การตรวจสอบกรณีที่เกี่ยวข้องกับฟิชชิ่ง บ็อตเน็ต ธุรกรรมฉ้อโกง และกลุ่มแฮ็กเกอร์ทางอาญา ผู้เชี่ยวชาญของ Group-IB ใช้การวิเคราะห์กราฟเป็นเวลาหลายปีเพื่อระบุการเชื่อมต่อประเภทต่างๆ กรณีต่างๆ ก็มีชุดข้อมูลของตัวเอง อัลกอริธึมของตัวเองในการระบุการเชื่อมต่อ และอินเทอร์เฟซที่ปรับแต่งสำหรับงานเฉพาะ เครื่องมือทั้งหมดนี้ได้รับการพัฒนาภายในโดย Group-IB และมีให้เฉพาะพนักงานของเราเท่านั้น
การวิเคราะห์กราฟของโครงสร้างพื้นฐานเครือข่าย (กราฟเครือข่าย) กลายเป็นเครื่องมือภายในชิ้นแรกที่เราสร้างไว้ในผลิตภัณฑ์สาธารณะทั้งหมดของบริษัท ก่อนที่จะสร้างกราฟเครือข่าย เราได้วิเคราะห์การพัฒนาที่คล้ายกันมากมายในตลาดและไม่พบผลิตภัณฑ์เดียวที่ตอบสนองความต้องการของเราเอง ในบทความนี้ เราจะพูดถึงวิธีที่เราสร้างกราฟเครือข่าย วิธีใช้งาน และปัญหาที่เราพบ
ดมิทรี วอลคอฟ, CTO Group-IB และหัวหน้าหน่วยข่าวกรองไซเบอร์
กราฟเครือข่าย Group-IB สามารถทำอะไรได้บ้าง?
การสืบสวน
นับตั้งแต่ก่อตั้ง Group-IB ในปี 2003 จนถึงปัจจุบัน การระบุ การปราบปราม และการนำอาชญากรไซเบอร์เข้าสู่กระบวนการยุติธรรมถือเป็นสิ่งสำคัญสูงสุดในงานของเรา การสอบสวนการโจมตีทางไซเบอร์เพียงครั้งเดียวไม่เสร็จสมบูรณ์หากไม่มีการวิเคราะห์โครงสร้างพื้นฐานเครือข่ายของผู้โจมตี ในช่วงเริ่มต้นของการเดินทางของเรา “การทำงานด้วยตนเอง” ค่อนข้างต้องใช้ความอุตสาหะในการค้นหาความสัมพันธ์ที่สามารถช่วยในการระบุอาชญากร: ข้อมูลเกี่ยวกับชื่อโดเมน ที่อยู่ IP ลายนิ้วมือดิจิทัลของเซิร์ฟเวอร์ ฯลฯ
ผู้โจมตีส่วนใหญ่พยายามดำเนินการโดยไม่เปิดเผยตัวตนมากที่สุดเท่าที่จะเป็นไปได้บนเครือข่าย อย่างไรก็ตาม เช่นเดียวกับทุกคน พวกเขาทำผิดพลาด เป้าหมายหลักของการวิเคราะห์ดังกล่าวคือการค้นหาโปรเจ็กต์ประวัติศาสตร์ "สีขาว" หรือ "สีเทา" ของผู้โจมตีที่มีจุดตัดกับโครงสร้างพื้นฐานที่เป็นอันตรายที่ใช้ในเหตุการณ์ปัจจุบันที่เรากำลังตรวจสอบ หากเป็นไปได้ที่จะตรวจจับ "โปรเจ็กต์สีขาว" การค้นหาผู้โจมตีจะกลายเป็นงานที่ไม่สำคัญตามกฎ ในกรณีของ "สีเทา" การค้นหาต้องใช้เวลาและความพยายามมากขึ้น เนื่องจากเจ้าของพยายามปกปิดชื่อหรือซ่อนข้อมูลการลงทะเบียน แต่โอกาสยังคงค่อนข้างสูง ตามกฎแล้ว ในช่วงเริ่มต้นของกิจกรรมทางอาญา ผู้โจมตีให้ความสำคัญกับความปลอดภัยของตนเองน้อยลงและทำผิดพลาดมากขึ้น ดังนั้น ยิ่งเราสามารถเจาะลึกเรื่องราวได้มากเท่าไร โอกาสที่การสืบสวนจะประสบความสำเร็จก็จะยิ่งมากขึ้นเท่านั้น นั่นคือเหตุผลว่าทำไมกราฟเครือข่ายที่มีประวัติที่ดีจึงเป็นองค์ประกอบที่สำคัญอย่างยิ่งในการสืบสวนดังกล่าว พูดง่ายๆ ก็คือ ยิ่งข้อมูลในอดีตของบริษัทมีความลึกเท่าใด กราฟก็จะยิ่งดีขึ้นเท่านั้น สมมติว่าประวัติ 5 ปีสามารถช่วยแก้ไขอาชญากรรม 1-2 ใน 10 ได้อย่างมีเงื่อนไข และประวัติ 15 ปีให้โอกาสในการแก้ไขทั้งสิบคดี
การตรวจจับฟิชชิ่งและการฉ้อโกง
