Iniimbestigahan ang mga kaso na may kaugnayan sa phishing, botnets, mapanlinlang na transaksyon at kriminal na grupo ng hacker, ang mga eksperto sa Group-IB ay gumagamit ng graph analysis sa loob ng maraming taon upang matukoy ang iba't ibang uri ng koneksyon. Ang iba't ibang mga kaso ay may sariling mga set ng data, kanilang sariling mga algorithm para sa pagtukoy ng mga koneksyon, at mga interface na iniakma para sa mga partikular na gawain. Ang lahat ng mga tool na ito ay panloob na binuo ng Group-IB at magagamit lamang sa aming mga empleyado.
Pagsusuri ng graph ng imprastraktura ng network (graph ng network) ang naging unang panloob na tool na binuo namin sa lahat ng pampublikong produkto ng kumpanya. Bago gumawa ng aming network graph, sinuri namin ang maraming katulad na mga pag-unlad sa merkado at wala kaming nakitang isang produkto na nakakatugon sa aming sariling mga pangangailangan. Sa artikulong ito ay pag-uusapan natin kung paano namin ginawa ang network graph, kung paano namin ito ginagamit at kung anong mga paghihirap ang aming naranasan.
Dmitry Volkov, CTO Group-IB at pinuno ng cyber intelligence
Ano ang magagawa ng Group-IB network graph?
Mga pagsisiyasat
Mula nang itatag ang Group-IB noong 2003 hanggang sa kasalukuyan, ang pagtukoy, pag-deano at pagdadala ng mga cybercriminal sa hustisya ay isang pangunahing priyoridad sa aming trabaho. Walang isang pagsisiyasat sa cyberattack ang kumpleto nang hindi sinusuri ang imprastraktura ng network ng mga umaatake. Sa simula pa lang ng aming paglalakbay, medyo maingat na "manu-manong gawain" ang paghahanap ng mga relasyon na makakatulong sa pagtukoy ng mga kriminal: impormasyon tungkol sa mga domain name, IP address, digital fingerprint ng mga server, atbp.
Sinusubukan ng karamihan sa mga umaatake na kumilos nang hindi nagpapakilala hangga't maaari sa network. Gayunpaman, tulad ng lahat ng tao, nagkakamali sila. Ang pangunahing layunin ng naturang pagsusuri ay upang mahanap ang "puti" o "kulay-abo" na mga makasaysayang proyekto ng mga umaatake na may mga intersection sa malisyosong imprastraktura na ginagamit sa kasalukuyang insidente na aming iniimbestigahan. Kung posible na makita ang "mga puting proyekto", kung gayon ang paghahanap ng umaatake, bilang panuntunan, ay nagiging isang maliit na gawain. Sa kaso ng mga "grey", ang paghahanap ay tumatagal ng mas maraming oras at pagsisikap, dahil sinusubukan ng kanilang mga may-ari na i-anonymize o itago ang data ng pagpaparehistro, ngunit ang mga pagkakataon ay nananatiling mataas. Bilang isang patakaran, sa simula ng kanilang mga kriminal na aktibidad, ang mga umaatake ay hindi gaanong binibigyang pansin ang kanilang sariling kaligtasan at gumawa ng higit pang mga pagkakamali, kaya't mas malalim ang maaari nating sumisid sa kuwento, mas mataas ang pagkakataon ng isang matagumpay na pagsisiyasat. Kaya naman ang network graph na may magandang kasaysayan ay isang napakahalagang elemento ng naturang pagsisiyasat. Sa madaling salita, mas malalim na makasaysayang data ang isang kumpanya, mas maganda ang graph nito. Sabihin natin na ang isang 5-taong kasaysayan ay makakatulong sa paglutas, sa kondisyon, 1-2 sa 10 mga krimen, at ang isang 15-taong kasaysayan ay nagbibigay ng pagkakataong malutas ang lahat ng sampu.
