Таҳқиқи парвандаҳои марбут ба фишинг, ботнетҳо, транзаксияҳои қаллобӣ ва гурӯҳҳои ҳакерии ҷиноӣ, коршиносони Group-IB тӯли солҳои зиёд барои муайян кардани намудҳои гуногуни алоқаҳо таҳлили графикиро истифода мебаранд. Ҳолатҳои гуногун дорои маҷмӯи додаҳои худ, алгоритмҳои худ барои муайян кардани пайвастҳо ва интерфейсҳои барои вазифаҳои мушаххас мутобиқшуда мебошанд. Ҳамаи ин воситаҳо аз ҷониби Group-IB дар дохили худ таҳия шудаанд ва танҳо барои кормандони мо дастрас буданд.
Таҳлили графикии инфрасохтори шабака (графики шабакавӣ) аввалин асбоби дохилие гардид, ки мо дар тамоми махсулоти чамъиятии корхона сохтаем. Пеш аз сохтани графики шабакавии худ, мо бисёр пешрафтҳои шабеҳро дар бозор таҳлил кардем ва ягон маҳсулоте наёфтем, ки ниёзҳои моро қонеъ кунад. Дар ин мақола мо дар бораи чӣ гуна мо графики шабакаро офаридаем, онро чӣ тавр истифода мебарем ва бо кадом мушкилот дучор шудем.
Дмитрий Волков, CTO Group-IB ва сардори иктишофи киберӣ
Графикаи шабакаи Group-IB чӣ кор карда метавонад?
Тафтишот
Аз замони таъсиси Group-IB дар соли 2003 то ба имрӯз, муайян кардан, барҳам додан ва ба ҷавобгарӣ кашидани киберҷинояткорон авлавияти аввалиндараҷаи кори мо буд. Ягон таҳқиқоти ҳамлаи киберӣ бидуни таҳлили инфрасохтори шабакаи ҳамлагарон анҷом наёфтааст. Дар ибтидои сафари мо, ҷустуҷӯи муносибатҳое, ки метавонанд дар муайян кардани ҷинояткорон кӯмак расонанд, як «кори дастӣ» хеле душвор буд: маълумот дар бораи номҳои домейнҳо, суроғаҳои IP, изи ангуштони рақамии серверҳо ва ғайра.
Аксари ҳамлагарон кӯшиш мекунанд, ки дар шабака то ҳадди имкон беном амал кунанд. Аммо, мисли ҳама одамон, онҳо хато мекунанд. Ҳадафи асосии чунин таҳлил дарёфти лоиҳаҳои таърихии "сафед" ё "хокистарӣ"-и ҳамлагарон аст, ки бо инфрасохтори зарароваре, ки дар ҳодисаи ҳозира, ки мо таҳқиқ мекунем, чорроҳа доранд. Агар "лоиҳаҳои сафед" -ро ошкор кардан мумкин бошад, пас пайдо кардани ҳамла, чун қоида, кори ночиз мегардад. Дар мавриди "хокистарӣ", ҷустуҷӯ вақт ва кӯшиши бештарро талаб мекунад, зеро соҳибони онҳо кӯшиш мекунанд, ки маълумоти бақайдгириро беном ё пинҳон кунанд, аммо шанси хеле баланд боқӣ мемонад. Одатан, дар оғози амалиёти ҷиноии худ, ҳамлагарон ба бехатарии худ камтар аҳамият медиҳанд ва ба хатогиҳо бештар роҳ медиҳанд, аз ин рӯ, ҳар қадаре ки мо ба ҳикоя амиқтар ғарқ шавем, шонси бомуваффақияти тафтишот зиёдтар мешавад. Аз ин рӯ, графикаи шабакавӣ бо таърихи хуб як ҷузъи муҳими чунин тафтишот мебошад. Оддӣ карда гӯем, ҳар қадар маълумоти амиқтари таърихӣ ширкат дошта бошад, ҳамон қадар графики он беҳтар мешавад. Фарз мекунем, ки таърихи 5-сола метавонад, шартан, 1-2 аз 10 ҷиноятро ошкор кунад ва таърихи 15-сола имкон медиҳад, ки ҳамаи даҳ ҷиноятро кушояд.