ทุกครั้งที่เราได้รับลิงก์ที่น่าสงสัยไปยังแหล่งข้อมูลฟิชชิ่ง ฉ้อโกง หรือละเมิดลิขสิทธิ์ เราจะสร้างกราฟของทรัพยากรเครือข่ายที่เกี่ยวข้องโดยอัตโนมัติ และตรวจสอบโฮสต์ที่พบทั้งหมดเพื่อดูเนื้อหาที่คล้ายกัน วิธีนี้ช่วยให้คุณค้นหาทั้งไซต์ฟิชชิ่งเก่าที่ใช้งานอยู่แต่ไม่รู้จัก รวมถึงไซต์ใหม่ทั้งหมดที่เตรียมพร้อมสำหรับการโจมตีในอนาคต แต่ยังไม่ได้ใช้งาน ตัวอย่างเบื้องต้นที่เกิดขึ้นค่อนข้างบ่อย: เราพบไซต์ฟิชชิ่งบนเซิร์ฟเวอร์ที่มีไซต์เพียง 5 แห่ง เมื่อตรวจสอบแต่ละรายการ เราจะพบเนื้อหาฟิชชิ่งในเว็บไซต์อื่น ซึ่งหมายความว่าเราสามารถบล็อก 5 แทนที่จะเป็น 1 ได้
ค้นหาแบ็กเอนด์
กระบวนการนี้จำเป็นเพื่อพิจารณาว่าจริงๆ แล้วเซิร์ฟเวอร์ที่เป็นอันตรายนั้นอยู่ที่ใด
99% ของร้านขายการ์ด ฟอรัมแฮ็กเกอร์ ทรัพยากรฟิชชิ่งจำนวนมาก และเซิร์ฟเวอร์ที่เป็นอันตรายอื่นๆ ถูกซ่อนอยู่หลังพร็อกซีเซิร์ฟเวอร์ของตนเองและพรอกซีของบริการที่ถูกกฎหมาย เช่น Cloudflare ความรู้เกี่ยวกับแบ็กเอนด์ที่แท้จริงมีความสำคัญมากสำหรับการสืบสวน: รู้จักผู้ให้บริการโฮสติ้งที่สามารถยึดเซิร์ฟเวอร์ได้ และเป็นไปได้ที่จะสร้างการเชื่อมต่อกับโครงการที่เป็นอันตรายอื่น ๆ
ตัวอย่างเช่น คุณมีไซต์ฟิชชิ่งสำหรับรวบรวมข้อมูลบัตรธนาคารที่แก้ไขเป็นที่อยู่ IP 11.11.11.11 และที่อยู่ร้านบัตรที่แก้ไขเป็นที่อยู่ IP 22.22.22.22 ในระหว่างการวิเคราะห์ อาจปรากฎว่าทั้งไซต์ฟิชชิ่งและร้านขายบัตรมีที่อยู่ IP แบ็กเอนด์ร่วมกัน เช่น 33.33.33.33 ความรู้นี้ช่วยให้เราสามารถสร้างความเชื่อมโยงระหว่างการโจมตีแบบฟิชชิ่งและร้านค้าบัตรที่อาจขายข้อมูลบัตรธนาคารได้
ความสัมพันธ์ของเหตุการณ์
เมื่อคุณมีทริกเกอร์ที่แตกต่างกันสองตัว (เช่น บน IDS) ที่มีมัลแวร์ต่างกันและเซิร์ฟเวอร์ที่แตกต่างกันในการควบคุมการโจมตี คุณจะถือว่าสิ่งเหล่านั้นเป็นสองเหตุการณ์ที่แยกจากกัน แต่หากมีการเชื่อมต่อที่ดีระหว่างโครงสร้างพื้นฐานที่เป็นอันตราย ก็จะเห็นได้ชัดว่าการโจมตีเหล่านี้ไม่ใช่การโจมตีที่แตกต่างกัน แต่เป็นการโจมตีแบบหลายขั้นตอนที่ซับซ้อนมากขึ้น และหากเหตุการณ์ใดเหตุการณ์หนึ่งเชื่อมโยงกับกลุ่มผู้โจมตีใด ๆ อยู่แล้ว เหตุการณ์ที่สองก็สามารถนำมาประกอบกับกลุ่มเดียวกันได้เช่นกัน แน่นอนว่ากระบวนการระบุแหล่งที่มานั้นซับซ้อนกว่ามาก ดังนั้นให้ถือว่านี่เป็นตัวอย่างง่ายๆ
การเพิ่มคุณค่าของตัวบ่งชี้
เราจะไม่ใส่ใจกับเรื่องนี้มากนัก เนื่องจากนี่เป็นสถานการณ์ที่พบบ่อยที่สุดสำหรับการใช้กราฟในความปลอดภัยทางไซเบอร์: คุณให้ตัวบ่งชี้หนึ่งตัวเป็นอินพุต และเอาต์พุตคุณจะได้รับอาร์เรย์ของตัวบ่งชี้ที่เกี่ยวข้องมากมาย
การระบุรูปแบบ
การระบุรูปแบบเป็นสิ่งจำเป็นสำหรับการล่าสัตว์ที่มีประสิทธิภาพ กราฟช่วยให้คุณไม่เพียงแต่ค้นหาองค์ประกอบที่เกี่ยวข้องเท่านั้น แต่ยังช่วยระบุคุณสมบัติทั่วไปที่เป็นลักษณะของแฮกเกอร์กลุ่มใดกลุ่มหนึ่งด้วย ความรู้เกี่ยวกับคุณลักษณะเฉพาะดังกล่าวช่วยให้คุณสามารถจดจำโครงสร้างพื้นฐานของผู้โจมตีได้แม้ในขั้นตอนการเตรียมการ และไม่มีหลักฐานยืนยันการโจมตี เช่น อีเมลฟิชชิ่งหรือมัลแวร์
ทำไมเราถึงสร้างกราฟเครือข่ายของเราเอง?