Pagtuklas ng Phishing at Panloloko
Sa tuwing makakatanggap kami ng kahina-hinalang link sa isang phishing, mapanlinlang o pirated na mapagkukunan, awtomatiko kaming bumubuo ng isang graph ng mga nauugnay na mapagkukunan ng network at sinusuri ang lahat ng nahanap na host para sa katulad na nilalaman. Binibigyang-daan ka nitong mahanap ang parehong mga lumang site ng phishing na aktibo ngunit hindi kilala, pati na rin ang mga ganap na bago na handa para sa mga pag-atake sa hinaharap, ngunit hindi pa ginagamit. Isang elementarya na halimbawa na madalas mangyari: nakakita kami ng phishing site sa isang server na may 5 site lang. Sa pamamagitan ng pagsuri sa bawat isa sa kanila, nakita namin ang nilalaman ng phishing sa iba pang mga site, na nangangahulugang maaari naming i-block ang 5 sa halip na 1.
Maghanap ng mga backend
Ang prosesong ito ay kinakailangan upang matukoy kung saan talaga naninirahan ang malisyosong server.
99% ng mga tindahan ng card, mga forum ng hacker, maraming mapagkukunan ng phishing at iba pang mga nakakahamak na server ay nakatago sa likod ng kanilang sariling mga proxy server at mga proxy ng mga lehitimong serbisyo, halimbawa, Cloudflare. Ang kaalaman tungkol sa tunay na backend ay napakahalaga para sa mga pagsisiyasat: ang hosting provider kung saan maaaring makuha ang server ay malalaman, at nagiging posible na bumuo ng mga koneksyon sa iba pang mga nakakahamak na proyekto.
Halimbawa, mayroon kang phishing site para sa pagkolekta ng data ng bank card na nagre-resolve sa IP address na 11.11.11.11, at isang cardshop address na nagre-resolve sa IP address na 22.22.22.22. Sa panahon ng pagsusuri, maaaring lumabas na pareho ang phishing site at ang cardshop ay may isang karaniwang backend IP address, halimbawa, 33.33.33.33. Nagbibigay-daan sa amin ang kaalamang ito na bumuo ng koneksyon sa pagitan ng mga pag-atake ng phishing at isang tindahan ng card kung saan maaaring ibenta ang data ng bank card.
Kaugnayan ng kaganapan
Kapag mayroon kang dalawang magkaibang trigger (sabihin natin sa isang IDS) na may magkaibang malware at magkaibang mga server upang kontrolin ang pag-atake, ituturing mo ang mga ito bilang dalawang independiyenteng kaganapan. Ngunit kung mayroong isang mahusay na koneksyon sa pagitan ng mga nakakahamak na imprastraktura, kung gayon nagiging malinaw na ang mga ito ay hindi magkakaibang mga pag-atake, ngunit mga yugto ng isa, mas kumplikadong multi-stage na pag-atake. At kung ang isa sa mga kaganapan ay naiugnay na sa anumang pangkat ng mga umaatake, ang pangalawa ay maaari ding maiugnay sa parehong grupo. Siyempre, ang proseso ng pagpapatungkol ay mas kumplikado, kaya ituring ito bilang isang simpleng halimbawa.
Pagpapayaman ng tagapagpahiwatig
Hindi namin ito papansinin, dahil ito ang pinakakaraniwang senaryo para sa paggamit ng mga graph sa cybersecurity: nagbibigay ka ng isang indicator bilang input, at bilang isang output ay nakakakuha ka ng hanay ng mga nauugnay na indicator.
Pagkilala sa mga pattern
Ang pagtukoy ng mga pattern ay mahalaga para sa epektibong pangangaso. Binibigyang-daan ka ng mga graph hindi lamang na makahanap ng mga kaugnay na elemento, kundi pati na rin upang matukoy ang mga karaniwang katangian na katangian ng isang partikular na grupo ng mga hacker. Ang kaalaman sa gayong mga natatanging katangian ay nagbibigay-daan sa iyong makilala ang imprastraktura ng umaatake kahit na sa yugto ng paghahanda at walang ebidensyang nagkukumpirma sa pag-atake, gaya ng mga phishing na email o malware.