Фишинг ва ошкорсозии қаллобӣ
Ҳар дафъае, ки мо истиноди шубҳанокро ба манбаи фишинг, қаллобӣ ё пиратӣ мегирем, мо ба таври худкор графики захираҳои шабакавии алоқамандро месозем ва ҳамаи хостҳои пайдошударо барои мундариҷаи шабеҳ тафтиш мекунем. Ин ба шумо имкон медиҳад, ки ҳам сайтҳои фишинги кӯҳна, ки фаъол, вале номаълум буданд ва инчунин сайтҳои комилан наверо, ки барои ҳамлаҳои оянда омода шудаанд, вале ҳанӯз истифода нашудаанд, пайдо кунед. Мисоли оддие, ки аксар вақт рух медиҳад: мо дар сервер бо ҳамагӣ 5 сайт як сайти фишинг пайдо кардем. Бо тафтиши ҳар яки онҳо, мо мундариҷаи фишингро дар сайтҳои дигар пайдо мекунем, яъне мо метавонем ба ҷои 5 1-ро маҳкам кунем.
Ҷустуҷӯи пуштибонҳо
Ин раванд барои муайян кардани он, ки сервери зараровар воқеан дар куҷо ҷойгир аст, зарур аст.
99% мағозаҳои кортҳо, форумҳои ҳакерӣ, захираҳои зиёди фишинг ва дигар серверҳои зараровар дар паси ҳам серверҳои прокси худ ва ҳам прокси хидматҳои қонунӣ, масалан, Cloudflare, пинҳон шудаанд. Дониш дар бораи пуштибонии воқеӣ барои тафтишот хеле муҳим аст: провайдери хостинг, ки аз он серверро мусодира кардан мумкин аст маълум мешавад ва имкон пайдо мекунад, ки бо дигар лоиҳаҳои зараровар робита барқарор кунед.
Масалан, шумо як сайти фишинг барои ҷамъоварии маълумоти корти бонкӣ доред, ки ба суроғаи IP 11.11.11.11 ҳал мешавад ва суроғаи кортфурӯшӣ, ки ба суроғаи IP 22.22.22.22 ҳал мешавад. Ҳангоми таҳлил маълум мешавад, ки ҳам сайти фишинг ва ҳам кортхона суроғаи IP-и муштарак доранд, масалан, 33.33.33.33. Ин дониш ба мо имкон медиҳад, ки байни ҳамлаҳои фишинг ва мағозаи кортҳо, ки дар он маълумоти корти бонкӣ фурӯхта мешавад, робита барқарор кунем.
Муносибати ҳодиса
Вақте ки шумо ду триггери гуногун доред (биёед дар IDS) бо нармафзори гуногун ва серверҳои гуногун барои назорати ҳамла, шумо онҳоро ҳамчун ду ҳодисаи мустақил баррасӣ мекунед. Аммо агар байни инфрасохторҳои зараровар робитаи хуб вуҷуд дошта бошад, пас маълум мешавад, ки ин ҳамлаҳои гуногун нестанд, балки марҳилаҳои як ҳамлаи бисёрмарҳилаи мураккабтаранд. Ва агар яке аз ҳодисаҳо аллакай ба ягон гурӯҳи ҳамлагарон тааллуқ дошта бошад, пас дуюмро низ метавон ба ҳамон гурӯҳ мансуб кард. Албатта, раванди аттрибутсия хеле мураккабтар аст, бинобар ин, инро ҳамчун мисоли оддӣ баррасӣ кунед.
ғанисозии нишондиҳанда
Мо ба ин чандон аҳамият намедиҳем, зеро ин сенарияи маъмултарини истифодаи графикҳо дар киберамният аст: шумо як нишондиҳандаро ҳамчун вуруд медиҳед ва ҳамчун натиҷа шумо як қатор нишондиҳандаҳои алоқамандро мегиред.
Муайян кардани намунаҳо
Муайян кардани намунаҳо барои шикори самаранок муҳим аст. Графикҳо ба шумо имкон медиҳанд, ки на танҳо унсурҳои ба ҳам алоқамандро пайдо кунед, балки инчунин хосиятҳои умумиеро, ки ба гурӯҳи муайяни ҳакерҳо хосанд, муайян кунед. Донистани чунин хусусиятҳои беназир ба шумо имкон медиҳад, ки инфрасохтори ҳамлакунандаро ҳатто дар марҳилаи омодагӣ ва бидуни далелҳои тасдиқкунандаи ҳамла, ба монанди паёмҳои фишингӣ ё нармафзори зараровар эътироф кунед.
