ஃபிஷிங், போட்நெட்டுகள், மோசடி பரிவர்த்தனைகள் மற்றும் கிரிமினல் ஹேக்கர் குழுக்கள் தொடர்பான வழக்குகளை விசாரிக்கும் குழு-IB வல்லுநர்கள் பல்வேறு வகையான இணைப்புகளை அடையாளம் காண பல ஆண்டுகளாக வரைபட பகுப்பாய்வுகளைப் பயன்படுத்தி வருகின்றனர். வெவ்வேறு நிகழ்வுகள் அவற்றின் சொந்த தரவுத் தொகுப்புகள், இணைப்புகளை அடையாளம் காண்பதற்கான அவற்றின் சொந்த வழிமுறைகள் மற்றும் குறிப்பிட்ட பணிகளுக்கு ஏற்ற இடைமுகங்களைக் கொண்டுள்ளன. இந்தக் கருவிகள் அனைத்தும் குரூப்-ஐபி மூலம் உள்நாட்டில் உருவாக்கப்பட்டவை மற்றும் எங்கள் பணியாளர்களுக்கு மட்டுமே கிடைக்கும்.

நெட்வொர்க் உள்கட்டமைப்பின் வரைபட பகுப்பாய்வு (பிணைய வரைபடம்) நிறுவனத்தின் அனைத்து பொது தயாரிப்புகளிலும் நாங்கள் உருவாக்கிய முதல் உள் கருவியாக மாறியது. எங்கள் நெட்வொர்க் வரைபடத்தை உருவாக்கும் முன், சந்தையில் இதேபோன்ற பல முன்னேற்றங்களை நாங்கள் பகுப்பாய்வு செய்தோம், மேலும் எங்கள் சொந்த தேவைகளை பூர்த்தி செய்யும் ஒரு தயாரிப்பு கண்டுபிடிக்கப்படவில்லை. இந்த கட்டுரையில் நாம் பிணைய வரைபடத்தை எவ்வாறு உருவாக்கினோம், அதை எவ்வாறு பயன்படுத்துகிறோம் மற்றும் என்ன சிரமங்களை எதிர்கொண்டோம் என்பதைப் பற்றி பேசுவோம்.

டிமிட்ரி வோல்கோவ், CTO குரூப்-IB மற்றும் சைபர் உளவுத்துறையின் தலைவர்

குழு-IB நெட்வொர்க் வரைபடம் என்ன செய்ய முடியும்?

விசாரணைகள்

2003 ஆம் ஆண்டு குரூப்-ஐபி நிறுவப்பட்டதில் இருந்து தற்போது வரை, சைபர் குற்றவாளிகளை அடையாளம் கண்டு, சட்டத்திற்கு புறம்பாகக் கண்டறிந்து, சட்டத்தின் முன் நிறுத்துவது எங்கள் பணியில் முதன்மையானது. தாக்குபவர்களின் நெட்வொர்க் உள்கட்டமைப்பை பகுப்பாய்வு செய்யாமல் ஒரு சைபர் தாக்குதல் விசாரணை கூட முடிக்கப்படவில்லை. எங்கள் பயணத்தின் தொடக்கத்தில், குற்றவாளிகளை அடையாளம் காண உதவும் உறவுகளைத் தேடுவது மிகவும் கடினமான "கைமுறை வேலை" ஆகும்: டொமைன் பெயர்கள், ஐபி முகவரிகள், சேவையகங்களின் டிஜிட்டல் கைரேகைகள் போன்றவை.

பெரும்பாலான தாக்குபவர்கள் நெட்வொர்க்கில் முடிந்தவரை அநாமதேயமாக செயல்பட முயற்சிக்கின்றனர். இருப்பினும், எல்லா மக்களையும் போலவே, அவர்களும் தவறு செய்கிறார்கள். அத்தகைய பகுப்பாய்வின் முக்கிய குறிக்கோள், நாங்கள் விசாரிக்கும் தற்போதைய சம்பவத்தில் பயன்படுத்தப்படும் தீங்கிழைக்கும் உள்கட்டமைப்புடன் குறுக்குவெட்டுகளைக் கொண்ட தாக்குபவர்களின் "வெள்ளை" அல்லது "சாம்பல்" வரலாற்றுத் திட்டங்களைக் கண்டறிவதாகும். "வெள்ளை திட்டங்களை" கண்டறிய முடிந்தால், தாக்குபவர்களைக் கண்டுபிடிப்பது, ஒரு விதியாக, ஒரு அற்பமான பணியாக மாறும். "சாம்பல்" விஷயத்தில், தேடலுக்கு அதிக நேரமும் முயற்சியும் தேவை, ஏனெனில் அவற்றின் உரிமையாளர்கள் பதிவுத் தரவை அநாமதேயமாக்க அல்லது மறைக்க முயற்சி செய்கிறார்கள், ஆனால் வாய்ப்புகள் மிக அதிகமாகவே உள்ளன. ஒரு விதியாக, அவர்களின் குற்றச் செயல்களின் தொடக்கத்தில், தாக்குபவர்கள் தங்கள் சொந்த பாதுகாப்பில் குறைந்த கவனம் செலுத்துகிறார்கள் மற்றும் அதிக தவறுகளைச் செய்கிறார்கள், எனவே நாம் கதையில் ஆழமாக மூழ்கினால், வெற்றிகரமான விசாரணைக்கான வாய்ப்புகள் அதிகம். அதனால்தான் ஒரு நல்ல வரலாற்றைக் கொண்ட நெட்வொர்க் வரைபடம் அத்தகைய விசாரணையின் மிக முக்கியமான அங்கமாகும். எளிமையாகச் சொன்னால், ஒரு நிறுவனத்தின் ஆழமான வரலாற்றுத் தரவு, அதன் வரைபடம் சிறந்தது. 5 ஆண்டுகால வரலாறு 1 குற்றங்களில் 2-10ஐ நிபந்தனையுடன் தீர்க்க உதவும் என்றும், 15 ஆண்டுகால வரலாறு பத்தையும் தீர்க்க வாய்ப்பளிக்கிறது என்றும் சொல்லலாம்.

