili, unahitaji kununua usajili kutoka kwa kila mtu. Hata hivyo, si mara zote inawezekana kupata data yote: baadhi ya watoa huduma wa SSL watoa data tu kuhusu vyeti vinavyotolewa na CA zinazoaminika, na uwasilishaji wao wa vyeti vya kujiandikisha ni duni sana. Nyingine pia hutoa data kwa kutumia vyeti vya kujiandikisha, lakini ikusanye kutoka kwa bandari za kawaida pekee.
Tulikusanya makusanyo yote hapo juu sisi wenyewe. Kwa mfano, ili kukusanya data kuhusu vyeti vya SSL, tuliandika huduma yetu wenyewe ambayo inazikusanya kutoka kwa CA zinazoaminika na kwa kuchanganua nafasi nzima ya IPv4. Vyeti vilikusanywa sio tu kutoka kwa IP, bali pia kutoka kwa vikoa vyote na vikoa vidogo kutoka kwa hifadhidata yetu: ikiwa una kikoa example.com na kikoa chake kidogo. na zote zinatatua kwa IP 1.1.1.1, basi unapojaribu kupata cheti cha SSL kutoka bandari 443 kwenye IP, kikoa na kikoa chake, unaweza kupata matokeo matatu tofauti. Ili kukusanya data kwenye bandari zilizo wazi na huduma zinazoendeshwa, ilitubidi kuunda mfumo wetu wa kuchanganua uliosambazwa, kwa sababu mara nyingi huduma zingine zilikuwa na anwani za IP za seva zao za kuchanganua kwenye "orodha nyeusi." Seva zetu za kuchanganua pia huishia kwenye orodha zisizoruhusiwa, lakini matokeo ya kugundua huduma tunazohitaji ni ya juu kuliko yale ya wanaochanganua milango mingi iwezekanavyo na kuuza ufikiaji wa data hii.
Ukosefu wa ufikiaji wa hifadhidata nzima ya kumbukumbu za kihistoria. Maelezo. Kila mtoa huduma wa kawaida ana historia nzuri iliyokusanywa, lakini kwa sababu za asili sisi, kama mteja, hatukuweza kupata data yote ya kihistoria. Wale. Unaweza kupata historia nzima kwa rekodi moja, kwa mfano, kwa kikoa au anwani ya IP, lakini huwezi kuona historia ya kila kitu - na bila hii huwezi kuona picha kamili.
Ili kukusanya rekodi nyingi za kihistoria kwenye vikoa kadri tuwezavyo, tulinunua hifadhidata mbalimbali, tukachanganua rasilimali nyingi zilizo wazi ambazo zilikuwa na historia hii (ni vyema kwamba zilikuwa nyingi), na tukajadiliana na wasajili wa majina ya vikoa. Masasisho yote ya mikusanyiko yetu bila shaka yanahifadhiwa na historia kamili ya masahihisho.
Suluhisho zote zilizopo hukuruhusu kuunda grafu kwa mikono. Maelezo. Hebu tuseme ulinunua usajili mwingi kutoka kwa watoa huduma wote wa data wanaowezekana (kawaida huitwa "waboreshaji"). Unapohitaji kujenga grafu, wewe "mikono" unatoa amri ya kujenga kutoka kwa kipengele cha uunganisho unachotaka, kisha chagua muhimu kutoka kwa vipengele vinavyoonekana na kutoa amri ya kukamilisha uhusiano kutoka kwao, na kadhalika. Katika kesi hii, jukumu la jinsi grafu itaundwa vizuri iko kwa mtu.
Tulifanya ujenzi wa moja kwa moja wa grafu. Wale. ikiwa unahitaji kujenga grafu, basi viunganisho kutoka kwa kipengele cha kwanza hujengwa moja kwa moja, kisha kutoka kwa wote wanaofuata, pia. Mtaalam anaonyesha tu kina ambacho grafu inahitaji kujengwa. Mchakato wa kukamilisha grafu kiotomatiki ni rahisi, lakini wachuuzi wengine hawatekelezi kwa sababu hutoa idadi kubwa ya matokeo yasiyofaa, na pia tulipaswa kuzingatia upungufu huu (tazama hapa chini).