Чаро мо графики шабакавии худро эҷод кардем?
Бори дигар, мо пеш аз он ки ба хулосае омадем, мо ба ҳалли фурӯшандагони гуногун назар кардем, ки мо бояд асбоби шахсии худро таҳия кунем, ки кореро иҷро кунад, ки ҳеҷ як маҳсулоти мавҷуда наметавонад иҷро кунад. Барои сохтани он чанд сол лозим шуд, ки дар давоми он мо онро якчанд маротиба комилан иваз кардем. Аммо, сарфи назар аз давраи тӯлонии рушд, мо то ҳол як аналогеро пайдо накардаем, ки ба талаботи мо ҷавобгӯ бошад. Бо истифода аз маҳсулоти худ, мо дар ниҳоят тавонистем қариб ҳамаи мушкилотеро, ки дар графикҳои шабакавии мавҷуда кашф кардаем, ҳал кунем. Дар зер мо ин мушкилотро муфассал баррасӣ хоҳем кард:
проблема
ҳалли
Набудани провайдер бо маҷмӯаҳои гуногуни маълумот: доменҳо, DNS ғайрифаъол, SSL ғайрифаъол, сабтҳои DNS, бандарҳои кушода, хидматрасонӣ дар портҳо, файлҳои мутақобила бо номҳои доменҳо ва суроғаҳои IP. Шарҳ. Одатан, провайдерҳо намудҳои алоҳидаи маълумотро пешниҳод мекунанд ва барои гирифтани тасвири пурра, шумо бояд аз ҳама обуна харед. Бо вуҷуди ин, на ҳама вақт дастрас кардани ҳама маълумот имконпазир аст: баъзе провайдерҳои ғайрифаъоли SSL маълумотро танҳо дар бораи сертификатҳое, ки аз ҷониби CA-ҳои боэътимод дода шудаанд, пешниҳод мекунанд ва фарогирии онҳо бо сертификатҳои худимзо хеле заиф аст. Дигарон инчунин маълумотро бо истифода аз сертификатҳои худ имзо мекунанд, аммо онро танҳо аз портҳои стандартӣ ҷамъ мекунанд.
Хамаи коллекцияхои дар боло зикршударо мо худамон чамъ овардем. Масалан, барои ҷамъоварии маълумот дар бораи сертификатҳои SSL, мо хидмати худро навиштем, ки онҳоро ҳам аз CA-ҳои боэътимод ва ҳам тавассути сканкунии тамоми фазои IPv4 ҷамъоварӣ мекунад. Шаҳодатномаҳо на танҳо аз IP, балки аз тамоми доменҳо ва зердоменҳо аз базаи мо ҷамъоварӣ карда шуданд: агар шумо домени example.com ва зердомени он дошта бошед ва ҳамаи онҳо ба IP 1.1.1.1 ҳал мешаванд, пас вақте ки шумо кӯшиш мекунед, ки аз порти 443 дар IP, домен ва зердомени он сертификати SSL гиред, шумо метавонед се натиҷаи гуногун ба даст оред. Барои ҷамъоварии маълумот дар бораи бандарҳои кушода ва хидматҳои иҷрошаванда, мо маҷбур шудем, ки системаи сканеркунии тақсимшудаи худро эҷод кунем, зеро дигар хидматҳо аксар вақт суроғаҳои IP-и серверҳои сканкунии худро дар “рӯйхати сиёҳ” доштанд. Серверҳои сканкунии мо низ дар рӯйхатҳои сиёҳ қарор мегиранд, аммо натиҷаи ошкор кардани хидматҳое, ки ба мо лозим аст, нисбат ба онҳое, ки ҳарчи бештар бандарҳоро скан мекунанд ва дастрасӣ ба ин маълумотро мефурӯшанд, баландтар аст.