Bakit tayo gumawa ng sarili nating network graph?
Muli, tumingin kami sa mga solusyon mula sa iba't ibang mga vendor bago kami dumating sa konklusyon na kailangan naming bumuo ng aming sariling tool na maaaring gumawa ng isang bagay na hindi magagawa ng umiiral na produkto. Tumagal ng ilang taon upang malikha ito, kung saan ganap naming binago ito nang maraming beses. Ngunit, sa kabila ng mahabang panahon ng pag-unlad, hindi pa kami nakakahanap ng isang solong analogue na makakatugon sa aming mga kinakailangan. Gamit ang aming sariling produkto, sa kalaunan ay nalutas namin ang halos lahat ng mga problemang natuklasan namin sa mga kasalukuyang graph ng network. Sa ibaba ay isasaalang-alang namin ang mga problemang ito nang detalyado:
problema
desisyon
Kakulangan ng provider na may iba't ibang koleksyon ng data: mga domain, passive DNS, passive SSL, DNS record, bukas na port, pagpapatakbo ng mga serbisyo sa mga port, mga file na nakikipag-ugnayan sa mga domain name at IP address. Paliwanag. Karaniwan, nagbibigay ang mga provider ng magkakahiwalay na uri ng data, at para makuha ang buong larawan, kailangan mong bumili ng mga subscription mula sa lahat. Gayunpaman, hindi laging posible na makuha ang lahat ng data: ang ilang passive SSL provider ay nagbibigay lamang ng data tungkol sa mga certificate na inisyu ng mga pinagkakatiwalaang CA, at ang kanilang saklaw ng mga self-signed na certificate ay napakahirap. Ang iba ay nagbibigay din ng data gamit ang mga self-signed na certificate, ngunit kinokolekta lamang ito mula sa mga karaniwang port.
Kami mismo ang nagkolekta ng lahat ng mga koleksyon sa itaas. Halimbawa, upang mangolekta ng data tungkol sa mga SSL certificate, isinulat namin ang sarili naming serbisyo na nangongolekta ng mga ito mula sa mga pinagkakatiwalaang CA at sa pamamagitan ng pag-scan sa buong espasyo ng IPv4. Ang mga sertipiko ay nakolekta hindi lamang mula sa IP, kundi pati na rin mula sa lahat ng mga domain at subdomain mula sa aming database: kung mayroon kang domain na example.com at ang subdomain nito at lahat sila ay nalutas sa IP 1.1.1.1, at kapag sinubukan mong kumuha ng SSL certificate mula sa port 443 sa isang IP, domain at subdomain nito, maaari kang makakuha ng tatlong magkakaibang resulta. Upang mangolekta ng data sa mga bukas na port at tumatakbong mga serbisyo, kinailangan naming lumikha ng aming sariling distributed scanning system, dahil ang ibang mga serbisyo ay kadalasang mayroong mga IP address ng kanilang mga server sa pag-scan sa "mga itim na listahan." Ang aming mga server sa pag-scan ay napupunta rin sa mga blacklist, ngunit ang resulta ng pag-detect ng mga serbisyong kailangan namin ay mas mataas kaysa sa mga nag-scan lang ng maraming port hangga't maaari at nagbebenta ng access sa data na ito.
Kakulangan ng access sa buong database ng mga makasaysayang talaan. Paliwanag. Ang bawat normal na supplier ay may magandang naipon na kasaysayan, ngunit sa mga natural na dahilan, kami, bilang isang kliyente, ay hindi makakuha ng access sa lahat ng makasaysayang data. Yung. Maaari mong makuha ang buong kasaysayan para sa isang tala, halimbawa, sa pamamagitan ng domain o IP address, ngunit hindi mo makikita ang kasaysayan ng lahat - at kung wala ito hindi mo makikita ang buong larawan.