เราพิจารณาโซลูชันจากผู้ขายต่างๆ อีกครั้ง ก่อนที่จะได้ข้อสรุปว่าเราจำเป็นต้องพัฒนาเครื่องมือของเราเองที่สามารถทำสิ่งที่ไม่มีผลิตภัณฑ์ที่มีอยู่สามารถทำได้ การสร้างมันใช้เวลาหลายปี ในระหว่างนั้นเราได้เปลี่ยนแปลงมันหลายครั้ง แต่แม้จะมีช่วงการพัฒนาที่ยาวนาน แต่เรายังไม่พบอะนาล็อกสักตัวเดียวที่จะตอบสนองความต้องการของเราได้ ด้วยผลิตภัณฑ์ของเราเอง ในที่สุดเราก็สามารถแก้ไขปัญหาเกือบทั้งหมดที่เราค้นพบในกราฟเครือข่ายที่มีอยู่ได้ ด้านล่างเราจะพิจารณาปัญหาเหล่านี้โดยละเอียด:
ปัญหา
การตัดสิน
ขาดผู้ให้บริการที่มีการรวบรวมข้อมูลที่แตกต่างกัน: โดเมน, DNS แบบพาสซีฟ, SSL แบบพาสซีฟ, บันทึก DNS, พอร์ตที่เปิดอยู่, บริการที่รันบนพอร์ต, ไฟล์ที่โต้ตอบกับชื่อโดเมนและที่อยู่ IP คำอธิบาย. โดยทั่วไปแล้ว ผู้ให้บริการจะจัดเตรียมข้อมูลประเภทต่างๆ ไว้ต่างหาก และเพื่อให้ได้ภาพรวมทั้งหมด คุณจะต้องซื้อการสมัครสมาชิกจากทุกคน ถึงกระนั้น ก็ไม่สามารถรับข้อมูลทั้งหมดได้เสมอไป ผู้ให้บริการ SSL แบบพาสซีฟบางรายให้ข้อมูลเฉพาะเกี่ยวกับใบรับรองที่ออกโดย CA ที่เชื่อถือได้เท่านั้น และการครอบคลุมใบรับรองที่ลงนามด้วยตนเองนั้นแย่มาก อื่นๆ ยังให้ข้อมูลโดยใช้ใบรับรองที่ลงนามด้วยตนเอง แต่รวบรวมจากพอร์ตมาตรฐานเท่านั้น
เรารวบรวมคอลเลกชันข้างต้นทั้งหมดด้วยตัวเราเอง ตัวอย่างเช่น ในการรวบรวมข้อมูลเกี่ยวกับใบรับรอง SSL เราได้เขียนบริการของเราเองซึ่งรวบรวมทั้งจาก CA ที่เชื่อถือได้และโดยการสแกนพื้นที่ IPv4 ทั้งหมด ใบรับรองถูกรวบรวมไม่เพียงแต่จาก IP เท่านั้น แต่ยังมาจากโดเมนและโดเมนย่อยทั้งหมดจากฐานข้อมูลของเราด้วย หากคุณมีโดเมน example.com และโดเมนย่อย และทั้งหมดแก้ไขเป็น IP 1.1.1.1 จากนั้นเมื่อคุณพยายามรับใบรับรอง SSL จากพอร์ต 443 บน IP โดเมน และโดเมนย่อย คุณจะได้รับผลลัพธ์ที่แตกต่างกันสามแบบ ในการรวบรวมข้อมูลบนพอร์ตที่เปิดและบริการที่ทำงานอยู่ เราต้องสร้างระบบการสแกนแบบกระจายของเราเอง เนื่องจากบริการอื่นๆ มักจะมีที่อยู่ IP ของเซิร์ฟเวอร์การสแกนอยู่ใน “บัญชีดำ” เซิร์ฟเวอร์การสแกนของเรายังลงเอยด้วยบัญชีดำ แต่ผลลัพธ์ของการตรวจจับบริการที่เราต้องการนั้นสูงกว่าผลลัพธ์ของเซิร์ฟเวอร์การสแกนพอร์ตให้ได้มากที่สุดและขายการเข้าถึงข้อมูลนี้
ขาดการเข้าถึงฐานข้อมูลทั้งหมดของบันทึกทางประวัติศาสตร์ คำอธิบาย. ซัพพลายเออร์ปกติทุกรายมีประวัติสะสมที่ดี แต่ด้วยเหตุผลธรรมชาติ ในฐานะลูกค้า เราจึงไม่สามารถเข้าถึงข้อมูลในอดีตทั้งหมดได้ เหล่านั้น. คุณสามารถรับประวัติทั้งหมดสำหรับบันทึกเดียว เช่น ตามโดเมนหรือที่อยู่ IP แต่คุณไม่สามารถดูประวัติของทุกสิ่งได้ และหากไม่มีสิ่งนี้ คุณจะไม่สามารถเห็นภาพเต็มได้