Набудани дастрасӣ ба тамоми базаи сабтҳои таърихӣ. Шарҳ. Ҳар як таъминкунандаи муқаррарӣ таърихи хуби ҷамъшуда дорад, аммо бо сабабҳои табиӣ мо, ҳамчун муштарӣ, натавонистем ба ҳама маълумоти таърихӣ дастрасӣ пайдо кунем. Онхое. Шумо метавонед тамоми таърихро барои як сабт, масалан, аз рӯи домен ё суроғаи IP дастрас кунед, аммо шумо таърихи ҳама чизро дида наметавонед - ва бе ин шумо тасвири пурраро дида наметавонед.
Барои ҷамъоварии ҳарчи бештари сабтҳои таърихӣ дар доменҳо, мо пойгоҳи додаҳои гуногун харидем, бисёр захираҳои кушодаеро, ки ин таърих доштанд, таҳлил кардем (хуб аст, ки онҳо бисёр буданд) ва бо бақайдгирандагони номи домейнҳо гуфтушунид кардем. Ҳама навсозиҳои коллексияи шахсии мо, албатта, бо таърихи пурраи таҷдиди назар нигоҳ дошта мешаванд.
Ҳама қарорҳои мавҷуда ба шумо имкон медиҳанд, ки графикро дастӣ созед. Шарҳ. Фарз мекунем, ки шумо аз ҳама провайдерҳои имконпазири маълумот обунаҳои зиёде харидед (одатан “ғанигардон” номида мешавад). Вақте ки ба шумо график сохтан лозим меояд, шумо «дастҳо» фармон медиҳед, ки аз элементи пайвасти дилхоҳи худ созед, баъд аз элементҳои пайдошуда чизҳои заруриро интихоб кунед ва фармон медиҳед, ки пайвастҳоро аз онҳо анҷом диҳед ва ғайра. Дар ин ҳолат, масъулияти он, ки график то чӣ андоза хуб сохта мешавад, комилан ба худи шахс вобаста аст.
Мо сохтани графикҳоро автоматӣ кардем. Онхое. агар ба шумо график сохтан лозим бошад, пас пайвастҳо аз унсури аввал ба таври худкор сохта мешаванд, пас аз ҳамаи дигарҳо низ. Мутахассис тан-хо чукуреро, ки дар он график сохтан лозим аст, нишон медихад. Раванди ба таври худкор пур кардани графикҳо оддӣ аст, аммо фурӯшандагони дигар онро амалӣ намекунанд, зеро он шумораи зиёди натиҷаҳои номатлубро ба вуҷуд меорад ва мо бояд ин нуқсонро низ ба назар гирем (нигаред ба поён).
Бисёре аз натиҷаҳои номатлуб мушкилот бо ҳама графикҳои элементҳои шабакавӣ мебошанд. Шарҳ. Масалан, "домени бад" (дар ҳамла ширкат кардааст) бо сервере алоқаманд аст, ки дар тӯли 10 соли охир 500 домени дигар бо он алоқаманд аст. Ҳангоми ба таври дастӣ илова кардан ё ба таври худкор сохтани график, ҳамаи ин 500 домен низ бояд дар график пайдо шаванд, гарчанде ки онҳо ба ҳамла алоқаманд нестанд. Ё, масалан, шумо нишондиҳандаи IP-ро аз гузориши амнияти фурӯшанда тафтиш мекунед. Одатан, чунин гузоришҳо бо таъхири назаррас нашр мешаванд ва аксар вақт як сол ё бештарро дарбар мегиранд. Эҳтимол, ҳангоми хондани гузориш, сервер бо ин суроғаи IP аллакай ба одамони дигар бо пайвастҳои дигар иҷора дода шудааст ва сохтани график боз боиси ба даст овардани натиҷаҳои номатлуб мегардад.
