Kimlik avı, botnet'ler, dolandırıcılık işlemleri ve suçlu hacker grupları ile ilgili vakaları araştıran Group-IB uzmanları, çeşitli bağlantı türlerini tanımlamak için uzun yıllardır grafik analizini kullanıyor. Farklı vakaların kendi veri kümeleri, bağlantıları tanımlamak için kendi algoritmaları ve belirli görevler için uyarlanmış arayüzleri vardır. Tüm bu araçlar Group-IB tarafından dahili olarak geliştirildi ve yalnızca çalışanlarımızın kullanımına sunuldu.

Ağ altyapısının grafik analizi (ağ grafiği) şirketin tüm halka açık ürünlerine yerleştirdiğimiz ilk dahili araç oldu. Ağ grafiğimizi oluşturmadan önce piyasadaki benzer pek çok gelişmeyi analiz ettik ve kendi ihtiyaçlarımızı karşılayan tek bir ürün bulamadık. Bu yazımızda ağ grafiğini nasıl oluşturduğumuzdan, nasıl kullandığımızdan ve ne gibi zorluklarla karşılaştığımızdan bahsedeceğiz.

Dmitry Volkov, CTO Group-IB ve siber istihbarat başkanı

Grup-IB ağ grafiği ne yapabilir?

soruşturma

Group-IB'nin 2003 yılındaki kuruluşundan bu yana, siber suçluları tespit etmek, açığa çıkarmak ve adalete teslim etmek çalışmalarımızın en önemli önceliği olmuştur. Saldırganların ağ altyapısı analiz edilmeden tek bir siber saldırı soruşturması tamamlanmadı. Yolculuğumuzun en başında, suçluların tespit edilmesine yardımcı olabilecek ilişkileri aramak oldukça zahmetli bir "manuel çalışma"ydı: alan adları, IP adresleri, sunucuların dijital parmak izleri vb. hakkında bilgiler.

Saldırganların çoğu ağda mümkün olduğu kadar anonim hareket etmeye çalışır. Ancak her insan gibi onlar da hata yaparlar. Böyle bir analizin temel amacı, araştırdığımız mevcut olayda kullanılan kötü amaçlı altyapı ile kesişen saldırganların “beyaz” veya “gri” tarihi projelerini bulmaktır. "Beyaz projeleri" tespit etmek mümkünse, saldırganı bulmak kural olarak önemsiz bir görev haline gelir. "Gri" olanlar söz konusu olduğunda, sahipleri kayıt verilerini anonimleştirmeye veya gizlemeye çalıştığından arama daha fazla zaman ve çaba gerektirir, ancak şans oldukça yüksektir. Kural olarak, saldırganlar suç faaliyetlerinin başlangıcında kendi güvenliklerine daha az dikkat ederler ve daha fazla hata yaparlar, dolayısıyla hikayeyi ne kadar derinlemesine inceleyebilirsek başarılı bir soruşturma şansı da o kadar yüksek olur. Bu nedenle iyi bir geçmişe sahip bir ağ grafiği, böyle bir araştırmanın son derece önemli bir unsurudur. Basitçe söylemek gerekirse, bir şirketin sahip olduğu geçmiş veriler ne kadar derinse grafiği de o kadar iyi olur. Diyelim ki 5 yıllık bir geçmiş, şartlı olarak 1 suçtan 2-10'sini çözmeye yardımcı olabilir ve 15 yıllık bir geçmiş, on suçun tamamını çözme şansı veriyor.

Kimlik Avı ve Dolandırıcılık Tespiti

Kimlik avı, hileli veya korsan bir kaynağa yönelik şüpheli bir bağlantı aldığımızda, ilgili ağ kaynaklarının bir grafiğini otomatik olarak oluştururuz ve bulunan tüm ana bilgisayarları benzer içerik açısından kontrol ederiz. Bu, hem aktif olan ancak bilinmeyen eski kimlik avı sitelerini hem de gelecekteki saldırılara hazırlanan ancak henüz kullanılmayan tamamen yeni siteleri bulmanızı sağlar. Oldukça sık karşılaşılan basit bir örnek: Yalnızca 5 sitenin bulunduğu bir sunucuda bir kimlik avı sitesi bulduk. Her birini kontrol ederek diğer sitelerdeki phishing içeriğini buluyoruz, bu da 5 yerine 1'i engelleyebileceğimiz anlamına geliyor.