เพื่อรวบรวมบันทึกประวัติบนโดเมนให้ได้มากที่สุด เราได้ซื้อฐานข้อมูลต่างๆ แยกวิเคราะห์ทรัพยากรแบบเปิดจำนวนมากที่มีประวัตินี้ (เป็นเรื่องดีที่มีหลายรายการ) และเจรจากับผู้รับจดทะเบียนชื่อโดเมน แน่นอนว่าการอัปเดตคอลเลกชันของเราเองทั้งหมดจะถูกเก็บไว้พร้อมกับประวัติการแก้ไขทั้งหมด
โซลูชันที่มีอยู่ทั้งหมดช่วยให้คุณสร้างกราฟได้ด้วยตนเอง คำอธิบาย. สมมติว่าคุณซื้อการสมัครสมาชิกจำนวนมากจากผู้ให้บริการข้อมูลที่เป็นไปได้ทั้งหมด (ปกติเรียกว่า "ตัวเสริม") เมื่อคุณต้องการสร้างกราฟ คุณ "มือ" จะออกคำสั่งให้สร้างจากองค์ประกอบการเชื่อมต่อที่ต้องการ จากนั้นเลือกองค์ประกอบที่จำเป็นจากองค์ประกอบที่ปรากฏ และออกคำสั่งให้ทำการเชื่อมต่อให้เสร็จสิ้น เป็นต้น ในกรณีนี้ ความรับผิดชอบในการสร้างกราฟได้ดีเพียงใดนั้นขึ้นอยู่กับบุคคลนั้นเอง
เราทำการสร้างกราฟโดยอัตโนมัติ เหล่านั้น. หากคุณต้องการสร้างกราฟ การเชื่อมต่อจากองค์ประกอบแรกจะถูกสร้างขึ้นโดยอัตโนมัติ จากนั้นจากองค์ประกอบที่ตามมาทั้งหมดด้วย ผู้เชี่ยวชาญจะระบุเฉพาะความลึกที่ต้องสร้างกราฟเท่านั้น กระบวนการเติมกราฟให้สมบูรณ์โดยอัตโนมัตินั้นง่ายดาย แต่ผู้จำหน่ายรายอื่นไม่ได้นำไปใช้เพราะมันให้ผลลัพธ์ที่ไม่เกี่ยวข้องจำนวนมาก และเรายังต้องคำนึงถึงข้อเสียเปรียบนี้ด้วย (ดูด้านล่าง)
ผลลัพธ์ที่ไม่เกี่ยวข้องจำนวนมากเป็นปัญหากับกราฟองค์ประกอบเครือข่ายทั้งหมด คำอธิบาย. ตัวอย่างเช่น “โดเมนที่ไม่ดี” (มีส่วนร่วมในการโจมตี) มีความเชื่อมโยงกับเซิร์ฟเวอร์ที่มีโดเมนอื่นอีก 10 โดเมนที่เกี่ยวข้องกันในช่วง 500 ปีที่ผ่านมา เมื่อเพิ่มหรือสร้างกราฟโดยอัตโนมัติด้วยตนเอง โดเมนทั้ง 500 โดเมนเหล่านี้ควรปรากฏบนกราฟด้วย แม้ว่าจะไม่เกี่ยวข้องกับการโจมตีก็ตาม หรือ ตัวอย่างเช่น คุณตรวจสอบตัวบ่งชี้ IP จากรายงานความปลอดภัยของผู้ขาย โดยปกติแล้ว รายงานดังกล่าวจะถูกเผยแพร่โดยมีความล่าช้าอย่างมาก และมักจะครอบคลุมระยะเวลาหนึ่งปีหรือมากกว่านั้น เป็นไปได้มากว่าเมื่อคุณอ่านรายงาน เซิร์ฟเวอร์ที่มีที่อยู่ IP นี้ได้ถูกเช่าให้กับบุคคลอื่นที่มีการเชื่อมต่ออื่นแล้ว และการสร้างกราฟจะทำให้คุณได้รับผลลัพธ์ที่ไม่เกี่ยวข้องอีกครั้ง
เราได้ฝึกอบรมระบบเพื่อระบุองค์ประกอบที่ไม่เกี่ยวข้องโดยใช้ตรรกะเดียวกับที่ผู้เชี่ยวชาญของเราดำเนินการด้วยตนเอง ตัวอย่างเช่น คุณกำลังตรวจสอบโดเมนที่ไม่ถูกต้อง example.com ซึ่งตอนนี้แก้ไขเป็น IP 11.11.11.11 และเมื่อเดือนที่แล้ว - เป็น IP 22.22.22.22 นอกจากโดเมน example.com แล้ว IP 11.11.11.11 ยังเชื่อมโยงกับ example.ru และ IP 22.22.22.22 ยังเชื่อมโยงกับโดเมนอื่นอีก 25 โดเมน ระบบก็เหมือนกับบุคคล