ஃபிஷிங் மற்றும் மோசடி கண்டறிதல்

ஃபிஷிங், மோசடி அல்லது திருட்டு ஆதாரத்திற்கான சந்தேகத்திற்கிடமான இணைப்பைப் பெறும் ஒவ்வொரு முறையும், நாங்கள் தானாகவே தொடர்புடைய நெட்வொர்க் ஆதாரங்களின் வரைபடத்தை உருவாக்கி, ஒரே மாதிரியான உள்ளடக்கத்திற்கான அனைத்து ஹோஸ்ட்களையும் சரிபார்க்கிறோம். செயலில் இருந்த ஆனால் அறியப்படாத பழைய ஃபிஷிங் தளங்களையும், எதிர்காலத் தாக்குதல்களுக்குத் தயாராக இருக்கும், ஆனால் இன்னும் பயன்படுத்தப்படாத முற்றிலும் புதிய தளங்களையும் கண்டறிய இது உங்களை அனுமதிக்கிறது. அடிக்கடி நிகழும் ஒரு அடிப்படை உதாரணம்: 5 தளங்கள் மட்டுமே உள்ள சர்வரில் ஃபிஷிங் தளத்தைக் கண்டோம். அவை ஒவ்வொன்றையும் சரிபார்ப்பதன் மூலம், பிற தளங்களில் ஃபிஷிங் உள்ளடக்கத்தைக் கண்டறிகிறோம், அதாவது 5க்கு பதிலாக 1ஐத் தடுக்கலாம்.

பின்முனைகளைத் தேடுங்கள்

தீங்கிழைக்கும் சேவையகம் உண்மையில் எங்கு உள்ளது என்பதை தீர்மானிக்க இந்த செயல்முறை அவசியம்.
99% கார்டு கடைகள், ஹேக்கர் மன்றங்கள், பல ஃபிஷிங் ஆதாரங்கள் மற்றும் பிற தீங்கிழைக்கும் சேவையகங்கள் அவற்றின் சொந்த ப்ராக்ஸி சேவையகங்கள் மற்றும் முறையான சேவைகளின் ப்ராக்ஸிகள் இரண்டிற்கும் பின்னால் மறைக்கப்பட்டுள்ளன, எடுத்துக்காட்டாக, Cloudflare. உண்மையான பின்தளத்தைப் பற்றிய அறிவு விசாரணைகளுக்கு மிகவும் முக்கியமானது: சேவையகத்தைக் கைப்பற்றக்கூடிய ஹோஸ்டிங் வழங்குநர் அறியப்படுகிறார், மேலும் பிற தீங்கிழைக்கும் திட்டங்களுடன் இணைப்புகளை உருவாக்க முடியும்.

எடுத்துக்காட்டாக, 11.11.11.11 ஐபி முகவரிக்குத் தீர்வு காணும் வங்கி அட்டைத் தரவைச் சேகரிப்பதற்கான ஃபிஷிங் தளம் மற்றும் 22.22.22.22 ஐபி முகவரிக்குத் தீர்வு காணும் கார்ட்ஷாப் முகவரி உள்ளது. பகுப்பாய்வின் போது, ​​ஃபிஷிங் தளம் மற்றும் கார்ட்ஷாப் ஆகிய இரண்டும் ஒரு பொதுவான பின்தள IP முகவரியைக் கொண்டிருக்கின்றன, எடுத்துக்காட்டாக, 33.33.33.33. இந்த அறிவு ஃபிஷிங் தாக்குதல்களுக்கும் வங்கி அட்டை தரவு விற்கப்படும் அட்டை கடைக்கும் இடையே ஒரு தொடர்பை உருவாக்க அனுமதிக்கிறது.

நிகழ்வு தொடர்பு

தாக்குதலைக் கட்டுப்படுத்த வெவ்வேறு மால்வேர் மற்றும் வெவ்வேறு சேவையகங்களைக் கொண்ட இரண்டு வெவ்வேறு தூண்டுதல்கள் (ஐடிஎஸ் என்று வைத்துக்கொள்வோம்) இருந்தால், அவற்றை இரண்டு சுயாதீன நிகழ்வுகளாகக் கருதுவீர்கள். ஆனால் தீங்கிழைக்கும் உள்கட்டமைப்புகளுக்கு இடையே ஒரு நல்ல தொடர்பு இருந்தால், இவை வெவ்வேறு தாக்குதல்கள் அல்ல, ஆனால் ஒரு, மிகவும் சிக்கலான பல-நிலை தாக்குதலின் நிலைகள் என்பது தெளிவாகிறது. நிகழ்வுகளில் ஒன்று ஏற்கனவே தாக்குபவர்களின் குழுவிற்குக் காரணம் என்றால், இரண்டாவது அதே குழுவிற்கும் காரணமாக இருக்கலாம். நிச்சயமாக, பண்புக்கூறு செயல்முறை மிகவும் சிக்கலானது, எனவே இதை ஒரு எளிய உதாரணமாகக் கருதுங்கள்.

காட்டி செறிவூட்டல்

சைபர் செக்யூரிட்டியில் வரைபடங்களைப் பயன்படுத்துவதற்கான பொதுவான சூழ்நிலை இது என்பதால் நாங்கள் இதில் அதிக கவனம் செலுத்த மாட்டோம்: நீங்கள் ஒரு குறிகாட்டியை உள்ளீடாகக் கொடுக்கிறீர்கள், மேலும் வெளியீடாக தொடர்புடைய குறிகாட்டிகளின் வரிசையைப் பெறுவீர்கள்.

வடிவங்களை அடையாளம் காணுதல்

திறமையான வேட்டைக்கு வடிவங்களை அடையாளம் காண்பது அவசியம். வரைபடங்கள் தொடர்புடைய கூறுகளைக் கண்டறிவதற்கு மட்டுமல்லாமல், ஒரு குறிப்பிட்ட ஹேக்கர் குழுவின் சிறப்பியல்புகளை அடையாளம் காணவும் அனுமதிக்கின்றன. இத்தகைய தனிப்பட்ட குணாதிசயங்களைப் பற்றிய அறிவு, ஃபிஷிங் மின்னஞ்சல்கள் அல்லது தீம்பொருள் போன்ற தாக்குதலை உறுதிப்படுத்தும் ஆதாரங்கள் இல்லாமல், தயாரிப்பு நிலையிலும் தாக்குபவர்களின் உள்கட்டமைப்பை அடையாளம் காண உங்களை அனுமதிக்கிறது.

எதற்காக எங்கள் சொந்த நெட்வொர்க் வரைபடத்தை உருவாக்கினோம்?