Arka uçları arayın

Bu işlem, kötü amaçlı sunucunun gerçekte nerede bulunduğunu belirlemek için gereklidir.
Kart mağazalarının, bilgisayar korsanı forumlarının, birçok kimlik avı kaynağının ve diğer kötü amaçlı sunucuların %99'u, hem kendi proxy sunucularının hem de Cloudflare gibi meşru hizmetlerin proxy'lerinin arkasında gizlidir. Gerçek arka uç hakkında bilgi sahibi olmak, araştırmalar için çok önemlidir: Sunucunun ele geçirilebileceği barındırma sağlayıcısı bilinir hale gelir ve diğer kötü amaçlı projelerle bağlantı kurmak mümkün hale gelir.

Örneğin, banka kartı verilerini toplamak için 11.11.11.11 IP adresine çözümlenen bir kimlik avı siteniz ve 22.22.22.22 IP adresine çözümlenen bir kart mağazası adresiniz var. Analiz sırasında, hem kimlik avı sitesinin hem de kart mağazasının ortak bir arka uç IP adresine sahip olduğu ortaya çıkabilir; örneğin, 33.33.33.33. Bu bilgi, kimlik avı saldırıları ile banka kartı verilerinin satılabileceği bir kart mağazası arasında bağlantı kurmamıza olanak tanır.

Olay korelasyonu

Saldırıyı kontrol etmek için farklı kötü amaçlı yazılımlara ve farklı sunuculara sahip iki farklı tetikleyiciniz (örneğin bir IDS'de) olduğunda, bunları iki bağımsız olay olarak ele alacaksınız. Ancak kötü amaçlı altyapılar arasında iyi bir bağlantı varsa, bunların farklı saldırılar değil, daha karmaşık, çok aşamalı bir saldırının aşamaları olduğu açıkça ortaya çıkıyor. Ve eğer olaylardan biri zaten herhangi bir saldırgan grubuna atfedilmişse, ikincisi de aynı gruba atfedilebilir. Elbette ilişkilendirme süreci çok daha karmaşıktır; dolayısıyla bunu basit bir örnek olarak ele alalım.

Gösterge zenginleştirme

Siber güvenlikte grafiklerin kullanımına ilişkin en yaygın senaryo bu olduğundan buna pek dikkat etmeyeceğiz: girdi olarak bir gösterge verirsiniz ve çıktı olarak bir dizi ilgili gösterge alırsınız.

Kalıpları tanımlama

Etkili avlanma için kalıpların belirlenmesi önemlidir. Grafikler yalnızca ilgili öğeleri bulmanızı sağlamakla kalmaz, aynı zamanda belirli bir bilgisayar korsanı grubunun karakteristik ortak özelliklerini tanımlamanıza da olanak tanır. Bu tür benzersiz özellikleri bilmek, saldırganın altyapısını hazırlık aşamasında bile ve kimlik avı e-postaları veya kötü amaçlı yazılım gibi saldırıyı doğrulayan kanıtlar olmadan tanımanıza olanak tanır.

Neden kendi ağ grafiğimizi oluşturduk?

Mevcut hiçbir ürünün yapamayacağı bir şeyi yapabilecek kendi aracımızı geliştirmemiz gerektiği sonucuna varmadan önce yine farklı satıcıların çözümlerine baktık. Bunu yaratmak birkaç yıl sürdü ve bu süre zarfında onu birkaç kez tamamen değiştirdik. Ancak uzun geliştirme sürecine rağmen henüz ihtiyaçlarımızı karşılayacak tek bir analog bulamadık. Kendi ürünümüzü kullanarak, mevcut ağ grafiklerinde keşfettiğimiz sorunların neredeyse tamamını sonunda çözmeyi başardık. Aşağıda bu sorunları ayrıntılı olarak ele alacağız:

Sorun
karar

Farklı veri koleksiyonlarına sahip bir sağlayıcının olmaması: alanlar, pasif DNS, pasif SSL, DNS kayıtları, açık bağlantı noktaları, bağlantı noktalarında çalışan hizmetler, alan adları ve IP adresleriyle etkileşime giren dosyalar. Açıklama. Genellikle sağlayıcılar ayrı veri türleri sağlar ve resmin tamamını görmek için herkesten abonelik satın almanız gerekir. Yine de tüm verileri elde etmek her zaman mümkün olmuyor: Bazı pasif SSL sağlayıcıları yalnızca güvenilir CA'lar tarafından verilen sertifikalar hakkında veri sağlıyor ve kendinden imzalı sertifikaların kapsamı son derece zayıf. Diğerleri de verileri kendinden imzalı sertifikalar kullanarak sağlar, ancak bunları yalnızca standart bağlantı noktalarından toplar.
Yukarıdaki koleksiyonların tümünü kendimiz topladık. Örneğin, SSL sertifikaları hakkında veri toplamak için, bunları hem güvenilir CA'lardan hem de tüm IPv4 alanını tarayarak toplayan kendi hizmetimizi yazdık. Sertifikalar yalnızca IP'den değil, veritabanımızdaki tüm alan adlarından ve alt alan adlarından da toplandı: example.com alan adına ve onun alt alan adına sahipseniz www.example.com ve hepsi IP 1.1.1.1'e çözümleniyor, ardından bir IP, alan adı ve alt alan adı üzerindeki 443 numaralı bağlantı noktasından SSL sertifikası almaya çalıştığınızda üç farklı sonuç elde edebilirsiniz. Açık bağlantı noktaları ve çalışan hizmetler hakkında veri toplamak için kendi dağıtılmış tarama sistemimizi oluşturmamız gerekiyordu çünkü diğer hizmetlerin tarama sunucularının IP adresleri genellikle "kara listelerde" bulunuyordu. Tarama sunucularımız da kara listeye giriyor, ancak ihtiyacımız olan hizmetleri tespit etmenin sonucu, mümkün olduğu kadar çok sayıda bağlantı noktasını tarayıp bu verilere erişimi satanlarınkinden daha yüksek.

Tarihsel kayıtların tüm veritabanına erişim eksikliği. Açıklama. Her normal tedarikçinin iyi bir birikmiş geçmişi vardır, ancak doğal nedenlerden dolayı müşteri olarak biz tüm geçmiş verilere erişemedik. Onlar. Örneğin etki alanı veya IP adresine göre tek bir kayıt için tüm geçmişi alabilirsiniz, ancak her şeyin geçmişini göremezsiniz ve bu olmadan resmin tamamını göremezsiniz.
Alan adları hakkında mümkün olduğunca çok sayıda tarihi kayıt toplamak için çeşitli veritabanları satın aldık, bu geçmişe sahip birçok açık kaynağı ayrıştırdık (bunların çoğunun olması iyi bir şey) ve alan adı kayıt şirketleriyle pazarlık yaptık. Kendi koleksiyonlarımızdaki tüm güncellemeler elbette tam bir revizyon geçmişiyle birlikte tutulur.

Mevcut tüm çözümler manuel olarak bir grafik oluşturmanıza olanak tanır. Açıklama. Diyelim ki olası tüm veri sağlayıcılardan (genellikle "zenginleştiriciler" olarak adlandırılır) çok sayıda abonelik satın aldınız. Bir grafik oluşturmanız gerektiğinde, "ellersiniz" istenen bağlantı öğesinden oluşturma komutunu verirsiniz, ardından görünen öğelerden gerekli olanları seçersiniz ve onlardan bağlantıları tamamlama komutunu verirsiniz ve bu şekilde devam eder. Bu durumda grafiğin ne kadar iyi oluşturulacağının sorumluluğu tamamen kişiye aittir.
Grafiklerin otomatik yapımını yaptık. Onlar. bir grafik oluşturmanız gerekiyorsa, ilk öğeden gelen bağlantılar otomatik olarak, ardından sonraki tüm öğelerden de otomatik olarak oluşturulur. Uzman yalnızca grafiğin oluşturulması gereken derinliği belirtir. Grafikleri otomatik olarak tamamlama süreci basittir, ancak çok sayıda alakasız sonuç ürettiği için diğer satıcılar bunu uygulamıyor ve biz de bu dezavantajı hesaba katmak zorunda kaldık (aşağıya bakın).