Мо системаро барои муайян кардани унсурҳои номатлуб бо истифода аз ҳамон мантиқе, ки коршиносони мо дастӣ мекарданд, омӯзонидем. Масалан, шумо домени бади example.com -ро тафтиш карда истодаед, ки ҳоло ба IP 11.11.11.11 ва як моҳ пеш - ба IP 22.22.22.22 ҳал мешавад. Илова ба домени example.com, IP 11.11.11.11 низ бо example.ru ва IP 22.22.22.22 бо 25 ҳазор доменҳои дигар алоқаманд аст. Система мисли шахс мефаҳмад, ки 11.11.11.11 эҳтимолан сервери бахшидашуда аст ва азбаски домени example.ru аз ҷиҳати имло ба example.com шабоҳат дорад, пас, бо эҳтимолияти баланд, онҳо пайвастанд ва бояд дар график; аммо IP 22.22.22.22 ба хостинги муштарак тааллуқ дорад, аз ин рӯ ҳамаи доменҳои он ба график дохил карда намешаванд, ба шарте ки пайвастҳои дигаре вуҷуд надошта бошанд, ки нишон медиҳанд, ки яке аз ин 25 ҳазор доменҳо низ бояд дохил карда шаванд (масалан, example.net) . Пеш аз он ки система фаҳмад, ки пайвастҳо бояд вайрон карда шаванд ва баъзе элементҳо ба график кӯчонида нашаванд, вай бисёр хосиятҳои элементҳо ва кластерҳоеро, ки дар онҳо ин элементҳо муттаҳид мешаванд, инчунин қувваи пайвастҳои ҷорӣ ба назар мегирад. Масалан, агар мо дар график як кластери хурд (50 элемент) дошта бошем, ки домени бад дошта бошад ва кластери дигари калон (5 ҳазор элемент) ва ҳарду кластер бо пайвастшавӣ (хат) бо қувваи хеле паст (вазн) пайваст карда шаванд. , он гоҳ чунин пайвастшавӣ вайрон мешавад ва унсурҳои кластери калон хориҷ карда мешаванд. Аммо агар дар байни кластерҳои хурду калон робитаҳои зиёд вуҷуд дошта бошанд ва қувваи онҳо тадриҷан зиёд шавад, дар ин ҳолат робита канда намешавад ва унсурҳои зарурии ҳарду кластер дар график боқӣ мемонанд.
Фосилаи соҳиби сервер ва домен ба назар гирифта намешавад. Шарҳ. "Доменҳои бад" дер ё зуд ба охир мерасанд ва дубора бо мақсадҳои бадхоҳона ё қонунӣ харида мешаванд. Ҳатто серверҳои хостинги тир ба ҳакерҳои гуногун иҷора дода мешаванд, аз ин рӯ донистан ва ба назар гирифтани фосилаи вақте ки домен/сервери мушаххас таҳти назорати як соҳиб буд, муҳим аст. Мо аксар вақт бо вазъияте дучор мешавем, ки сервери дорои IP 11.11.11.11 ҳоло ҳамчун C&C барои боти бонкӣ истифода мешавад ва 2 моҳ пеш он аз ҷониби Ransomware назорат мешуд. Агар мо бе назардошти фосилаҳои моликият пайваст созем, он ба назар мерасад, ки байни соҳибони ботнети бонкӣ ва нармафзори ransomware робита вуҷуд дорад, гарчанде ки дар асл вуҷуд надорад. Дар кори мо чунин хатой чиддй аст.
Мо ба система таълим додем, ки фосилаи моликиятро муайян кунад. Барои доменҳо ин нисбатан содда аст, зеро whois аксар вақт санаҳои оғоз ва анҷоми сабти номро дар бар мегирад ва вақте ки таърихи пурраи тағиротҳои whois мавҷуд аст, фосилаҳоро муайян кардан осон аст. Вақте ки мӯҳлати бақайдгирии домен ба охир нарасидааст, вале идоракунии он ба соҳибони дигар интиқол дода шудааст, онро низ пайгирӣ кардан мумкин аст. Барои сертификатҳои SSL чунин мушкилот вуҷуд надорад, зеро онҳо як маротиба дода мешаванд ва нав карда намешаванд ва интиқол дода намешаванд. Аммо бо сертификатҳои худ имзошуда, шумо наметавонед ба санаҳои дар мӯҳлати эътибори сертификат нишондодашуда бовар кунед, зеро шумо метавонед имрӯз сертификати SSL тавлид кунед ва санаи оғози сертификатро аз соли 2010 муайян кунед. Аз ҳама мушкил ин муайян кардани фосилаи моликият барои серверҳо аст, зеро танҳо провайдерҳои хостинг сана ва давраҳои иҷора доранд. Барои муайян кардани мӯҳлати соҳиби сервер, мо ба истифода аз натиҷаҳои сканкунии порт ва эҷоди изи ангуштони хидматҳои коркунанда дар портҳо шурӯъ кардем. Бо истифода аз ин маълумот, мо метавонем дақиқ бигӯем, ки соҳиби сервер кай иваз шудааст.