Matokeo mengi yasiyo na maana ni tatizo la grafu zote za kipengele cha mtandao. Maelezo. Kwa mfano, "kikoa kibaya" (kilichoshiriki katika shambulio) kinahusishwa na seva ambayo ina vikoa vingine 10 vinavyohusishwa nayo katika kipindi cha miaka 500 iliyopita. Wakati wa kuongeza au kuunda grafu kiotomatiki, vikoa hivi vyote 500 vinapaswa pia kuonekana kwenye grafu, ingawa hazihusiani na shambulio hilo. Au, kwa mfano, unaangalia kiashiria cha IP kutoka kwa ripoti ya usalama ya muuzaji. Kwa kawaida, ripoti kama hizo hutolewa kwa ucheleweshaji mkubwa na mara nyingi huchukua mwaka mmoja au zaidi. Uwezekano mkubwa zaidi, wakati unasoma ripoti, seva iliyo na anwani hii ya IP tayari imekodishwa kwa watu wengine walio na viunganisho vingine, na kujenga grafu itasababisha tena kupata matokeo yasiyofaa.
Tulifunza mfumo kutambua vipengele visivyohusika kwa kutumia mantiki sawa na wataalam wetu walivyofanya wenyewe. Kwa mfano, unaangalia kikoa kibaya example.com, ambacho sasa kinatatua kwa IP 11.11.11.11, na mwezi mmoja uliopita - kwa IP 22.22.22.22. Mbali na kikoa example.com, IP 11.11.11.11 pia inahusishwa na example.ru, na IP 22.22.22.22 inahusishwa na vikoa vingine elfu 25. Mfumo, kama mtu, unaelewa kuwa 11.11.11.11 ina uwezekano mkubwa wa seva iliyojitolea, na kwa kuwa kikoa cha example.ru ni sawa katika tahajia kwa example.com, basi, kwa uwezekano mkubwa, zimeunganishwa na zinapaswa kuwa kwenye grafu; lakini IP 22.22.22.22 ni ya upangishaji pamoja, kwa hivyo vikoa vyake vyote havihitaji kujumuishwa kwenye grafu isipokuwa kuwe na miunganisho mingine inayoonyesha kwamba mojawapo ya vikoa hivi elfu 25 pia inahitaji kujumuishwa (kwa mfano, example.net) . Kabla ya mfumo kuelewa kwamba viunganisho vinahitaji kuvunjwa na vipengele vingine havihamishi kwenye grafu, inazingatia mali nyingi za vipengele na makundi ambayo vipengele hivi vinaunganishwa, pamoja na nguvu za viunganisho vya sasa. Kwa mfano, ikiwa tuna kikundi kidogo (vipengele 50) kwenye grafu, ambayo inajumuisha kikoa kibaya, na kikundi kingine kikubwa (vipengele elfu 5) na makundi yote mawili yameunganishwa na uhusiano (mstari) na nguvu ndogo sana (uzito) , basi uunganisho huo utavunjwa na vipengele kutoka kwenye nguzo kubwa vitaondolewa. Lakini ikiwa kuna uhusiano mwingi kati ya makundi madogo na makubwa na nguvu zao huongezeka kwa hatua kwa hatua, basi katika kesi hii uunganisho hautavunjwa na vipengele muhimu kutoka kwa makundi yote yatabaki kwenye grafu.
Muda wa umiliki wa seva na kikoa hauzingatiwi. Maelezo. "Vikoa vibaya" vitaisha muda mfupi au baadaye na kununuliwa tena kwa madhumuni mabaya au halali. Hata seva zinazopangisha zisizo na risasi hukodishwa kwa wadukuzi tofauti, kwa hivyo ni muhimu kujua na kuzingatia muda ambapo kikoa/seva ilikuwa chini ya udhibiti wa mmiliki mmoja. Mara nyingi tunakumbana na hali ambapo seva iliyo na IP 11.11.11.11 sasa inatumika kama C&C kwa roboti ya benki, na miezi 2 iliyopita ilidhibitiwa na Ransomware. Ikiwa tutaunda muunganisho bila kuzingatia vipindi vya umiliki, itaonekana kama kuna uhusiano kati ya wamiliki wa botnet ya benki na ransomware, ingawa kwa kweli hakuna. Katika kazi yetu, kosa kama hilo ni muhimu.