Upang mangolekta ng maraming makasaysayang rekord sa mga domain hangga't maaari, bumili kami ng iba't ibang database, nag-parse ng maraming bukas na mapagkukunan na may ganitong kasaysayan (mabuti na marami sa kanila), at nakipag-usap sa mga registrar ng domain name. Ang lahat ng mga update sa aming sariling mga koleksyon ay siyempre pinananatiling may isang buong kasaysayan ng rebisyon.
Ang lahat ng umiiral na solusyon ay nagbibigay-daan sa iyo na bumuo ng isang graph nang manu-mano. Paliwanag. Sabihin nating bumili ka ng maraming subscription mula sa lahat ng posibleng provider ng data (karaniwang tinatawag na "enrichers"). Kapag kailangan mong bumuo ng isang graph, binibigyan mo ng "mga kamay" ang utos na bumuo mula sa nais na elemento ng koneksyon, pagkatapos ay piliin ang mga kinakailangan mula sa mga elemento na lilitaw at bigyan ang utos upang makumpleto ang mga koneksyon mula sa kanila, at iba pa. Sa kasong ito, ang responsibilidad para sa kung gaano kahusay ang pagbuo ng graph ay ganap na nakasalalay sa tao.
Gumawa kami ng awtomatikong pagbuo ng mga graph. Yung. kung kailangan mong bumuo ng isang graph, pagkatapos ay ang mga koneksyon mula sa unang elemento ay awtomatikong binuo, pagkatapos ay mula sa lahat ng mga kasunod, masyadong. Ipinapahiwatig lamang ng espesyalista ang lalim kung saan kailangang itayo ang graph. Ang proseso ng awtomatikong pagkumpleto ng mga graph ay simple, ngunit ang ibang mga vendor ay hindi nagpapatupad nito dahil ito ay gumagawa ng isang malaking bilang ng mga hindi nauugnay na mga resulta, at kailangan din naming isaalang-alang ang kakulangan na ito (tingnan sa ibaba).
Maraming hindi nauugnay na resulta ang problema sa lahat ng mga graph ng elemento ng network. Paliwanag. Halimbawa, ang isang "masamang domain" (lumahok sa isang pag-atake) ay nauugnay sa isang server na may 10 iba pang mga domain na nauugnay dito sa nakalipas na 500 taon. Kapag manu-manong nagdaragdag o awtomatikong gumagawa ng graph, dapat ding lumabas sa graph ang lahat ng 500 domain na ito, bagama't hindi nauugnay ang mga ito sa pag-atake. O, halimbawa, suriin mo ang tagapagpahiwatig ng IP mula sa ulat ng seguridad ng vendor. Karaniwan, ang mga naturang ulat ay inilalabas nang may malaking pagkaantala at kadalasang tumatagal ng isang taon o higit pa. Malamang, sa oras na basahin mo ang ulat, ang server na may ganitong IP address ay nirerentahan na sa ibang mga tao na may iba pang mga koneksyon, at ang pagbuo ng isang graph ay muling magreresulta sa iyong pagkuha ng mga hindi nauugnay na resulta.