Пайвастҳои кам. Шарҳ. Дар айни замон, гирифтани рӯйхати ройгони доменҳое, ки дар онҳо суроғаи почтаи электронии мушаххас мавҷуд аст ё пайдо кардани ҳамаи доменҳое, ки бо суроғаи мушаххаси IP алоқаманданд, ҳатто мушкиле нест. Аммо вақте сухан дар бораи ҳакерҳо меравад, ки барои пайгирӣ душвор будани ҳама кори аз дасташон меомадаро мекунанд, ба мо ҳилаҳои иловагӣ барои дарёфти хосиятҳои нав ва сохтани пайвастагиҳои нав ниёз доранд.
Мо вақти зиёдро барои таҳқиқи он сарф кардем, ки чӣ тавр мо метавонем маълумотеро, ки бо роҳи анъанавӣ дастрас набудем, истихроҷ кунем. Мо дар ин ҷо бо сабабҳои маълум чӣ тавр кор кардани онро тавсиф карда наметавонем, аммо дар шароити муайян ҳакерҳо ҳангоми бақайдгирии доменҳо ё иҷора ва насби серверҳо хатогиҳое мекунанд, ки ба онҳо имкон медиҳад суроғаҳои почтаи электронӣ, тахаллуси ҳакерҳо ва суроғаҳои пуштибониро пайдо кунанд. Чӣ қадаре ки шумо пайвастҳои бештарро истихроҷ кунед, ҳамон қадар графикҳои дақиқтаре сохта метавонед.
Графикаи мо чӣ гуна кор мекунад
Барои оғози истифодаи графики шабака, шумо бояд домен, суроғаи IP, почтаи электронӣ ё изи ангуштони сертификати SSL-ро ба сатри ҷустуҷӯ ворид кунед. Се шарте вуҷуд дорад, ки таҳлилгар метавонад назорат кунад: вақт, умқи қадам ва тозакунӣ.
Вақт
Вақт - сана ё фосилае, ки унсури ҷустуҷӯшуда барои мақсадҳои бад истифода шудааст. Агар шумо ин параметрро муайян накунед, худи система фосилаи охирини моликиятро барои ин манбаъ муайян мекунад. Масалан, 11 июль «Эсет» аз чоп баромад дар бораи чӣ гуна Buhtrap истисмори 0-рӯзаро барои ҷосусии киберӣ истифода мебарад. Дар охири хисобот 6 нишондиханда мавчуд аст. Яке аз онҳо, security-telemetry[.]net, рӯзи 16 июл дубора сабти ном шуд. Аз ин рӯ, агар шумо пас аз 16 июл график созед, шумо натиҷаҳои номатлуб хоҳед гирифт. Аммо агар шумо нишон диҳед, ки ин домен пеш аз ин сана истифода шудааст, пас график 126 доменҳои нав, 69 суроғаҳои IP-ро дар бар мегирад, ки дар гузориши Eset номбар нашудаанд:
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-world[.]info
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]нет
- ва дигарон.
Илова ба нишондиҳандаҳои шабакавӣ, мо фавран пайвастҳоро бо файлҳои зарароваре пайдо мекунем, ки бо ин инфрасохтор ва барчаспҳое, ки ба мо мегӯянд, ки Meterpreter ва AZORult истифода шудаанд.
Аҷиб аст, ки шумо ин натиҷаро дар давоми як сония ба даст меоред ва ба шумо дигар лозим нест, ки рӯзҳоро барои таҳлили маълумот сарф кунед. Албатта, ин равиш баъзан вақти тафтишотро ба таври назаррас коҳиш медиҳад, ки аксар вақт муҳим аст.
Шумораи қадамҳо ё умқи рекурсия, ки бо он график сохта мешавад
Бо нобаёнӣ, умқ 3 аст. Ин маънои онро дорад, ки ҳама унсурҳои бевосита алоқаманд аз унсури дилхоҳ пайдо мешаванд, пас аз ҳар як элементи нав ба дигар элементҳо пайвастҳои нав сохта мешаванд ва элементҳои нав аз унсурҳои нав аз охирин элементҳо сохта мешаванд. қадам.