เข้าใจว่า 11.11.11.11 น่าจะเป็นเซิร์ฟเวอร์เฉพาะ และเนื่องจากโดเมน example.ru สะกดคล้ายกับ example.com จึงมีความเป็นไปได้สูงที่ทั้งสองจะเชื่อมต่อกันและควรอยู่ใน กราฟ; แต่ IP 22.22.22.22 เป็นของโฮสติ้งที่ใช้ร่วมกัน ดังนั้นโดเมนทั้งหมดจึงไม่จำเป็นต้องรวมอยู่ในกราฟ เว้นแต่จะมีการเชื่อมต่ออื่นที่แสดงว่าหนึ่งใน 25 โดเมนเหล่านี้จำเป็นต้องรวมไว้ด้วย (เช่น example.net) . ก่อนที่ระบบจะเข้าใจว่าการเชื่อมต่อจำเป็นต้องขาดและองค์ประกอบบางอย่างไม่ถูกย้ายไปยังกราฟ ระบบจะพิจารณาคุณสมบัติหลายประการขององค์ประกอบและคลัสเตอร์ที่องค์ประกอบเหล่านี้ถูกรวมเข้าด้วยกัน เช่นเดียวกับความแข็งแกร่งของการเชื่อมต่อในปัจจุบัน ตัวอย่างเช่น หากเรามีคลัสเตอร์ขนาดเล็ก (50 องค์ประกอบ) บนกราฟ ซึ่งรวมถึงโดเมนที่ไม่ถูกต้อง และอีกคลัสเตอร์ขนาดใหญ่ (5 องค์ประกอบ) และทั้งสองคลัสเตอร์เชื่อมต่อกันด้วยการเชื่อมต่อ (เส้น) ที่มีความแรง (น้ำหนัก) ต่ำมาก จากนั้นการเชื่อมต่อดังกล่าวจะใช้งานไม่ได้และองค์ประกอบจากคลัสเตอร์ขนาดใหญ่จะถูกลบออก แต่หากมีการเชื่อมต่อระหว่างกระจุกขนาดเล็กและขนาดใหญ่จำนวนมาก และความแข็งแกร่งของกระจุกดาวค่อยๆ เพิ่มขึ้น ในกรณีนี้ การเชื่อมต่อจะไม่ขาด และองค์ประกอบที่จำเป็นจากทั้งสองกระจุกจะยังคงอยู่บนกราฟ
ช่วงเวลาการเป็นเจ้าของเซิร์ฟเวอร์และโดเมนจะไม่ถูกนำมาพิจารณา คำอธิบาย. “โดเมนที่ไม่ถูกต้อง” จะหมดอายุไม่ช้าก็เร็วและมีการซื้ออีกครั้งเพื่อวัตถุประสงค์ที่เป็นอันตรายหรือถูกกฎหมาย แม้แต่เซิร์ฟเวอร์โฮสติ้งกันกระสุนก็ยังถูกเช่าให้กับแฮกเกอร์หลายราย ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องทราบและคำนึงถึงช่วงเวลาที่โดเมน/เซิร์ฟเวอร์เฉพาะอยู่ภายใต้การควบคุมของเจ้าของคนเดียว เรามักจะพบกับสถานการณ์ที่เซิร์ฟเวอร์ที่มี IP 11.11.11.11 ถูกใช้เป็น C&C สำหรับบอทการธนาคาร และเมื่อ 2 เดือนที่แล้วมันถูกควบคุมโดย Ransomware หากเราสร้างการเชื่อมต่อโดยไม่คำนึงถึงระยะเวลาการเป็นเจ้าของ ดูเหมือนว่าเจ้าของบอตเน็ตธนาคารและแรนซัมแวร์จะมีความเชื่อมโยงกัน แม้ว่าในความเป็นจริงแล้วจะไม่มีเลยก็ตาม ในการทำงานของเรา ข้อผิดพลาดดังกล่าวถือเป็นสิ่งสำคัญ
เราสอนระบบให้กำหนดช่วงระยะเวลาการเป็นเจ้าของ สำหรับโดเมน การดำเนินการนี้ค่อนข้างง่าย เนื่องจาก whois มักจะมีวันที่เริ่มต้นและวันหมดอายุของการลงทะเบียน และเมื่อมีประวัติการเปลี่ยนแปลง whois ครบถ้วน จึงสามารถกำหนดช่วงเวลาได้อย่างง่ายดาย เมื่อการจดทะเบียนโดเมนยังไม่หมดอายุ แต่การจัดการโดเมนถูกโอนไปยังเจ้าของรายอื่นแล้ว จะสามารถติดตามโดเมนนั้นได้เช่นกัน ไม่มีปัญหาดังกล่าวสำหรับใบรับรอง SSL