Sinanay namin ang system na tukuyin ang mga hindi nauugnay na elemento gamit ang parehong lohika tulad ng ginawa ng aming mga eksperto nang manu-mano. Halimbawa, sinusuri mo ang isang masamang domain example.com, na ngayon ay lumulutas sa IP 11.11.11.11, at isang buwan na ang nakalipas - sa IP 22.22.22.22. Bilang karagdagan sa domain na example.com, ang IP 11.11.11.11 ay nauugnay din sa example.ru, at ang IP 22.22.22.22 ay nauugnay sa 25 libong iba pang mga domain. Ang system, tulad ng isang tao, ay nauunawaan na ang 11.11.11.11 ay malamang na isang dedikadong server, at dahil ang example.ru domain ay katulad ng spelling sa example.com, kung gayon, na may mataas na posibilidad, sila ay konektado at dapat ay nasa graph; ngunit ang IP 22.22.22.22 ay kabilang sa shared hosting, kaya lahat ng domain nito ay hindi kailangang isama sa graph maliban na lang kung may iba pang koneksyon na nagpapakita na ang isa sa 25 thousand na domain na ito ay kailangan ding isama (halimbawa, example.net) . Bago maunawaan ng system na ang mga koneksyon ay kailangang masira at ang ilang mga elemento ay hindi inilipat sa graph, ito ay isinasaalang-alang ang maraming mga katangian ng mga elemento at mga kumpol kung saan ang mga elementong ito ay pinagsama, pati na rin ang lakas ng kasalukuyang mga koneksyon. Halimbawa, kung mayroon tayong maliit na cluster (50 elemento) sa graph, na may kasamang masamang domain, at isa pang malaking cluster (5 libong elemento) at ang parehong mga cluster ay konektado sa pamamagitan ng isang koneksyon (linya) na may napakababang lakas (timbang) , pagkatapos ay masisira ang naturang koneksyon at aalisin ang mga elemento mula sa malaking kumpol. Ngunit kung mayroong maraming mga koneksyon sa pagitan ng maliliit at malalaking kumpol at ang kanilang lakas ay unti-unting tumataas, kung gayon sa kasong ito ang koneksyon ay hindi masisira at ang mga kinakailangang elemento mula sa parehong mga kumpol ay mananatili sa graph.
Ang pagitan ng pagmamay-ari ng server at domain ay hindi isinasaalang-alang. Paliwanag. Ang "masamang domain" ay mag-e-expire sa lalong madaling panahon at mabibiling muli para sa mga nakakahamak o lehitimong layunin. Kahit na ang mga bulletproof hosting server ay nirerentahan sa iba't ibang mga hacker, kaya mahalagang malaman at isaalang-alang ang agwat kapag ang isang partikular na domain/server ay nasa ilalim ng kontrol ng isang may-ari. Madalas kaming makatagpo ng isang sitwasyon kung saan ang isang server na may IP 11.11.11.11 ay ginagamit na ngayon bilang isang C&C para sa isang banking bot, at 2 buwan na ang nakalipas ito ay kinokontrol ng Ransomware. Kung bumuo kami ng isang koneksyon nang hindi isinasaalang-alang ang mga agwat ng pagmamay-ari, ito ay magmumukhang may koneksyon sa pagitan ng mga may-ari ng banking botnet at ng ransomware, bagama't sa katunayan ay wala. Sa aming trabaho, ang ganitong pagkakamali ay kritikal.
Tinuruan namin ang system na matukoy ang mga pagitan ng pagmamay-ari. Para sa mga domain ito ay medyo simple, dahil ang whois ay kadalasang naglalaman ng mga petsa ng pagsisimula at pag-expire ng pagpaparehistro at, kapag mayroong kumpletong kasaysayan ng mga pagbabago sa whois, madaling matukoy ang mga pagitan. Kapag ang pagpaparehistro ng isang domain ay hindi pa nag-expire, ngunit ang pamamahala nito ay nailipat sa ibang mga may-ari, maaari din itong masubaybayan. Walang ganoong problema para sa mga SSL certificate, dahil ang mga ito ay inisyu nang isang beses at hindi na-renew o inilipat. Ngunit sa mga self-signed certificate, hindi mo mapagkakatiwalaan ang mga petsang tinukoy sa validity period ng certificate, dahil maaari kang bumuo ng SSL certificate ngayon, at tukuyin ang petsa ng pagsisimula ng certificate mula 2010. Ang pinakamahirap na bagay ay upang matukoy ang mga agwat ng pagmamay-ari para sa mga server, dahil ang mga provider lamang ng pagho-host ang may mga petsa at panahon ng pagrenta. Upang matukoy ang panahon ng pagmamay-ari ng server, sinimulan naming gamitin ang mga resulta ng pag-scan sa port at paglikha ng mga fingerprint ng mga tumatakbong serbisyo sa mga port. Gamit ang impormasyong ito, medyo tumpak nating masasabi kung kailan nagbago ang may-ari ng server.