மீண்டும், தற்போதுள்ள எந்தவொரு தயாரிப்பும் செய்ய முடியாத ஒன்றைச் செய்யக்கூடிய எங்கள் சொந்த கருவியை நாங்கள் உருவாக்க வேண்டும் என்ற முடிவுக்கு வருவதற்கு முன்பு வெவ்வேறு விற்பனையாளர்களிடமிருந்து தீர்வுகளைப் பார்த்தோம். அதை உருவாக்க பல ஆண்டுகள் ஆனது, அதன் போது நாங்கள் அதை பல முறை மாற்றினோம். ஆனால், நீண்ட வளர்ச்சிக் காலம் இருந்தபோதிலும், எங்கள் தேவைகளைப் பூர்த்தி செய்யும் ஒரு அனலாக் கூட நாங்கள் இன்னும் கண்டுபிடிக்கவில்லை. எங்கள் சொந்த தயாரிப்பைப் பயன்படுத்தி, தற்போதுள்ள நெட்வொர்க் வரைபடங்களில் நாங்கள் கண்டறிந்த அனைத்து சிக்கல்களையும் இறுதியில் தீர்க்க முடிந்தது. கீழே இந்த சிக்கல்களை விரிவாகக் கருதுவோம்:

பிரச்சனை
முடிவு

பல்வேறு தரவு சேகரிப்புகளுடன் வழங்குநரின் பற்றாக்குறை: டொமைன்கள், செயலற்ற DNS, செயலற்ற SSL, DNS பதிவுகள், திறந்த துறைமுகங்கள், போர்ட்களில் இயங்கும் சேவைகள், டொமைன் பெயர்கள் மற்றும் IP முகவரிகளுடன் தொடர்பு கொள்ளும் கோப்புகள். விளக்கம். பொதுவாக, வழங்குநர்கள் தனித்தனி வகையான தரவை வழங்குகிறார்கள், மேலும் முழுப் படத்தைப் பெற, நீங்கள் அனைவரிடமிருந்தும் சந்தாக்களை வாங்க வேண்டும். இருப்பினும், எல்லா தரவையும் பெறுவது எப்போதும் சாத்தியமில்லை: சில செயலற்ற SSL வழங்குநர்கள் நம்பகமான CAகளால் வழங்கப்பட்ட சான்றிதழ்கள் பற்றிய தரவை மட்டுமே வழங்குகிறார்கள், மேலும் அவர்கள் சுய கையொப்பமிட்ட சான்றிதழ்களின் கவரேஜ் மிகவும் மோசமாக உள்ளது. மற்றவர்கள் சுய கையொப்பமிடப்பட்ட சான்றிதழ்களைப் பயன்படுத்தி தரவையும் வழங்குகிறார்கள், ஆனால் அதை நிலையான துறைமுகங்களிலிருந்து மட்டுமே சேகரிக்கின்றனர்.
மேலே உள்ள அனைத்து சேகரிப்புகளையும் நாங்களே சேகரித்தோம். எடுத்துக்காட்டாக, SSL சான்றிதழ்களைப் பற்றிய தரவைச் சேகரிக்க, நம்பகமான CAக்களிடமிருந்தும், முழு IPv4 இடத்தையும் ஸ்கேன் செய்வதன் மூலமும் அவற்றைச் சேகரிக்கும் எங்கள் சொந்த சேவையை நாங்கள் எழுதினோம். IP இலிருந்து மட்டுமல்ல, எங்கள் தரவுத்தளத்திலிருந்து அனைத்து டொமைன்கள் மற்றும் துணை டொமைன்களிலிருந்தும் சான்றிதழ்கள் சேகரிக்கப்பட்டன: உங்களிடம் example.com டொமைன் மற்றும் அதன் துணை டொமைன் இருந்தால் www.example.com மேலும் அவை அனைத்தும் IP 1.1.1.1 க்கு தீர்வு காணும், பின்னர் 443 போர்ட் இலிருந்து ஒரு IP, டொமைன் மற்றும் அதன் துணை டொமைனில் SSL சான்றிதழைப் பெற முயற்சிக்கும்போது, ​​நீங்கள் மூன்று வெவ்வேறு முடிவுகளைப் பெறலாம். திறந்த போர்ட்கள் மற்றும் இயங்கும் சேவைகள் பற்றிய தரவைச் சேகரிக்க, நாங்கள் எங்கள் சொந்த விநியோகிக்கப்பட்ட ஸ்கேனிங் அமைப்பை உருவாக்க வேண்டியிருந்தது, ஏனென்றால் மற்ற சேவைகள் பெரும்பாலும் "கருப்பு பட்டியல்களில்" அவற்றின் ஸ்கேனிங் சேவையகங்களின் ஐபி முகவரிகளைக் கொண்டிருந்தன. எங்கள் ஸ்கேனிங் சேவையகங்களும் தடுப்புப்பட்டியலில் முடிவடைகின்றன, ஆனால் நமக்குத் தேவையான சேவைகளைக் கண்டறிவதன் விளைவாக முடிந்தவரை பல போர்ட்களை ஸ்கேன் செய்து இந்தத் தரவை அணுகுவதை விட அதிகமாக உள்ளது.

வரலாற்று பதிவுகளின் முழு தரவுத்தளத்திற்கும் அணுகல் இல்லாதது. விளக்கம். ஒவ்வொரு சாதாரண சப்ளையரிடமும் ஒரு நல்ல திரட்டப்பட்ட வரலாறு உள்ளது, ஆனால் இயற்கையான காரணங்களுக்காக ஒரு வாடிக்கையாளரான எங்களால் அனைத்து வரலாற்றுத் தரவையும் அணுக முடியவில்லை. அந்த. ஒரு பதிவுக்கான முழு வரலாற்றையும் நீங்கள் பெறலாம், எடுத்துக்காட்டாக, டொமைன் அல்லது ஐபி முகவரி மூலம், ஆனால் எல்லாவற்றின் வரலாற்றையும் நீங்கள் பார்க்க முடியாது - இது இல்லாமல் முழுப் படத்தையும் பார்க்க முடியாது.
டொமைன்களில் முடிந்தவரை பல வரலாற்று பதிவுகளை சேகரிக்க, நாங்கள் பல்வேறு தரவுத்தளங்களை வாங்கினோம், இந்த வரலாற்றைக் கொண்ட பல திறந்த வளங்களை அலசினோம் (அவற்றில் பல இருப்பது நல்லது), மற்றும் டொமைன் பெயர் பதிவாளர்களுடன் பேச்சுவார்த்தை நடத்தினோம். எங்கள் சொந்த சேகரிப்புகளுக்கான அனைத்து புதுப்பிப்புகளும் நிச்சயமாக முழு திருத்த வரலாற்றுடன் வைக்கப்படும்.