Биёед мисолеро гирем, ки ба APT ва истисморҳои 0-рӯза алоқаманд нестанд. Ба наздикӣ дар Habré як ҳолати ҷолиби қаллобии марбут ба криптовалютҳо тасвир шудааст. Дар гузориш домени themcx[.]co зикр шудааст, ки аз ҷониби қаллобон барои ҷойгир кардани вебсайте истифода мешавад, ки гӯё як мубодилаи Miner Coin ва телефон ҷустуҷӯи[.]xyz барои ҷалби трафик мебошад.
Аз тавсиф маълум аст, ки нақша инфрасохтори хеле калонро барои ҷалби трафик ба захираҳои қаллобӣ талаб мекунад. Мо тасмим гирифтем, ки ин инфрасохторро тавассути сохтани график дар 4 қадам дида бароем. Натиҷа як график бо 230 домен ва 39 суроғаи IP буд. Минбаъд, мо доменҳоро ба 2 категория тақсим мекунем: онҳое, ки ба хидматҳо барои кор бо криптовалютҳо монанданд ва онҳое, ки барои ҳаракати трафик тавассути хидматҳои санҷиши телефон пешбинӣ шудаанд:
Вобаста ба cryptocurrency
Бо хидматрасониҳои телефонӣ алоқаманд аст
тангафурӯш [.]cc
сайти сабти зангзананда.
mcxwallet[.]co
телефони сабтҳои [.]фазо
btcnoise [.]com
fone-uncover[.]xyz
криптоминер[.]соат
рақам-фаъол [.]маълумот
Тоза кардан
Бо нобаёнӣ, опсияи "Тозакунии графикӣ" фаъол аст ва ҳама унсурҳои номатлуб аз график хориҷ карда мешаванд. Дар омади гап, он дар ҳама мисолҳои қаблӣ истифода шудааст. Ман саволи табииро пешгӯӣ мекунам: чӣ гуна мо метавонем боварӣ ҳосил кунем, ки чизи муҳим нест карда намешавад? Ман ҷавоб медиҳам: барои таҳлилгароне, ки мехоҳанд графикҳоро дастӣ созанд, тозакунии автоматиро ғайрифаъол кардан мумкин аст ва шумораи қадамҳоро интихоб кардан мумкин аст = 1. Баъдан, таҳлилгар метавонад графикро аз элементҳои ба ӯ лозима пурра кунад ва элементҳоро аз он хориҷ кунад. графике, ки ба вазифа дахл надорад.
Аллакай дар график, таърихи тағирот дар whois, DNS, инчунин портҳои кушода ва хидматҳое, ки дар онҳо кор мекунанд, дастраси таҳлилгар мегардад.
Фишинги молиявӣ
Мо фаъолияти як гурӯҳи ҲАТ-ро, ки тӯли чанд сол алайҳи муштариёни бонкҳои мухталиф дар минтақаҳои мухталиф ҳамлаҳои фишингӣ анҷом медоданд, таҳқиқ кардем. Хусусияти хоси ин гурӯҳ сабти номи доменҳои ба номҳои бонкҳои воқеӣ хеле монанд буд ва аксари сайтҳои фишингӣ тарҳи якхела доштанд, танҳо тафовут дар номи бонкҳо ва логотипи онҳо буд.
Дар ин сурат ба мо тахлили графикии автоматй ёрии калон расонд. Бо назардошти яке аз доменҳои онҳо - lloydsbnk-uk[.]com, мо дар тӯли чанд сония графики умқи 3 қадамро сохтем, ки дар он беш аз 250 доменҳои зараровар муайян карда шуданд, ки аз соли 2015 инҷониб ин гурӯҳ истифода мешуданд ва ҳоло ҳам истифода мешаванд. . Баъзе аз ин доменҳо аллакай аз ҷониби бонкҳо харидорӣ шудаанд, аммо сабтҳои таърихӣ нишон медиҳанд, ки онҳо қаблан барои ҳамлагарон сабти ном шудаанд.
Барои равшанӣ, дар расм график бо умқи 2 қадам нишон дода шудааст.