Ilang koneksyon. Paliwanag. Sa ngayon, hindi na problema ang makakuha ng libreng listahan ng mga domain na ang whois ay naglalaman ng isang partikular na email address, o upang malaman ang lahat ng mga domain na nauugnay sa isang partikular na IP address. Ngunit pagdating sa mga hacker na ginagawa ang kanilang makakaya upang mahirap subaybayan, kailangan namin ng mga karagdagang trick upang makahanap ng mga bagong pag-aari at bumuo ng mga bagong koneksyon.
Gumugol kami ng maraming oras sa pagsasaliksik kung paano namin makukuha ang data na hindi available sa isang kumbensyonal na paraan. Hindi namin mailarawan dito kung paano ito gumagana para sa mga malinaw na dahilan, ngunit sa ilalim ng ilang partikular na sitwasyon, ang mga hacker, kapag nagrerehistro ng mga domain o nagrenta at nagse-set up ng mga server, ay nagkakamali na nagbibigay-daan sa kanila na malaman ang mga email address, alyas ng hacker, at backend address. Kung mas maraming koneksyon ang iyong kinukuha, mas tumpak na mga graph ang maaari mong gawin.
Paano gumagana ang aming graph
Upang simulan ang paggamit ng network graph, kailangan mong ilagay ang domain, IP address, email, o SSL certificate fingerprint sa search bar. May tatlong kundisyon na makokontrol ng analyst: oras, lalim ng hakbang, at paglilinis.
oras
Oras β petsa o agwat kung kailan ginamit ang hinanap na elemento para sa malisyosong layunin. Kung hindi mo tinukoy ang parameter na ito, ang system mismo ang tutukoy sa huling pagitan ng pagmamay-ari para sa mapagkukunang ito. Halimbawa, noong Hulyo 11, inilathala ni Eset tungkol sa kung paano ginagamit ng Buhtrap ang 0-araw na pagsasamantala para sa cyber espionage. Mayroong 6 na indicator sa dulo ng ulat. Ang isa sa kanila, secure-telemetry[.]net, ay muling nairehistro noong Hulyo 16. Samakatuwid, kung gagawa ka ng isang graph pagkatapos ng Hulyo 16, makakakuha ka ng mga hindi nauugnay na resulta. Ngunit kung ipahiwatig mo na ang domain na ito ay ginamit bago ang petsang ito, ang graph ay may kasamang 126 na bagong domain, 69 na IP address na hindi nakalista sa ulat ng Eset:
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-world[.]impormasyon
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]impormasyon
- rian-ua[.]net
- at iba pa
Bilang karagdagan sa mga tagapagpahiwatig ng network, agad kaming nakahanap ng mga koneksyon sa mga nakakahamak na file na may mga koneksyon sa imprastraktura na ito at mga tag na nagsasabi sa amin na ginamit ang Meterpreter at AZORult.
Ang magandang bagay ay makuha mo ang resultang ito sa loob ng isang segundo at hindi mo na kailangang gumugol ng mga araw sa pagsusuri sa data. Siyempre, ang pamamaraang ito kung minsan ay makabuluhang binabawasan ang oras para sa mga pagsisiyasat, na kadalasang kritikal.
Ang bilang ng mga hakbang o lalim ng recursion kung saan gagawin ang graph
Bilang default, ang lalim ay 3. Nangangahulugan ito na ang lahat ng direktang nauugnay na elemento ay makikita mula sa gustong elemento, pagkatapos ay bubuo ang mga bagong koneksyon mula sa bawat bagong elemento patungo sa iba pang elemento, at gagawa ng mga bagong elemento mula sa mga bagong elemento mula sa huling hakbang.
Kumuha tayo ng isang halimbawa na hindi nauugnay sa APT at 0-araw na pagsasamantala. Kamakailan, isang kawili-wiling kaso ng pandaraya na nauugnay sa mga cryptocurrencies ay inilarawan sa HabrΓ©. Binanggit ng ulat ang domain na themcx[.]co, na ginagamit ng mga scammer upang mag-host ng website na naglalayong maging Miner Coin Exchange at phone-lookup[.]xyz upang makaakit ng trapiko.