เนื่องจากออกให้ครั้งเดียวและไม่ได้ต่ออายุหรือโอนย้าย แต่ด้วยใบรับรองที่ลงนามด้วยตนเอง คุณไม่สามารถเชื่อถือวันที่ที่ระบุในช่วงเวลาที่มีผลบังคับใช้ของใบรับรองได้ เนื่องจากคุณสามารถสร้างใบรับรอง SSL ได้ในวันนี้ และระบุวันที่เริ่มต้นของใบรับรองตั้งแต่ปี 2010 สิ่งที่ยากที่สุดคือการกำหนดระยะเวลาการเป็นเจ้าของเซิร์ฟเวอร์ เนื่องจากมีเพียงผู้ให้บริการโฮสติ้งเท่านั้นที่มีวันที่และระยะเวลาเช่า เพื่อกำหนดระยะเวลาการเป็นเจ้าของเซิร์ฟเวอร์ เราเริ่มใช้ผลลัพธ์ของการสแกนพอร์ตและสร้างลายนิ้วมือของบริการที่ทำงานอยู่บนพอร์ต การใช้ข้อมูลนี้ทำให้เราสามารถบอกได้อย่างแม่นยำเมื่อเจ้าของเซิร์ฟเวอร์เปลี่ยนไป
การเชื่อมต่อน้อย คำอธิบาย. ทุกวันนี้ การได้รับรายชื่อโดเมนฟรีที่มี whois มีที่อยู่อีเมลเฉพาะ หรือค้นหาโดเมนทั้งหมดที่เกี่ยวข้องกับที่อยู่ IP ที่เฉพาะเจาะจงนั้นไม่ใช่ปัญหาด้วยซ้ำ แต่เมื่อพูดถึงแฮกเกอร์ที่พยายามอย่างเต็มที่เพื่อติดตามได้ยาก เราต้องการเคล็ดลับเพิ่มเติมเพื่อค้นหาคุณสมบัติใหม่และสร้างการเชื่อมต่อใหม่
เราใช้เวลามากมายในการค้นคว้าวิธีที่เราสามารถดึงข้อมูลที่ไม่สามารถเข้าถึงได้ด้วยวิธีทั่วไป เราไม่สามารถอธิบายวิธีการทำงานได้ในที่นี้ด้วยเหตุผลที่ชัดเจน แต่ในบางกรณี แฮกเกอร์เมื่อจดทะเบียนโดเมนหรือเช่าและตั้งค่าเซิร์ฟเวอร์ ทำผิดพลาดซึ่งทำให้พวกเขาสามารถค้นหาที่อยู่อีเมล นามแฝงของแฮ็กเกอร์ และที่อยู่แบ็กเอนด์ได้ ยิ่งคุณดึงการเชื่อมต่อมากเท่าไร คุณก็จะสามารถสร้างกราฟที่แม่นยำยิ่งขึ้นเท่านั้น
กราฟของเราทำงานอย่างไร
หากต้องการเริ่มใช้กราฟเครือข่าย คุณต้องป้อนโดเมน, ที่อยู่ IP, อีเมล หรือลายนิ้วมือใบรับรอง SSL ลงในแถบค้นหา มีเงื่อนไขสามประการที่นักวิเคราะห์สามารถควบคุมได้: เวลา ความลึกของขั้นตอน และการหักล้าง
เวลา
เวลา – วันที่หรือช่วงเวลาที่องค์ประกอบที่ค้นหาถูกใช้เพื่อวัตถุประสงค์ที่เป็นอันตราย หากคุณไม่ได้ระบุพารามิเตอร์นี้ ระบบจะกำหนดช่วงเวลาการเป็นเจ้าของล่าสุดสำหรับรีซอร์สนี้ ตัวอย่างเช่นในวันที่ 11 กรกฎาคม Eset เผยแพร่ เกี่ยวกับวิธีที่ Buhtrap ใช้ช่องโหว่ 0 วันเพื่อการจารกรรมทางไซเบอร์ มี 6 ตัวชี้วัดท้ายรายงาน หนึ่งในนั้นคือ Secure-telemetry[.]net ได้รับการลงทะเบียนอีกครั้งเมื่อวันที่ 16 กรกฎาคม ดังนั้น หากคุณสร้างกราฟหลังวันที่ 16 กรกฎาคม คุณจะได้รับผลลัพธ์ที่ไม่เกี่ยวข้อง แต่ถ้าคุณระบุว่ามีการใช้โดเมนนี้ก่อนวันที่นี้ กราฟจะรวมโดเมนใหม่ 126 โดเมน ที่อยู่ IP 69 รายการที่ไม่อยู่ในรายงานของ Eset:
- ukrfreshnews[.]คอม
- ยูเนียน-ค้นหา [.] com
- ข้อมูล Vesti-World[.]
- runewsmeta[.]com
- foxnewsmeta[.]biz
- ข้อมูล sobesednik-meta[.]