Pek çok ilgisiz sonuç, tüm ağ öğesi grafikleriyle ilgili bir sorundur. Açıklama. Örneğin, "kötü bir alan adı" (saldırıya katılan), son 10 yılda kendisiyle ilişkili 500 başka alan adı bulunan bir sunucuyla ilişkilidir. Manuel olarak bir grafik eklerken veya otomatik olarak bir grafik oluştururken, saldırıyla ilgili olmasa da bu 500 alanın tamamının da grafikte görünmesi gerekir. Veya örneğin satıcının güvenlik raporundan IP göstergesini kontrol edersiniz. Tipik olarak bu tür raporlar önemli bir gecikmeyle yayınlanır ve genellikle bir yıl veya daha uzun bir süreyi kapsar. Büyük olasılıkla, siz raporu okuduğunuz sırada bu IP adresine sahip sunucu zaten başka bağlantıları olan kişilere kiralanmıştır ve bir grafik oluşturmak yine alakasız sonuçlar almanıza neden olacaktır.
Sistemi, uzmanlarımızın manuel olarak yaptığı mantığın aynısını kullanarak alakasız öğeleri tespit edecek şekilde eğittik. Örneğin, şu anda IP 11.11.11.11'e ve bir ay önce IP 22.22.22.22'ye çözümlenen kötü bir alan adı example.com'u kontrol ediyorsunuz. example.com alan adına ek olarak, IP 11.11.11.11 de example.ru ile ilişkilidir ve IP 22.22.22.22, 25 bin diğer alanla ilişkilidir. Sistem, bir kişi gibi, 11.11.11.11'in büyük olasılıkla özel bir sunucu olduğunu anlar ve example.ru etki alanının yazım açısından example.com'a benzer olması nedeniyle, yüksek olasılıkla bağlanırlar ve üzerinde olmaları gerekir. grafik; ancak IP 22.22.22.22 paylaşımlı barındırmaya aittir, dolayısıyla bu 25 bin alan adından birinin de dahil edilmesi gerektiğini gösteren başka bağlantılar olmadığı sürece (örneğin example.net) tüm alan adlarının grafiğe dahil edilmesine gerek yoktur. . Sistem, bağlantıların kesilmesi gerektiğini ve bazı öğelerin grafiğe taşınmaması gerektiğini anlamadan önce, mevcut bağlantıların gücünün yanı sıra, bu öğelerin birleştirildiği öğelerin ve kümelerin birçok özelliğini hesaba katar. Örneğin, grafikte kötü bir etki alanı içeren küçük bir kümemiz (50 öğe) ve başka bir büyük kümemiz (5 bin öğe) varsa ve her iki küme de çok düşük mukavemetli (ağırlıklı) bir bağlantı (çizgi) ile birbirine bağlıysa , bu durumda böyle bir bağlantı kopacak ve büyük kümedeki öğeler kaldırılacaktır. Ancak küçük ve büyük kümeler arasında çok sayıda bağlantı varsa ve bunların gücü giderek artıyorsa bu durumda bağlantı kopmayacak ve her iki kümeden gerekli unsurlar grafikte kalacaktır.