ஏற்கனவே உள்ள அனைத்து தீர்வுகளும் வரைபடத்தை கைமுறையாக உருவாக்க உங்களை அனுமதிக்கின்றன. விளக்கம். சாத்தியமான எல்லா தரவு வழங்குநர்களிடமிருந்தும் (பொதுவாக "செறிவூட்டுபவர்கள்" என்று அழைக்கப்படும்) நீங்கள் நிறைய சந்தாக்களை வாங்கியுள்ளீர்கள் என்று வைத்துக்கொள்வோம். நீங்கள் ஒரு வரைபடத்தை உருவாக்க வேண்டியிருக்கும் போது, ​​விரும்பிய இணைப்பு உறுப்பிலிருந்து உருவாக்குவதற்கான கட்டளையை "கைகள்" கொடுக்கவும், பின்னர் தோன்றும் உறுப்புகளிலிருந்து தேவையானவற்றைத் தேர்ந்தெடுத்து அவற்றிலிருந்து இணைப்புகளை முடிக்க கட்டளையை வழங்கவும், மற்றும் பல. இந்த வழக்கில், வரைபடம் எவ்வளவு சிறப்பாக கட்டமைக்கப்படும் என்பதற்கான பொறுப்பு முழுமையாக நபரிடம் உள்ளது.
வரைபடங்களின் தானியங்கி கட்டுமானத்தை நாங்கள் செய்தோம். அந்த. நீங்கள் ஒரு வரைபடத்தை உருவாக்க வேண்டும் என்றால், முதல் உறுப்புகளிலிருந்து இணைப்புகள் தானாகவே கட்டமைக்கப்படும், பின்னர் அனைத்து அடுத்தடுத்தவற்றிலிருந்தும். வரைபடத்தை உருவாக்க வேண்டிய ஆழத்தை மட்டுமே நிபுணர் குறிப்பிடுகிறார். வரைபடங்களைத் தானாக முடிப்பதற்கான செயல்முறை எளிதானது, ஆனால் மற்ற விற்பனையாளர்கள் அதைச் செயல்படுத்தவில்லை, ஏனெனில் இது அதிக எண்ணிக்கையிலான பொருத்தமற்ற முடிவுகளைத் தருகிறது, மேலும் இந்த குறைபாட்டையும் நாங்கள் கணக்கில் எடுத்துக்கொள்ள வேண்டியிருந்தது (கீழே காண்க).

பல பொருத்தமற்ற முடிவுகள் அனைத்து பிணைய உறுப்பு வரைபடங்களிலும் ஒரு சிக்கலாகும். விளக்கம். எடுத்துக்காட்டாக, கடந்த 10 ஆண்டுகளில் தொடர்புடைய 500 டொமைன்களைக் கொண்ட சர்வருடன் "மோசமான டொமைன்" (தாக்குதலில் பங்கேற்றது) தொடர்புடையது. வரைபடத்தை கைமுறையாகச் சேர்க்கும் போது அல்லது தானாக உருவாக்கும்போது, ​​இந்த 500 டொமைன்களும் வரைபடத்தில் தோன்ற வேண்டும், இருப்பினும் அவை தாக்குதலுடன் தொடர்புடையவை அல்ல. அல்லது, எடுத்துக்காட்டாக, விற்பனையாளரின் பாதுகாப்பு அறிக்கையிலிருந்து ஐபி காட்டியைச் சரிபார்க்கவும். பொதுவாக, இத்தகைய அறிக்கைகள் குறிப்பிடத்தக்க தாமதத்துடன் வெளியிடப்படுகின்றன மற்றும் பெரும்பாலும் ஒரு வருடம் அல்லது அதற்கு மேல் நீடிக்கும். பெரும்பாலும், நீங்கள் அறிக்கையைப் படிக்கும் நேரத்தில், இந்த ஐபி முகவரியுடன் கூடிய சேவையகம் ஏற்கனவே பிற இணைப்புகளைக் கொண்ட பிறருக்கு வாடகைக்கு விடப்பட்டுள்ளது, மேலும் ஒரு வரைபடத்தை உருவாக்குவதன் மூலம் நீங்கள் மீண்டும் பொருத்தமற்ற முடிவுகளைப் பெறுவீர்கள்.
எங்கள் நிபுணர்கள் கைமுறையாகச் செய்த அதே தர்க்கத்தைப் பயன்படுத்தி பொருத்தமற்ற கூறுகளை அடையாளம் காண கணினிக்கு பயிற்சி அளித்தோம். எடுத்துக்காட்டாக, நீங்கள் ஒரு மோசமான டொமைன் example.com ஐச் சரிபார்க்கிறீர்கள், அது இப்போது IP 11.11.11.11 க்கும், ஒரு மாதத்திற்கு முன்பு - IP 22.22.22.22 க்கும் தீர்க்கிறது. Example.com டொமைனைத் தவிர, IP 11.11.11.11, example.ru உடன் தொடர்புடையது, மேலும் IP 22.22.22.22 25 ஆயிரம் பிற டொமைன்களுடன் தொடர்புடையது. கணினி, ஒரு நபரைப் போலவே, 11.11.11.11 என்பது பெரும்பாலும் ஒரு பிரத்யேக சேவையகம் என்பதை புரிந்துகொள்கிறது, மேலும் example.ru டொமைன் எழுத்துப்பிழையில் example.com க்கு ஒத்ததாக இருப்பதால், அதிக நிகழ்தகவுடன், அவை இணைக்கப்பட்டுள்ளன மற்றும் இருக்க வேண்டும் வரைபடம்; ஆனால் IP 22.22.22.22 பகிரப்பட்ட ஹோஸ்டிங்கிற்கு சொந்தமானது, எனவே இந்த 25 ஆயிரம் டொமைன்களில் ஒன்று சேர்க்கப்பட வேண்டும் என்பதைக் காட்டும் பிற இணைப்புகள் இல்லாவிட்டால் அதன் அனைத்து டொமைன்களும் வரைபடத்தில் சேர்க்கப்பட வேண்டியதில்லை (எடுத்துக்காட்டாக, example.net) . இணைப்புகள் உடைக்கப்பட வேண்டும் மற்றும் சில கூறுகள் வரைபடத்திற்கு நகர்த்தப்படாமல் இருக்க வேண்டும் என்பதை கணினி புரிந்துகொள்வதற்கு முன், இந்த உறுப்புகள் இணைக்கப்பட்டுள்ள கூறுகள் மற்றும் கிளஸ்டர்களின் பல பண்புகளையும் தற்போதைய இணைப்புகளின் வலிமையையும் கணக்கில் எடுத்துக்கொள்கிறது. எடுத்துக்காட்டாக, வரைபடத்தில் ஒரு சிறிய கிளஸ்டர் (50 உறுப்புகள்) இருந்தால், அதில் மோசமான டொமைன் உள்ளது, மற்றொரு பெரிய கிளஸ்டர் (5 ஆயிரம் கூறுகள்) மற்றும் இரண்டு கிளஸ்டர்களும் மிகக் குறைந்த வலிமையுடன் (எடை) ஒரு இணைப்பு (கோடு) மூலம் இணைக்கப்பட்டிருந்தால். , பின்னர் அத்தகைய இணைப்பு உடைந்து, பெரிய கிளஸ்டரிலிருந்து கூறுகள் அகற்றப்படும். ஆனால் சிறிய மற்றும் பெரிய கொத்துக்களுக்கு இடையில் பல இணைப்புகள் இருந்தால், அவற்றின் வலிமை படிப்படியாக அதிகரிக்கிறது என்றால், இந்த விஷயத்தில் இணைப்பு உடைக்கப்படாது மற்றும் இரண்டு கொத்துக்களிலிருந்தும் தேவையான கூறுகள் வரைபடத்தில் இருக்கும்.