- rian-ua[.]สุทธิ
- เป็นต้น
นอกจากตัวบ่งชี้เครือข่ายแล้ว เรายังพบการเชื่อมต่อกับไฟล์ที่เป็นอันตรายที่มีการเชื่อมต่อกับโครงสร้างพื้นฐานนี้ทันที และแท็กที่บอกเราว่ามีการใช้ Meterpreter และ AZORult
สิ่งที่ยอดเยี่ยมคือคุณจะได้รับผลลัพธ์ภายในหนึ่งวินาที และคุณไม่จำเป็นต้องใช้เวลาหลายวันในการวิเคราะห์ข้อมูลอีกต่อไป แน่นอนว่าบางครั้งแนวทางนี้ช่วยลดเวลาในการสืบสวนลงอย่างมาก ซึ่งมักเป็นเรื่องสำคัญ
จำนวนขั้นตอนหรือความลึกของการเรียกซ้ำที่จะสร้างกราฟ
ตามค่าเริ่มต้น ความลึกคือ 3 ซึ่งหมายความว่าองค์ประกอบที่เกี่ยวข้องโดยตรงทั้งหมดจะพบได้จากองค์ประกอบที่ต้องการ จากนั้นการเชื่อมต่อใหม่จะถูกสร้างขึ้นจากองค์ประกอบใหม่แต่ละองค์ประกอบไปยังองค์ประกอบอื่นๆ และองค์ประกอบใหม่จะถูกสร้างขึ้นจากองค์ประกอบใหม่จากองค์ประกอบสุดท้าย ขั้นตอน
ลองยกตัวอย่างที่ไม่เกี่ยวข้องกับ APT และการหาประโยชน์ 0 วัน เมื่อเร็ว ๆ นี้ มีการอธิบายกรณีการฉ้อโกงที่เกี่ยวข้องกับสกุลเงินดิจิทัลที่น่าสนใจบนHabré รายงานกล่าวถึงโดเมน themcx[.]co ซึ่งนักหลอกลวงใช้เพื่อโฮสต์เว็บไซต์ที่อ้างว่าเป็น Miner Coin Exchange และการค้นหาทางโทรศัพท์[.]xyz เพื่อดึงดูดปริมาณการเข้าชม
จากคำอธิบายชัดเจนว่าโครงการนี้ต้องการโครงสร้างพื้นฐานที่ค่อนข้างใหญ่เพื่อดึงดูดการรับส่งข้อมูลไปยังทรัพยากรที่ฉ้อโกง เราตัดสินใจที่จะดูโครงสร้างพื้นฐานนี้โดยการสร้างกราฟใน 4 ขั้นตอน ผลลัพธ์คือกราฟที่มี 230 โดเมนและ 39 ที่อยู่ IP ต่อไป เราแบ่งโดเมนออกเป็น 2 ประเภท ได้แก่ โดเมนที่คล้ายกับบริการสำหรับการทำงานกับสกุลเงินดิจิทัล และโดเมนที่มีจุดประสงค์เพื่อเพิ่มปริมาณการรับส่งข้อมูลผ่านบริการยืนยันทางโทรศัพท์:
ที่เกี่ยวข้องกับสกุลเงินดิจิทัล
ที่เกี่ยวข้องกับบริการเจาะโทรศัพท์
คนเก็บเหรียญ[.]ซีซี
บันทึกผู้โทร[.]ไซต์
mcxwallet[.]co
บันทึกโทรศัพท์[.]พื้นที่
btcnoise[.]คอม
ค้นพบโฟน [.] xyz
นาฬิกา cryptominer[.]
หมายเลขเปิดเผยข้อมูล [.]
Очистка
ตามค่าเริ่มต้น ตัวเลือก "การล้างกราฟ" จะถูกเปิดใช้งาน และองค์ประกอบที่ไม่เกี่ยวข้องทั้งหมดจะถูกลบออกจากกราฟ อย่างไรก็ตาม มันถูกใช้ในตัวอย่างก่อนหน้านี้ทั้งหมด ฉันมองเห็นคำถามทั่วไป: เราจะแน่ใจได้อย่างไรว่าสิ่งที่สำคัญจะไม่ถูกลบ? ฉันจะตอบ: สำหรับนักวิเคราะห์ที่ชอบสร้างกราฟด้วยมือ สามารถปิดใช้งานการทำความสะอาดอัตโนมัติ และสามารถเลือกจำนวนขั้นตอนได้ = 1 ต่อไป นักวิเคราะห์จะสามารถสร้างกราฟให้สมบูรณ์จากองค์ประกอบที่เขาต้องการและลบองค์ประกอบออกจาก กราฟที่ไม่เกี่ยวข้องกับงาน
บนกราฟแล้ว ประวัติการเปลี่ยนแปลงใน whois, DNS รวมถึงพอร์ตที่เปิดและบริการที่ทำงานอยู่นั้นมีให้สำหรับนักวิเคราะห์
ฟิชชิ่งทางการเงิน
เราตรวจสอบกิจกรรมของกลุ่ม APT กลุ่มหนึ่งซึ่งทำการโจมตีแบบฟิชชิ่งกับลูกค้าของธนาคารต่างๆ ในภูมิภาคต่างๆ เป็นเวลาหลายปี คุณลักษณะเฉพาะของกลุ่มนี้คือการลงทะเบียนโดเมนที่คล้ายคลึงกับชื่อธนาคารจริง ๆ และไซต์ฟิชชิ่งส่วนใหญ่มีการออกแบบที่เหมือนกัน ต่างกันเพียงชื่อธนาคารและโลโก้เท่านั้น
ในกรณีนี้ การวิเคราะห์กราฟอัตโนมัติช่วยเราได้มาก โดยใช้หนึ่งในโดเมนของพวกเขา - lloydsbnk-uk[.]com ภายในไม่กี่วินาที เราก็สร้างกราฟที่มีความลึก 3 ขั้นตอน ซึ่งระบุโดเมนที่เป็นอันตรายมากกว่า 250 โดเมนที่กลุ่มนี้ใช้งานมาตั้งแต่ปี 2015 และยังคงใช้ต่อไป . ธนาคารได้ซื้อโดเมนเหล่านี้บางส่วนไปแล้ว แต่บันทึกในอดีตแสดงให้เห็นว่าโดเมนเหล่านี้เคยลงทะเบียนกับผู้โจมตีมาก่อน