Tulifundisha mfumo kuamua vipindi vya umiliki. Kwa vikoa hii ni rahisi, kwa sababu whois mara nyingi huwa na tarehe za kuanza na kumalizika kwa usajili na, wakati kuna historia kamili ya mabadiliko ya nani, ni rahisi kuamua vipindi. Wakati usajili wa kikoa haujaisha muda wake, lakini usimamizi wake umehamishiwa kwa wamiliki wengine, unaweza pia kufuatiliwa. Hakuna tatizo kama hilo kwa vyeti vya SSL, kwa sababu vinatolewa mara moja na havijasasishwa au kuhamishwa. Lakini ukiwa na vyeti vya kujitia saini, huwezi kuamini tarehe zilizobainishwa katika kipindi cha uhalali wa cheti, kwa sababu unaweza kutoa cheti cha SSL leo, na ubainishe tarehe ya kuanza kwa cheti kutoka 2010. Jambo gumu zaidi ni kuamua vipindi vya umiliki wa seva, kwa sababu watoa huduma wa kukaribisha tu ndio wana tarehe na vipindi vya kukodisha. Kuamua kipindi cha umiliki wa seva, tulianza kutumia matokeo ya skanning ya bandari na kuunda alama za vidole za huduma zinazoendesha kwenye bandari. Kwa kutumia maelezo haya, tunaweza kusema kwa usahihi wakati mmiliki wa seva alibadilika.
Viunganisho vichache. Maelezo. Siku hizi, sio shida hata kupata orodha ya bure ya vikoa ambavyo whois ina anwani maalum ya barua pepe, au kujua vikoa vyote vilivyohusishwa na anwani maalum ya IP. Lakini inapokuja kwa wavamizi wanaojitahidi kuwafuatilia kwa bidii, tunahitaji mbinu za ziada ili kupata sifa mpya na kuunda miunganisho mipya.
Tulitumia muda mwingi kutafiti jinsi tunavyoweza kutoa data ambayo haipatikani kwa njia ya kawaida. Hatuwezi kuelezea hapa jinsi inavyofanya kazi kwa sababu za wazi, lakini chini ya hali fulani, wadukuzi, wakati wa kusajili vikoa au kukodisha na kusanidi seva, hufanya makosa ambayo huwaruhusu kujua anwani za barua pepe, lakabu za hacker, na anwani za nyuma. Kadiri unavyotoa miunganisho zaidi, ndivyo grafu sahihi zaidi unavyoweza kuunda.
Jinsi grafu yetu inavyofanya kazi
Ili kuanza kutumia grafu ya mtandao, unahitaji kuingiza kikoa, anwani ya IP, barua pepe, au alama ya kidole ya cheti cha SSL kwenye upau wa kutafutia. Kuna hali tatu ambazo mchambuzi anaweza kudhibiti: wakati, kina cha hatua, na kusafisha.
Wakati
Muda - tarehe au muda wakati kipengele kilichotafutwa kilitumiwa kwa madhumuni mabaya. Ikiwa hutabainisha parameter hii, mfumo wenyewe utaamua muda wa mwisho wa umiliki wa rasilimali hii. Kwa mfano, mnamo Julai 11, Eset ilichapishwa kuhusu jinsi Buhtrap hutumia unyonyaji wa siku 0 kwa ujasusi wa mtandao. Kuna viashiria 6 mwishoni mwa ripoti. Mmoja wao, safe-telemetry[.]net, alisajiliwa upya tarehe 16 Julai. Kwa hiyo, ukitengeneza grafu baada ya Julai 16, utapata matokeo yasiyofaa. Lakini ikiwa unaonyesha kuwa kikoa hiki kilitumika kabla ya tarehe hii, basi grafu inajumuisha vikoa vipya 126, anwani 69 za IP ambazo hazijaorodheshwa katika ripoti ya Eset:
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-world[.]maelezo
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]maelezo
- rian-ua[.]net
- nk
Mbali na viashiria vya mtandao, mara moja tunapata miunganisho na faili hasidi ambazo zilikuwa na miunganisho na miundombinu hii na lebo ambazo zinatuambia kuwa Meterpreter na AZORult zilitumika.