சர்வர் மற்றும் டொமைன் உரிமையாளர் இடைவெளி கணக்கில் எடுத்துக்கொள்ளப்படவில்லை. விளக்கம். "மோசமான டொமைன்கள்" விரைவில் அல்லது பின்னர் காலாவதியாகி, தீங்கிழைக்கும் அல்லது முறையான நோக்கங்களுக்காக மீண்டும் வாங்கப்படும். குண்டு துளைக்காத ஹோஸ்டிங் சேவையகங்கள் கூட வெவ்வேறு ஹேக்கர்களுக்கு வாடகைக்கு விடப்படுகின்றன, எனவே ஒரு குறிப்பிட்ட டொமைன்/சேவையகம் ஒரு உரிமையாளரின் கட்டுப்பாட்டின் கீழ் இருந்த கால இடைவெளியை அறிந்து கணக்கில் எடுத்துக்கொள்வது அவசியம். IP 11.11.11.11 உடன் கூடிய சர்வர் இப்போது C&C ஆக பேங்கிங் போட் பயன்படுத்தப்படும் சூழ்நிலையை நாம் அடிக்கடி சந்திக்கிறோம், மேலும் 2 மாதங்களுக்கு முன்பு அது Ransomware ஆல் கட்டுப்படுத்தப்பட்டது. உரிமையாளர் இடைவெளிகளைக் கணக்கில் எடுத்துக் கொள்ளாமல் ஒரு இணைப்பை உருவாக்கினால், வங்கி பாட்நெட் மற்றும் ransomware உரிமையாளர்களுக்கு இடையே இணைப்பு இருப்பது போல் தோன்றும், இருப்பினும் உண்மையில் எதுவும் இல்லை. எங்கள் வேலையில், அத்தகைய பிழை முக்கியமானது.
உரிமையாளர் இடைவெளிகளைத் தீர்மானிக்க கணினிக்கு நாங்கள் கற்றுக் கொடுத்தோம். டொமைன்களுக்கு இது ஒப்பீட்டளவில் எளிமையானது, ஏனெனில் whois பெரும்பாலும் பதிவு தொடக்க மற்றும் காலாவதி தேதிகளைக் கொண்டுள்ளது, மேலும் whois மாற்றங்களின் முழுமையான வரலாறு இருக்கும்போது, ​​இடைவெளிகளைத் தீர்மானிப்பது எளிது. ஒரு டொமைனின் பதிவு காலாவதியாகாமல், அதன் நிர்வாகம் மற்ற உரிமையாளர்களுக்கு மாற்றப்பட்டால், அதையும் கண்காணிக்க முடியும். SSL சான்றிதழ்களுக்கு இது போன்ற பிரச்சனை இல்லை, ஏனெனில் அவை ஒரு முறை வழங்கப்பட்டு புதுப்பிக்கப்படவோ அல்லது மாற்றப்படவோ இல்லை. ஆனால் சுய கையொப்பமிடப்பட்ட சான்றிதழ்களுடன், சான்றிதழின் செல்லுபடியாகும் காலத்தில் குறிப்பிடப்பட்ட தேதிகளை நீங்கள் நம்ப முடியாது, ஏனெனில் நீங்கள் இன்று ஒரு SSL சான்றிதழை உருவாக்கலாம் மற்றும் 2010 இலிருந்து சான்றிதழின் தொடக்க தேதியைக் குறிப்பிடலாம். மிகவும் கடினமான விஷயம், சேவையகங்களுக்கான உரிமை இடைவெளிகளைத் தீர்மானிப்பது, ஏனெனில் ஹோஸ்டிங் வழங்குநர்களுக்கு மட்டுமே தேதிகள் மற்றும் வாடகைக் காலங்கள் உள்ளன. சேவையக உரிமைக் காலத்தைத் தீர்மானிக்க, போர்ட் ஸ்கேனிங் மற்றும் போர்ட்களில் இயங்கும் சேவைகளின் கைரேகைகளை உருவாக்குதல் ஆகியவற்றின் முடிவுகளைப் பயன்படுத்தத் தொடங்கினோம். இந்தத் தகவலைப் பயன்படுத்தி, சர்வரின் உரிமையாளர் எப்போது மாறினார் என்பதை நாம் மிகவும் துல்லியமாகச் சொல்ல முடியும்.