Sunucu ve alan adı sahiplik aralığı dikkate alınmaz. Açıklama. "Kötü alan adlarının" er ya da geç geçerliliği sona erecek ve kötü niyetli ya da meşru amaçlarla yeniden satın alınacaktır. Kurşun geçirmez barındırma sunucuları bile farklı bilgisayar korsanlarına kiralanır; bu nedenle, belirli bir alan adının/sunucunun tek bir sahibinin kontrolü altında olduğu aralığı bilmek ve hesaba katmak kritik öneme sahiptir. IP 11.11.11.11'e sahip bir sunucunun artık bir bankacılık botu için C&C olarak kullanıldığı ve 2 ay önce Ransomware tarafından kontrol edildiği bir durumla sıklıkla karşılaşıyoruz. Sahiplik aralıklarını hesaba katmadan bir bağlantı kurarsak, bankacılık botnet'inin sahipleri ile fidye yazılımı arasında bir bağlantı varmış gibi görünecektir, ancak gerçekte böyle bir bağlantı yoktur. Bizim çalışmamızda böyle bir hata kritiktir.
Sisteme sahiplik aralıklarını belirlemeyi öğrettik. Alan adları için bu nispeten basittir, çünkü whois genellikle kayıt başlangıç ​​ve bitiş tarihlerini içerir ve whois değişikliklerinin tam bir geçmişi olduğunda aralıkları belirlemek kolaydır. Bir alan adının kaydının süresi dolmadığında ancak yönetimi başka sahiplere devredildiğinde de takip edilebilir. SSL sertifikaları bir kez verildiği ve yenilenmediği veya devredilmediği için böyle bir sorun yaşanmaz. Ancak kendinden imzalı sertifikalarda, sertifikanın geçerlilik süresinde belirtilen tarihlere güvenemezsiniz çünkü bugün bir SSL sertifikası oluşturabilir ve sertifikanın başlangıç ​​tarihini 2010 olarak belirleyebilirsiniz. En zor şey sunucuların sahiplik aralıklarını belirlemektir çünkü yalnızca barındırma sağlayıcılarının tarihleri ​​ve kiralama süreleri vardır. Sunucu sahiplik süresini belirlemek için port tarama ve portlarda çalışan hizmetlerin parmak izlerini oluşturma sonuçlarını kullanmaya başladık. Bu bilgiyi kullanarak sunucunun sahibinin ne zaman değiştiğini oldukça doğru bir şekilde söyleyebiliriz.

Birkaç bağlantı. Açıklama. Günümüzde whois'te belirli bir e-posta adresini içeren alan adlarının ücretsiz listesini almak veya belirli bir IP adresiyle ilişkili tüm alan adlarını bulmak sorun bile değil. Ancak takip edilmesi zor olmak için ellerinden geleni yapan bilgisayar korsanları söz konusu olduğunda, yeni mülkler bulmak ve yeni bağlantılar kurmak için ek numaralara ihtiyacımız var.
Geleneksel yöntemlerle elde edilemeyen verileri nasıl çıkarabileceğimizi araştırmaya çok zaman harcadık. Açık nedenlerden dolayı nasıl çalıştığını burada açıklayamayız, ancak belirli koşullar altında bilgisayar korsanları alan adlarını kaydederken veya sunucuları kiralarken ve kurarken e-posta adreslerini, bilgisayar korsanı takma adlarını ve arka uç adreslerini bulmalarına olanak tanıyan hatalar yaparlar. Ne kadar çok bağlantı çıkarırsanız o kadar doğru grafikler oluşturabilirsiniz.

Grafiğimiz nasıl çalışır?

Ağ grafiğini kullanmaya başlamak için arama çubuğuna alan adını, IP adresini, e-postayı veya SSL sertifikası parmak izini girmeniz gerekir. Analistin kontrol edebileceği üç koşul vardır: zaman, adım derinliği ve temizleme.

Zaman

Saat – aranan öğenin kötü amaçlarla kullanıldığı tarih veya aralık. Bu parametreyi belirtmezseniz bu kaynağın son sahiplik aralığını sistemin kendisi belirleyecektir. Örneğin 11 Temmuz'da Eset şunu yayınladı: rapor Buhtrap'in siber casusluk için 0 günlük istismarı nasıl kullandığı hakkında. Raporun sonunda 6 gösterge yer alıyor. Bunlardan biri olan güvenli telemetri[.]net, 16 Temmuz'da yeniden kaydedildi. Dolayısıyla 16 Temmuz'dan sonra grafik oluşturursanız alakasız sonuçlar alırsınız. Ancak bu alan adının bu tarihten önce kullanıldığını belirtirseniz grafikte Eset raporunda listelenmeyen 126 yeni alan adı, 69 IP adresi yer alıyor:

• ukrfreshnews[.]com
• unian-arama[.]com
• vesti-dünya[.]bilgisi
• runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]bilgi
• rian-ua[.]net
• vb

Ağ göstergelerinin yanı sıra, bu altyapıyla bağlantısı olan kötü amaçlı dosyalarla bağlantıları ve Meterpreter ve AZORult'un kullanıldığını bize bildiren etiketleri anında buluyoruz.