เพื่อความชัดเจน รูปภาพจะแสดงกราฟที่มีความลึก 2 ขั้นตอน
เป็นที่น่าสังเกตว่าในปี 2019 ผู้โจมตีได้เปลี่ยนกลยุทธ์ไปบ้าง และเริ่มลงทะเบียนไม่เพียงแต่โดเมนของธนาคารสำหรับการโฮสต์ฟิชชิ่งบนเว็บ แต่ยังรวมถึงโดเมนของบริษัทที่ปรึกษาต่างๆ สำหรับการส่งอีเมลฟิชชิ่งด้วย ตัวอย่างเช่น โดเมน Swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com
แก๊งโคบอลต์
ในเดือนธันวาคม 2018 กลุ่มแฮกเกอร์โคบอลต์ ซึ่งเชี่ยวชาญด้านการโจมตีธนาคารแบบกำหนดเป้าหมาย ได้ส่งแคมเปญส่งไปรษณีย์ในนามของธนาคารแห่งชาติคาซัคสถาน
จดหมายดังกล่าวมีลิงก์ไปยัง hXXps://nationalbank.bz/Doc/Prikaz.doc เอกสารที่ดาวน์โหลดมีมาโครที่เปิดใช้งาน Powershell ซึ่งจะพยายามโหลดและเรียกใช้ไฟล์จาก hXXp://wateroilclub.com/file/dwm.exe ใน %Temp%einmrmdmy.exe ไฟล์ %Temp%einmrmdmy.exe หรือที่รู้จักในชื่อ dwm.exe คือ CobInt stager ที่กำหนดค่าให้โต้ตอบกับเซิร์ฟเวอร์ hXXp://admvmsopp.com/rilruietguadvtoefmuy
ลองนึกภาพว่าไม่สามารถรับอีเมลฟิชชิ่งเหล่านี้และทำการวิเคราะห์ไฟล์ที่เป็นอันตรายได้อย่างสมบูรณ์ กราฟสำหรับโดเมนที่เป็นอันตราย nationalbank[.]bz จะแสดงการเชื่อมต่อกับโดเมนที่เป็นอันตรายอื่นๆ ทันที ระบุแหล่งที่มาของกลุ่ม และแสดงว่าไฟล์ใดบ้างที่ใช้ในการโจมตี
ลองใช้ที่อยู่ IP 46.173.219[.]152 จากกราฟนี้และสร้างกราฟจากนั้นในการส่งครั้งเดียวแล้วปิดการทำความสะอาด มีโดเมน 40 โดเมนที่เกี่ยวข้องกัน เช่น bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
เมื่อพิจารณาจากชื่อโดเมน ดูเหมือนว่าพวกเขาจะถูกใช้ในรูปแบบการฉ้อโกง แต่อัลกอริธึมการทำความสะอาดตระหนักว่าพวกเขาไม่ได้เกี่ยวข้องกับการโจมตีครั้งนี้และไม่ได้วางไว้บนกราฟ ซึ่งทำให้กระบวนการวิเคราะห์และการระบุแหล่งที่มาง่ายขึ้นอย่างมาก
หากคุณสร้างกราฟขึ้นมาใหม่โดยใช้ nationalbank[.]bz แต่ปิดการใช้งานอัลกอริธึมการล้างกราฟ จะมีองค์ประกอบมากกว่า 500 องค์ประกอบ ซึ่งส่วนใหญ่ไม่เกี่ยวข้องกับกลุ่มโคบอลต์หรือการโจมตีขององค์ประกอบเหล่านั้น ตัวอย่างของกราฟดังกล่าวมีลักษณะดังนี้:
ข้อสรุป
หลังจากหลายปีของการปรับแต่ง การทดสอบในการสืบสวนจริง การวิจัยภัยคุกคาม และการตามล่าหาผู้โจมตี เราไม่เพียงแต่สร้างเครื่องมือที่มีเอกลักษณ์เฉพาะตัวเท่านั้น แต่ยังเปลี่ยนทัศนคติของผู้เชี่ยวชาญภายในบริษัทที่มีต่อเครื่องมือนั้นด้วย ในตอนแรก ผู้เชี่ยวชาญด้านเทคนิคต้องการควบคุมกระบวนการสร้างกราฟอย่างสมบูรณ์ การโน้มน้าวพวกเขาว่าการสร้างกราฟอัตโนมัติสามารถทำได้ดีกว่าผู้ที่มีประสบการณ์หลายปีนั้นเป็นเรื่องยากมาก ทุกอย่างตัดสินใจตามเวลาและการตรวจสอบผลลัพธ์ของกราฟที่เกิดขึ้น "ด้วยตนเอง" หลายครั้ง ตอนนี้ผู้เชี่ยวชาญของเราไม่เพียงแต่ไว้วางใจระบบ แต่ยังใช้ผลลัพธ์ที่ได้รับในการทำงานประจำวันอีกด้วย เทคโนโลยีนี้ทำงานภายในแต่ละระบบของเรา และช่วยให้เราระบุภัยคุกคามทุกประเภทได้ดียิ่งขึ้น อินเทอร์เฟซสำหรับการวิเคราะห์กราฟด้วยตนเองมีอยู่ในผลิตภัณฑ์ Group-IB ทั้งหมด และขยายขีดความสามารถในการตามล่าหาอาชญากรรมทางไซเบอร์อย่างมีนัยสำคัญ สิ่งนี้ได้รับการยืนยันโดยการวิจารณ์ของนักวิเคราะห์จากลูกค้าของเรา และในทางกลับกัน เราก็ยังคงปรับปรุงกราฟด้วยข้อมูลและทำงานกับอัลกอริธึมใหม่โดยใช้ปัญญาประดิษฐ์เพื่อสร้างกราฟเครือข่ายที่แม่นยำที่สุด
ที่มา: will.com