சில இணைப்புகள். விளக்கம். இப்போதெல்லாம், ஒரு குறிப்பிட்ட மின்னஞ்சல் முகவரியைக் கொண்ட டொமைன்களின் இலவச பட்டியலைப் பெறுவது அல்லது குறிப்பிட்ட ஐபி முகவரியுடன் தொடர்புடைய அனைத்து டொமைன்களைக் கண்டறிவது கூட ஒரு பிரச்சனையே இல்லை. ஆனால் கண்காணிக்க கடினமாக இருக்கும் ஹேக்கர்கள் வரும்போது, ​​​​புதிய பண்புகளைக் கண்டறியவும் புதிய இணைப்புகளை உருவாக்கவும் எங்களுக்கு கூடுதல் தந்திரங்கள் தேவை.
வழக்கமான வழியில் கிடைக்காத தரவை எவ்வாறு பிரித்தெடுப்பது என்று ஆராய்ச்சி செய்வதில் நாங்கள் நிறைய நேரம் செலவிட்டோம். வெளிப்படையான காரணங்களுக்காக இது எவ்வாறு செயல்படுகிறது என்பதை எங்களால் இங்கே விவரிக்க முடியாது, ஆனால் சில சூழ்நிலைகளில், ஹேக்கர்கள், டொமைன்களை பதிவு செய்யும் போது அல்லது வாடகைக்கு எடுத்து சேவையகங்களை அமைக்கும் போது, ​​மின்னஞ்சல் முகவரிகள், ஹேக்கர் மாற்றுப்பெயர்கள் மற்றும் பின்தள முகவரிகளைக் கண்டறியும் தவறுகளைச் செய்கிறார்கள். நீங்கள் எவ்வளவு அதிக இணைப்புகளைப் பிரித்தெடுக்கிறீர்களோ, அவ்வளவு துல்லியமான வரைபடங்களை உருவாக்க முடியும்.

எங்கள் வரைபடம் எவ்வாறு செயல்படுகிறது

நெட்வொர்க் வரைபடத்தைப் பயன்படுத்தத் தொடங்க, நீங்கள் டொமைன், IP முகவரி, மின்னஞ்சல் அல்லது SSL சான்றிதழ் கைரேகையை தேடல் பட்டியில் உள்ளிட வேண்டும். ஆய்வாளர் கட்டுப்படுத்தக்கூடிய மூன்று நிபந்தனைகள் உள்ளன: நேரம், படி ஆழம் மற்றும் தெளிவு.

நேரம்

தேடப்பட்ட உறுப்பு தீங்கிழைக்கும் நோக்கங்களுக்காகப் பயன்படுத்தப்பட்ட நேரம் - தேதி அல்லது இடைவெளி. இந்த அளவுருவை நீங்கள் குறிப்பிடவில்லை என்றால், இந்த ஆதாரத்திற்கான கடைசி உரிமை இடைவெளியை கணினியே தீர்மானிக்கும். எடுத்துக்காட்டாக, ஜூலை 11 அன்று, Eset வெளியிடப்பட்டது அறிக்கை இணைய உளவு வேலைக்காக 0-நாள் சுரண்டலை Buhtrap எவ்வாறு பயன்படுத்துகிறது என்பது பற்றி. அறிக்கையின் முடிவில் 6 குறிகாட்டிகள் உள்ளன. அவற்றில் ஒன்று, செக்யூக்-டெலிமெட்ரி[.]நெட், ஜூலை 16 அன்று மீண்டும் பதிவு செய்யப்பட்டது. எனவே, ஜூலை 16க்குப் பிறகு வரைபடத்தை உருவாக்கினால், நீங்கள் பொருத்தமற்ற முடிவுகளைப் பெறுவீர்கள். ஆனால் இந்தத் தேதிக்கு முன்னர் இந்த டொமைன் பயன்படுத்தப்பட்டதாக நீங்கள் குறிப்பிட்டால், வரைபடத்தில் 126 புதிய டொமைன்கள், Eset அறிக்கையில் பட்டியலிடப்படாத 69 IP முகவரிகள் உள்ளன:

• ukrfreshnews[.]com
• unian-search[.]com
• வெஸ்டி-உலக[.]தகவல்
• runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]தகவல்
• rian-ua[.]net
• மற்றும் பலர்.

பிணைய குறிகாட்டிகள் தவிர, இந்த உள்கட்டமைப்புடன் இணைப்புகளைக் கொண்டிருந்த தீங்கிழைக்கும் கோப்புகள் மற்றும் Meterpreter மற்றும் AZORult ஆகியவை பயன்படுத்தப்பட்டதாகக் கூறும் குறிச்சொற்களுடன் உடனடியாக இணைப்புகளைக் கண்டறிகிறோம்.

பெரிய விஷயம் என்னவென்றால், இந்த முடிவை ஒரு வினாடிக்குள் நீங்கள் பெறுவீர்கள், மேலும் தரவுகளை பகுப்பாய்வு செய்ய நீங்கள் நாட்கள் செலவிட வேண்டியதில்லை. நிச்சயமாக, இந்த அணுகுமுறை சில நேரங்களில் விசாரணைக்கான நேரத்தை கணிசமாகக் குறைக்கிறது, இது பெரும்பாலும் முக்கியமானதாகும்.

வரைபடம் கட்டமைக்கப்படும் படிகளின் எண்ணிக்கை அல்லது மறுநிகழ்வு ஆழம்

முன்னிருப்பாக, ஆழம் 3. இதன் பொருள் நேரடியாக தொடர்புடைய அனைத்து கூறுகளும் விரும்பிய உறுப்புகளில் இருந்து கண்டுபிடிக்கப்படும், பின்னர் ஒவ்வொரு புதிய உறுப்புகளிலிருந்தும் மற்ற உறுப்புகளுக்கு புதிய இணைப்புகள் கட்டமைக்கப்படும், மேலும் புதிய உறுப்புகள் கடைசியாக இருந்து புதிய உறுப்புகளிலிருந்து உருவாக்கப்படும். படி.

APT மற்றும் 0-நாள் சுரண்டல்களுடன் தொடர்பில்லாத ஒரு உதாரணத்தை எடுத்துக் கொள்வோம். சமீபத்தில், கிரிப்டோகரன்ஸிகள் தொடர்பான ஒரு சுவாரஸ்யமான மோசடி வழக்கு ஹப்ரேயில் விவரிக்கப்பட்டது. மைனர் காயின் எக்ஸ்சேஞ்ச் மற்றும் ஃபோன்-லுக்அப்[.]xyz என்று கூறப்படும் இணையதளத்தை ஹோஸ்ட் செய்ய ஸ்கேமர்கள் பயன்படுத்தும் themecx[.]co டொமைனைப் பற்றி அறிக்கை குறிப்பிடுகிறது.