Jambo kuu ni kwamba unapata matokeo haya ndani ya sekunde moja na hauitaji tena kutumia siku kuchambua data. Bila shaka, mbinu hii wakati mwingine hupunguza kwa kiasi kikubwa muda wa uchunguzi, ambao mara nyingi ni muhimu.
Idadi ya hatua au kina cha kurudi nyuma ambacho grafu itajengwa
Kwa chaguo-msingi, kina ni 3. Hii ina maana kwamba vipengele vyote vinavyohusiana moja kwa moja vitapatikana kutoka kwa kipengele kinachohitajika, kisha viunganisho vipya vitajengwa kutoka kwa kila kipengele kipya hadi vipengele vingine, na vipengele vipya vitaundwa kutoka kwa vipengele vipya kutoka kwa mwisho. hatua.
Hebu tuchukue mfano usiohusiana na APT na ushujaa wa siku 0. Hivi majuzi, kesi ya kufurahisha ya ulaghai inayohusiana na sarafu za siri ilielezewa kwenye HabrΓ©. Ripoti inataja kikoa themcx[.]co, kinachotumiwa na walaghai kuandaa tovuti ambayo inadaiwa kuwa Miner Coin Exchange na kuangalia kwa simu[.]xyz ili kuvutia trafiki.
Ni wazi kutokana na maelezo kuwa mpango huo unahitaji miundombinu mikubwa ili kuvutia trafiki kwa rasilimali za ulaghai. Tuliamua kuangalia miundombinu hii kwa kujenga grafu katika hatua 4. Matokeo yalikuwa ni grafu yenye vikoa 230 na anwani 39 za IP. Kisha, tunagawanya vikoa katika kategoria 2: zile ambazo ni sawa na huduma za kufanya kazi na sarafu za siri na zile ambazo zinakusudiwa kuendesha trafiki kupitia huduma za uthibitishaji wa simu:
Kuhusiana na cryptocurrency
Inahusishwa na huduma za kupiga simu
coinkeeper[.]cc
rekodi ya mpigaji[.]tovuti.
mcxwallet[.]co
rekodi za simu[.]nafasi
btcnoise[.]com
fone-uncover[.]xyz
cryptominer[.] watch
nambari-fichua[.]maelezo
Kusafisha
Kwa chaguo-msingi, chaguo la "Kusafisha Grafu" imewashwa na vipengele vyote visivyofaa vitaondolewa kwenye grafu. Kwa njia, ilitumika katika mifano yote ya awali. Ninaona swali la asili: tunawezaje kuhakikisha kuwa kitu muhimu hakijafutwa? Nitajibu: kwa wachambuzi ambao wanapenda kujenga grafu kwa mkono, kusafisha otomatiki kunaweza kuzimwa na idadi ya hatua inaweza kuchaguliwa = 1. Kisha, mchambuzi ataweza kukamilisha grafu kutoka kwa vipengele anavyohitaji na kuondoa vipengele kutoka. grafu ambayo haihusiani na kazi hiyo.
Tayari kwenye grafu, historia ya mabadiliko katika whois, DNS, pamoja na bandari wazi na huduma zinazoendesha juu yao zinapatikana kwa mchambuzi.
Ulaghai wa kifedha
Tulichunguza shughuli za kikundi kimoja cha APT, ambacho kwa miaka kadhaa kilifanya mashambulizi ya kuhadaa ili kupata maelezo ya kibinafsi dhidi ya wateja wa benki mbalimbali katika maeneo tofauti. Kipengele cha sifa cha kikundi hiki kilikuwa usajili wa vikoa vilivyofanana sana na majina ya benki halisi, na tovuti nyingi za hadaa zilikuwa na muundo sawa, tofauti pekee zikiwa katika majina ya benki na nembo zao.
Katika kesi hii, uchambuzi wa grafu otomatiki ulitusaidia sana. Kwa kuchukua mojawapo ya vikoa vyao - lloydsbnk-uk[.]com, katika sekunde chache tulijenga grafu yenye kina cha hatua 3, ambayo ilibainisha zaidi ya vikoa 250 hasidi ambavyo vimetumiwa na kikundi hiki tangu 2015 na vinaendelea kutumika. . Baadhi ya vikoa hivi tayari vimenunuliwa na benki, lakini rekodi za kihistoria zinaonyesha kuwa vilisajiliwa hapo awali kwa washambuliaji.