Malinaw mula sa paglalarawan na ang pamamaraan ay nangangailangan ng isang medyo malaking imprastraktura upang maakit ang trapiko sa mga mapanlinlang na mapagkukunan. Nagpasya kaming tingnan ang imprastraktura na ito sa pamamagitan ng pagbuo ng graph sa 4 na hakbang. Ang output ay isang graph na may 230 domain at 39 IP address. Susunod, hinahati namin ang mga domain sa 2 kategorya: yaong mga katulad ng mga serbisyo para sa pagtatrabaho sa mga cryptocurrencies at yaong nilalayong humimok ng trapiko sa pamamagitan ng mga serbisyo sa pag-verify ng telepono:
May kaugnayan sa cryptocurrency
Nauugnay sa mga serbisyo ng pagsuntok sa telepono
coinkeeper[.]cc
caller-record[.]site.
mcxwallet[.]co
phone-records[.]space
btcnoise[.]com
fone-uncover[.]xyz
cryptominer[.]manood
number-uncover[.]info
ΠΡΠΈΡΡΠΊΠ°
Bilang default, ang opsyon na "Graph Cleanup" ay pinagana at ang lahat ng hindi nauugnay na elemento ay aalisin sa graph. Sa pamamagitan ng paraan, ito ay ginamit sa lahat ng nakaraang mga halimbawa. Nakikita ko ang isang natural na tanong: paano natin matitiyak na hindi matatanggal ang isang mahalagang bagay? Sasagutin ko: para sa mga analyst na gustong gumawa ng mga graph sa pamamagitan ng kamay, ang awtomatikong paglilinis ay maaaring hindi paganahin at ang bilang ng mga hakbang ay maaaring mapili = 1. Susunod, ang analyst ay magagawang kumpletuhin ang graph mula sa mga elemento na kailangan niya at alisin ang mga elemento mula sa ang graph na walang kaugnayan sa gawain.
Nasa graph na, ang kasaysayan ng mga pagbabago sa whois, DNS, pati na rin ang mga bukas na port at serbisyong tumatakbo sa mga ito ay magiging available sa analyst.
Pinansyal na phishing
Inimbestigahan namin ang mga aktibidad ng isang grupo ng APT, na sa loob ng ilang taon ay nagsagawa ng mga pag-atake ng phishing laban sa mga kliyente ng iba't ibang bangko sa iba't ibang rehiyon. Ang isang katangian ng pangkat na ito ay ang pagpaparehistro ng mga domain na halos kapareho sa mga pangalan ng mga tunay na bangko, at karamihan sa mga phishing site ay may parehong disenyo, ang pagkakaiba lamang ay nasa mga pangalan ng mga bangko at kanilang mga logo.
Sa kasong ito, malaki ang naitulong sa amin ng automated graph analysis. Gamit ang isa sa kanilang mga domain - lloydsbnk-uk[.]com, sa loob ng ilang segundo ay bumuo kami ng isang graph na may lalim na 3 hakbang, na natukoy ang higit sa 250 nakakahamak na domain na ginamit ng pangkat na ito mula noong 2015 at patuloy na ginagamit . Ang ilan sa mga domain na ito ay nabili na ng mga bangko, ngunit ipinapakita ng mga makasaysayang talaan na dati silang nakarehistro sa mga umaatake.
Para sa kalinawan, ang figure ay nagpapakita ng isang graph na may lalim na 2 hakbang.
Kapansin-pansin na noong 2019, medyo binago ng mga umaatake ang kanilang mga taktika at nagsimulang magrehistro hindi lamang sa mga domain ng mga bangko para sa pagho-host ng web phishing, kundi pati na rin sa mga domain ng iba't ibang kumpanya sa pagkonsulta para sa pagpapadala ng mga email sa phishing. Halimbawa, ang mga domain na swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Cobalt gang
Noong Disyembre 2018, ang pangkat ng hacker na Cobalt, na dalubhasa sa mga naka-target na pag-atake sa mga bangko, ay nagpadala ng isang kampanya sa pag-mail sa ngalan ng National Bank of Kazakhstan.