மோசடியான ஆதாரங்களுக்கு போக்குவரத்தை ஈர்க்க, திட்டத்திற்கு மிகப் பெரிய உள்கட்டமைப்பு தேவை என்பது விளக்கத்திலிருந்து தெளிவாகிறது. 4 படிகளில் வரைபடத்தை உருவாக்குவதன் மூலம் இந்த உள்கட்டமைப்பைப் பார்க்க முடிவு செய்தோம். வெளியீடு 230 டொமைன்கள் மற்றும் 39 ஐபி முகவரிகள் கொண்ட வரைபடமாக இருந்தது. அடுத்து, டொமைன்களை 2 வகைகளாகப் பிரிக்கிறோம்: கிரிப்டோகரன்ஸிகளுடன் பணிபுரியும் சேவைகளைப் போன்றது மற்றும் ஃபோன் சரிபார்ப்புச் சேவைகள் மூலம் போக்குவரத்தை அதிகரிக்கும் நோக்கம் கொண்டவை:

கிரிப்டோகரன்சியுடன் தொடர்புடையது
தொலைபேசி பஞ்ச் சேவைகளுடன் தொடர்புடையது

நாணயம் வைத்திருப்பவர்[.]cc
அழைப்பாளர்-பதிவு[.]தளம்.

mcxwallet[.]co
தொலைபேசி-பதிவுகள்[.]வெளி

btcnoise[.]com
fone-uncover[.]xyz

கிரிப்டோமினர்[.]கடிகாரம்
எண்-கவர்[.]தகவல்

சுத்தம்

இயல்பாக, "வரைபடம் சுத்தம்" விருப்பம் இயக்கப்பட்டது மற்றும் அனைத்து பொருத்தமற்ற கூறுகளும் வரைபடத்திலிருந்து அகற்றப்படும். மூலம், இது முந்தைய எல்லா எடுத்துக்காட்டுகளிலும் பயன்படுத்தப்பட்டது. நான் ஒரு இயல்பான கேள்வியை எதிர்நோக்குகிறேன்: முக்கியமான ஒன்று நீக்கப்படாமல் இருப்பதை எப்படி உறுதி செய்வது? நான் பதிலளிப்பேன்: கையால் வரைபடங்களை உருவாக்க விரும்பும் பகுப்பாய்வாளர்களுக்கு, தானியங்கு சுத்தம் செய்வதை முடக்கலாம் மற்றும் படிகளின் எண்ணிக்கையைத் தேர்ந்தெடுக்கலாம் = 1. அடுத்து, ஆய்வாளர் தனக்குத் தேவையான கூறுகளிலிருந்து வரைபடத்தை முடிக்கவும் மற்றும் உறுப்புகளை அகற்றவும் முடியும். பணிக்கு பொருத்தமற்ற வரைபடம்.

ஏற்கனவே வரைபடத்தில், ஹூயிஸ், டிஎன்எஸ் மற்றும் திறந்த துறைமுகங்கள் மற்றும் அவற்றில் இயங்கும் சேவைகளில் ஏற்பட்ட மாற்றங்களின் வரலாறு ஆய்வாளருக்குக் கிடைக்கும்.

நிதி ஃபிஷிங்

பல ஆண்டுகளாக பல்வேறு பிராந்தியங்களில் உள்ள பல்வேறு வங்கிகளின் வாடிக்கையாளர்களுக்கு எதிராக ஃபிஷிங் தாக்குதல்களை நடத்திய APT குழு ஒன்றின் செயல்பாடுகளை நாங்கள் ஆராய்ந்தோம். இந்த குழுவின் சிறப்பியல்பு அம்சம் உண்மையான வங்கிகளின் பெயர்களுக்கு மிகவும் ஒத்த டொமைன்களின் பதிவு ஆகும், மேலும் பெரும்பாலான ஃபிஷிங் தளங்கள் ஒரே வடிவமைப்பைக் கொண்டிருந்தன, வங்கிகளின் பெயர்கள் மற்றும் அவற்றின் சின்னங்களில் மட்டுமே வேறுபாடுகள் உள்ளன.

இந்த வழக்கில், தானியங்கி வரைபட பகுப்பாய்வு எங்களுக்கு நிறைய உதவியது. அவர்களின் டொமைன்களில் ஒன்றை எடுத்து - lloydsbnk-uk[.]com, சில நொடிகளில் 3 படிகள் கொண்ட வரைபடத்தை உருவாக்கினோம், இது 250 முதல் இந்தக் குழுவால் பயன்படுத்தப்பட்டு தொடர்ந்து பயன்படுத்தப்படும் 2015க்கும் மேற்பட்ட தீங்கிழைக்கும் டொமைன்களைக் கண்டறிந்துள்ளது. . இந்த டொமைன்களில் சில ஏற்கனவே வங்கிகளால் வாங்கப்பட்டவை, ஆனால் அவை தாக்குபவர்களிடம் முன்பே பதிவு செய்யப்பட்டவை என்று வரலாற்றுப் பதிவுகள் காட்டுகின்றன.

தெளிவுக்காக, படம் 2 படிகளின் ஆழத்துடன் ஒரு வரைபடத்தைக் காட்டுகிறது.

ஏற்கனவே 2019 ஆம் ஆண்டில், தாக்குபவர்கள் தங்கள் தந்திரோபாயங்களை ஓரளவு மாற்றி, வலை ஃபிஷிங்கை ஹோஸ்ட் செய்வதற்கான வங்கிகளின் களங்களை மட்டுமல்லாமல், ஃபிஷிங் மின்னஞ்சல்களை அனுப்புவதற்கான பல்வேறு ஆலோசனை நிறுவனங்களின் டொமைன்களையும் பதிவு செய்யத் தொடங்கினர் என்பது குறிப்பிடத்தக்கது. எடுத்துக்காட்டாக, swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com டொமைன்கள்.