Kwa uwazi, takwimu inaonyesha grafu yenye kina cha hatua 2.
Ni muhimu kukumbuka kuwa tayari mnamo 2019, washambuliaji walibadilisha mbinu zao kwa kiasi fulani na wakaanza kusajili sio tu vikoa vya benki kwa mwenyeji wa wizi wa wavuti, lakini pia vikoa vya kampuni mbalimbali za ushauri kwa kutuma barua pepe za ulaghai. Kwa mfano, vikoa swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Genge la Cobalt
Mnamo Desemba 2018, kikundi cha wadukuzi cha Cobalt, maalumu kwa mashambulizi yaliyolenga benki, walituma kampeni ya kutuma barua kwa niaba ya Benki ya Kitaifa ya Kazakhstan.
Barua hizo zilikuwa na viungo vya hXXps://nationalbank.bz/Doc/Prikaz.doc. Hati iliyopakuliwa ilikuwa na makro ambayo ilizindua Powershell, ambayo ingejaribu kupakia na kutekeleza faili kutoka hXXp://wateroilclub.com/file/dwm.exe katika %Temp%einmrmdmy.exe. Faili %Temp%einmrmdmy.exe aka dwm.exe ni hatua ya CobInt iliyosanidiwa kuingiliana na seva hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Fikiria kuwa hutaweza kupokea barua pepe hizi za ulaghai na kufanya uchanganuzi kamili wa faili hasidi. Grafu ya kikoa hasidi nationalbank[.]bz inaonyesha mara moja miunganisho na vikoa vingine hasidi, inaihusisha na kikundi na inaonyesha ni faili zipi zilitumika katika shambulio hilo.
Hebu tuchukue anwani ya IP 46.173.219[.]152 kutoka kwenye grafu hii na tujenge grafu kutoka kwayo kwa kupitisha moja na kuzima kusafisha. Kuna vikoa 40 vinavyohusishwa nayo, kwa mfano, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Kwa kuzingatia majina ya kikoa, inaonekana kwamba hutumiwa katika miradi ya ulaghai, lakini algorithm ya kusafisha iligundua kuwa hawakuhusiana na shambulio hili na hawakuwaweka kwenye grafu, ambayo hurahisisha sana mchakato wa uchambuzi na sifa.
Ukiunda upya grafu ukitumia nationalbank[.]bz, lakini ukizima kanuni ya kusafisha grafu, basi itakuwa na zaidi ya vipengele 500, ambavyo vingi havihusiani na kikundi cha Cobalt au mashambulizi yao. Mfano wa jinsi grafu kama hiyo inavyoonekana imetolewa hapa chini:
Hitimisho
Baada ya miaka kadhaa ya urekebishaji mzuri, majaribio katika uchunguzi halisi, utafiti wa vitisho na uwindaji wa washambuliaji, hatukuweza tu kuunda zana ya kipekee, lakini pia kubadili mtazamo wa wataalam ndani ya kampuni kuelekea hilo. Hapo awali, wataalam wa kiufundi wanataka udhibiti kamili juu ya mchakato wa ujenzi wa grafu. Kuwashawishi kwamba ujenzi wa grafu otomatiki ungeweza kufanya hivi vizuri zaidi kuliko mtu aliye na uzoefu wa miaka mingi ilikuwa ngumu sana. Kila kitu kiliamuliwa na wakati na hundi nyingi za "mwongozo" wa matokeo ya kile grafu ilizalisha. Sasa wataalam wetu hawaamini tu mfumo, lakini pia hutumia matokeo ambayo hupata katika kazi zao za kila siku. Teknolojia hii inafanya kazi ndani ya kila moja ya mifumo yetu na huturuhusu kutambua vyema vitisho vya aina yoyote. Kiolesura cha uchanganuzi wa grafu kwa mikono kimejengwa katika bidhaa zote za Kundi-IB na huongeza kwa kiasi kikubwa uwezo wa uwindaji wa uhalifu mtandaoni. Hii inathibitishwa na hakiki za wachambuzi kutoka kwa wateja wetu. Na sisi, kwa upande wake, tunaendelea kuimarisha grafu kwa data na kufanya kazi kwenye algoriti mpya kwa kutumia akili ya bandia kuunda grafu sahihi zaidi ya mtandao.
Chanzo: mapenzi.com