Қобили зикр аст, ки аллакай дар соли 2019 ҳамлагарон тактикаи худро то андозае тағйир дода, на танҳо доменҳои бонкҳоро барои хостинги веб-фишинг, балки доменҳои ширкатҳои консалтингии гуногунро барои ирсоли мактубҳои фишингӣ ба қайд гирифтанд. Масалан, доменҳои swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Гурӯҳи кобальт
Моҳи декабри соли 2018 гурӯҳи ҳакерии Cobalt, ки ба ҳамлаҳои ҳадафмандона ба бонкҳо тахассус дорад, аз номи Бонки миллии Қазоқистон маъракаи почта фиристода буд.
Дар ин номаҳо истинод ба hXXps://nationalbank.bz/Doc/Prikaz.doc мавҷуд буд. Ҳуҷҷати зеркашидашуда дорои макросест, ки Powershell-ро оғоз мекунад, ки кӯшиш мекунад файлро аз hXXp://wateroilclub.com/file/dwm.exe дар %Temp%einmrmdmy.exe бор ва иҷро кунад. Файли %Temp%einmrmdmy.exe aka dwm.exe статер CobInt аст, ки барои ҳамкорӣ бо сервери hXXp://admvmsopp.com/rilruietguadvtoefmuy танзим шудааст.
Тасаввур кунед, ки ин мактубҳои фишингиро қабул карда наметавонед ва таҳлили пурраи файлҳои зарароварро анҷом дода наметавонед. Графикаи домени зараровар Nationalbank[.]bz фавран пайвастагиҳоро бо дигар доменҳои зараровар нишон медиҳад, онро ба гурӯҳ мансуб мекунад ва нишон медиҳад, ки кадом файлҳо дар ҳамла истифода шудаанд.
Биёед аз ин график IP-адреси 46.173.219[.]152-ро гирем ва аз он дар як гузариш график созем ва тозакуниро хомӯш кунем. 40 домен бо он алоқаманд аст, масалан, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Аз рӯи номҳои домейнҳо, чунин ба назар мерасад, ки онҳо дар схемаҳои қаллобӣ истифода мешаванд, аммо алгоритми тозакунӣ фаҳмид, ки онҳо ба ин ҳамла иртибот надоранд ва онҳоро дар график ҷойгир накардаанд, ки раванди таҳлил ва атрибусияро хеле осон мекунад.
Агар шумо графикро бо истифода аз Nationalbank[.]bz аз нав созед, вале алгоритми тозакунии графикро ғайрифаъол кунед, он зиёда аз 500 элементро дар бар мегирад, ки аксари онҳо ба гурӯҳи Cobalt ё ҳамлаҳои онҳо рабте надоранд. Намунаи чӣ гуна намуди чунин график дар зер оварда шудааст:
хулоса
Пас аз чанд соли танзими дақиқ, санҷиш дар тафтишоти воқеӣ, таҳқиқоти таҳдид ва шикори ҳамлагарон, мо тавонистем на танҳо як асбоби беназир эҷод кунем, балки муносибати коршиносони ширкатро ба он тағир диҳем. Дар аввал, коршиносони техникӣ мехоҳанд, ки раванди сохтани графикро пурра назорат кунанд. Онҳоро бовар кунондан, ки сохтани графики автоматӣ метавонад ин корро нисбат ба шахсе, ки таҷрибаи чандинсола дорад, хеле душвор буд. Ҳама чиз бо вақт ва тафтиши чандинкаратаи "дастӣ" -и натиҷаҳои он чи график тавлид шудааст, ҳал карда мешуд. Акнун мутахассисони мо на танхо ба система боварй доранд, балки натичахои ба даст овардаи онро дар кори харрузаи худ истифода мебаранд. Ин технология дар дохили ҳар як системаи мо кор мекунад ва ба мо имкон медиҳад, ки таҳдидҳои ҳама гуна навъҳоро беҳтар муайян кунем. Интерфейси таҳлили графикии дастӣ дар ҳама маҳсулоти Group-IB сохта шудааст ва имкониятҳои шикори киберҷиноятро ба таври назаррас васеъ мекунад. Инро баррасиҳои таҳлилгарон аз муштариёни мо тасдиқ мекунанд. Ва мо, дар навбати худ, ғанисозии графикро бо додаҳо идома медиҳем ва дар алгоритмҳои нав бо истифода аз зеҳни сунъӣ барои эҷод кардани графикаи шабакавии дақиқтарин кор мекунем.
Манбаъ: will.com