கோபால்ட் கும்பல்

டிசம்பர் 2018 இல், ஹேக்கர் குழு கோபால்ட், வங்கிகள் மீதான இலக்கு தாக்குதல்களில் நிபுணத்துவம் பெற்றது, கஜகஸ்தானின் நேஷனல் பேங்க் சார்பாக ஒரு அஞ்சல் பிரச்சாரத்தை அனுப்பியது.

கடிதங்களில் hXXps://nationalbank.bz/Doc/Prikaz.docக்கான இணைப்புகள் இருந்தன. பதிவிறக்கம் செய்யப்பட்ட ஆவணத்தில் பவர்ஷெல் தொடங்கப்பட்ட மேக்ரோ உள்ளது, இது %Temp%einmrmdmy.exe இல் hXXp://wateroilclub.com/file/dwm.exe இலிருந்து கோப்பை ஏற்றி இயக்க முயற்சிக்கும். %Temp%einmrmdmy.exe aka dwm.exe என்ற கோப்பு, hXXp://admvmsopp.com/rilruietguadvtoefmuy சேவையகத்துடன் தொடர்பு கொள்ள உள்ளமைக்கப்பட்ட CobInt ஸ்டேஜர் ஆகும்.

இந்த ஃபிஷிங் மின்னஞ்சல்களைப் பெற முடியாது மற்றும் தீங்கிழைக்கும் கோப்புகளை முழுமையாக பகுப்பாய்வு செய்ய முடியாது என்று கற்பனை செய்து பாருங்கள். தீங்கிழைக்கும் டொமைன் தேசிய வங்கிக்கான வரைபடம்[.]bz உடனடியாக மற்ற தீங்கிழைக்கும் டொமைன்களுடனான தொடர்பைக் காட்டுகிறது, அதை ஒரு குழுவிற்குக் கூறுகிறது மற்றும் தாக்குதலில் எந்த கோப்புகள் பயன்படுத்தப்பட்டன என்பதைக் காட்டுகிறது.

இந்த வரைபடத்திலிருந்து ஐபி முகவரி 46.173.219[.]152 ஐ எடுத்து, அதிலிருந்து ஒரு வரைபடத்தை ஒரே பாஸில் உருவாக்கி சுத்தம் செய்வதை அணைப்போம். அதனுடன் தொடர்புடைய 40 டொமைன்கள் உள்ளன, எடுத்துக்காட்டாக, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
கிரிப்டோலிப்ஸ்[.]com

டொமைன் பெயர்களால் ஆராயும்போது, ​​​​அவை மோசடி திட்டங்களில் பயன்படுத்தப்படுவதாகத் தெரிகிறது, ஆனால் துப்புரவு அல்காரிதம் இந்த தாக்குதலுடன் தொடர்புடையது அல்ல என்பதை உணர்ந்து அவற்றை வரைபடத்தில் வைக்கவில்லை, இது பகுப்பாய்வு மற்றும் பண்புக்கூறு செயல்முறையை பெரிதும் எளிதாக்குகிறது.

தேசிய வங்கி[.]bz ஐப் பயன்படுத்தி வரைபடத்தை மீண்டும் உருவாக்கினால், ஆனால் வரைபடத்தை சுத்தம் செய்யும் அல்காரிதத்தை முடக்கினால், அது 500 க்கும் மேற்பட்ட கூறுகளைக் கொண்டிருக்கும், அவற்றில் பெரும்பாலானவை கோபால்ட் குழு அல்லது அவற்றின் தாக்குதல்களுடன் எந்த தொடர்பும் இல்லை. அத்தகைய வரைபடம் எப்படி இருக்கும் என்பதற்கான எடுத்துக்காட்டு கீழே கொடுக்கப்பட்டுள்ளது:

முடிவுக்கு

பல வருட சிறந்த ட்யூனிங், உண்மையான விசாரணைகளில் சோதனை, அச்சுறுத்தல் ஆராய்ச்சி மற்றும் தாக்குபவர்களை வேட்டையாடுதல் ஆகியவற்றிற்குப் பிறகு, நாங்கள் ஒரு தனித்துவமான கருவியை உருவாக்குவது மட்டுமல்லாமல், நிறுவனத்தில் உள்ள நிபுணர்களின் அணுகுமுறையை மாற்றவும் முடிந்தது. தொடக்கத்தில், தொழில்நுட்ப வல்லுநர்கள் வரைபட கட்டுமான செயல்முறையின் மீது முழுமையான கட்டுப்பாட்டை விரும்புகிறார்கள். பல வருட அனுபவமுள்ள ஒருவரை விட தானியங்கி வரைபடக் கட்டுமானம் இதைச் சிறப்பாகச் செய்ய முடியும் என்று அவர்களை நம்ப வைப்பது மிகவும் கடினமாக இருந்தது. எல்லாமே நேரம் மற்றும் வரைபடத்தின் முடிவுகளின் பல "கையேடு" காசோலைகளால் தீர்மானிக்கப்பட்டது. இப்போது எங்கள் வல்லுநர்கள் கணினியை நம்புவது மட்டுமல்லாமல், அவர்களின் அன்றாட வேலைகளில் அது பெறும் முடிவுகளைப் பயன்படுத்துகின்றனர். இந்தத் தொழில்நுட்பம் எங்களின் ஒவ்வொரு சிஸ்டத்தின் உள்ளேயும் செயல்படுகிறது மேலும் எந்த வகையான அச்சுறுத்தல்களையும் சிறப்பாகக் கண்டறிய அனுமதிக்கிறது. கையேடு வரைபட பகுப்பாய்விற்கான இடைமுகம் அனைத்து குழு-IB தயாரிப்புகளிலும் கட்டமைக்கப்பட்டுள்ளது மற்றும் சைபர் கிரைம் வேட்டைக்கான திறன்களை கணிசமாக விரிவுபடுத்துகிறது. எங்கள் வாடிக்கையாளர்களிடமிருந்து ஆய்வாளர் மதிப்புரைகளால் இது உறுதிப்படுத்தப்பட்டுள்ளது. மேலும், நாங்கள் தொடர்ந்து வரைபடத்தை தரவுகளுடன் வளப்படுத்துகிறோம் மற்றும் செயற்கை நுண்ணறிவைப் பயன்படுத்தி மிகவும் துல்லியமான பிணைய வரைபடத்தை உருவாக்க புதிய அல்காரிதம்களில் வேலை செய்கிறோம்.

ஆதாரம்: www.habr.com