Ang mga liham ay naglalaman ng mga link sa hXXps://nationalbank.bz/Doc/Prikaz.doc. Ang na-download na dokumento ay naglalaman ng isang macro na naglunsad ng Powershell, na susubukang i-load at i-execute ang file mula sa hXXp://wateroilclub.com/file/dwm.exe sa %Temp%einmrmdmy.exe. Ang file na %Temp%einmrmdmy.exe aka dwm.exe ay isang CobInt stager na na-configure upang makipag-ugnayan sa server na hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Isipin na hindi mo matatanggap ang mga phishing na email na ito at magsagawa ng buong pagsusuri sa mga nakakahamak na file. Ang graph para sa malisyosong domain na nationalbank[.]bz ay agad na nagpapakita ng mga koneksyon sa iba pang mga nakakahamak na domain, ina-attribute ito sa isang pangkat at nagpapakita kung aling mga file ang ginamit sa pag-atake.
Kunin natin ang IP address na 46.173.219[.]152 mula sa graph na ito at bumuo ng graph mula dito sa isang pass at patayin ang paglilinis. Mayroong 40 domain na nauugnay dito, halimbawa, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Sa paghusga sa mga pangalan ng domain, tila ginagamit ang mga ito sa mga mapanlinlang na pamamaraan, ngunit napagtanto ng algorithm ng paglilinis na hindi sila nauugnay sa pag-atake na ito at hindi sila inilagay sa graph, na lubos na nagpapadali sa proseso ng pagsusuri at pagpapatungkol.
Kung muli mong bubuuin ang graph gamit ang nationalbank[.]bz, ngunit hindi pinapagana ang graph cleaning algorithm, maglalaman ito ng higit sa 500 elemento, karamihan sa mga ito ay walang kinalaman sa pangkat ng Cobalt o sa kanilang mga pag-atake. Ang isang halimbawa ng kung ano ang hitsura ng isang graph ay ibinigay sa ibaba:
Konklusyon
Pagkatapos ng ilang taon ng fine tuning, pagsubok sa mga totoong pagsisiyasat, pananaliksik sa pagbabanta at pangangaso para sa mga umaatake, nagawa naming hindi lamang gumawa ng kakaibang tool, kundi pati na rin baguhin ang saloobin ng mga eksperto sa loob ng kumpanya patungo dito. Sa una, nais ng mga teknikal na eksperto ang kumpletong kontrol sa proseso ng pagbuo ng graph. Ang pagkumbinsi sa kanila na ang awtomatikong paggawa ng graph ay magagawa ito nang mas mahusay kaysa sa isang taong may maraming taon ng karanasan ay napakahirap. Ang lahat ay napagpasyahan ng oras at maraming "manual" na pagsusuri ng mga resulta ng ginawa ng graph. Ngayon ang aming mga eksperto ay hindi lamang nagtitiwala sa system, ngunit ginagamit din ang mga resulta na nakukuha nito sa kanilang pang-araw-araw na gawain. Gumagana ang teknolohiyang ito sa loob ng bawat isa sa aming mga system at nagbibigay-daan sa amin na mas mahusay na matukoy ang mga banta sa anumang uri. Ang interface para sa manu-manong pagsusuri ng graph ay binuo sa lahat ng mga produkto ng Group-IB at makabuluhang pinalawak ang mga kakayahan para sa cybercrime hunting. Kinumpirma ito ng mga review ng analyst mula sa aming mga kliyente. At kami naman, ay patuloy na pinapayaman ang graph gamit ang data at gumagawa ng mga bagong algorithm gamit ang artificial intelligence upang lumikha ng pinakatumpak na network graph.
Pinagmulan: www.habr.com