Harika olan şey, bu sonucu bir saniye içinde almanız ve artık verileri analiz etmek için günler harcamanıza gerek kalmamasıdır. Elbette bu yaklaşım bazen, çoğu zaman kritik olan soruşturma süresini önemli ölçüde azaltır.

Grafiğin oluşturulacağı adım sayısı veya yineleme derinliği

Varsayılan olarak derinlik 3'tür. Bu, istenen öğeden doğrudan ilgili tüm öğelerin bulunacağı, ardından her yeni öğeden diğer öğelere yeni bağlantılar kurulacağı ve son öğeden yeni öğelerden yeni öğeler oluşturulacağı anlamına gelir. adım.

APT ve 0 günlük istismarlarla ilgili olmayan bir örnek ele alalım. Geçtiğimiz günlerde Habré'de kripto paralarla ilgili ilginç bir dolandırıcılık vakası anlatıldı. Raporda, dolandırıcılar tarafından Miner Coin Borsası olduğu iddia edilen bir web sitesini barındırmak ve trafik çekmek için telefon araması[.]xyz yapmak için kullanılan themcx[.]co alan adından bahsediliyor.

Açıklamadan, planın trafiği sahte kaynaklara çekmek için oldukça büyük bir altyapı gerektirdiği açıkça görülüyor. Bu altyapıya 4 adımda bir grafik oluşturarak bakmaya karar verdik. Çıktı, 230 etki alanı ve 39 IP adresi içeren bir grafikti. Daha sonra alan adlarını 2 kategoriye ayırıyoruz: kripto para birimleriyle çalışmaya yönelik hizmetlere benzeyenler ve telefon doğrulama hizmetleri aracılığıyla trafiği artırmayı amaçlayanlar:

Kripto para birimiyle ilgili
Telefon delme hizmetleriyle ilişkili

madeni para tutucusu[.]cc
arayan kayıt[.] sitesi.

mcxwallet[.]co
telefon kayıtları[.]alanı

btcnoise[.]com
fone-ortaya çıkarmak[.]xyz

kripto madenci[.]izle
numara-ortaya çıkarma[.]bilgisi

Очистка

Varsayılan olarak “Grafik Temizleme” seçeneği etkindir ve alakasız tüm öğeler grafikten kaldırılacaktır. Bu arada, önceki tüm örneklerde kullanıldı. Doğal bir soru öngörüyorum: Önemli bir şeyin silinmediğinden nasıl emin olabiliriz? Cevap vereceğim: Elle grafik oluşturmayı seven analistler için otomatik temizleme devre dışı bırakılabilir ve adım sayısı = 1 seçilebilir. Daha sonra analist, grafiği ihtiyaç duyduğu öğelerden tamamlayabilecek ve öğeleri kaldırabilecektir. görevle ilgisi olmayan grafik.

Zaten grafikte, whois, DNS'deki değişikliklerin yanı sıra açık bağlantı noktaları ve bunlar üzerinde çalışan hizmetler de analistin kullanımına sunuluyor.

Finansal kimlik avı

Birkaç yıldır farklı bölgelerdeki çeşitli bankaların müşterilerine yönelik kimlik avı saldırıları gerçekleştiren bir APT grubunun faaliyetlerini araştırdık. Bu grubun karakteristik bir özelliği, gerçek banka adlarına çok benzeyen alan adlarının kaydedilmesiydi ve kimlik avı sitelerinin çoğu aynı tasarıma sahipti; tek fark, banka adlarında ve logolarındaydı.

Bu durumda otomatik grafik analizi bize çok yardımcı oldu. Alan adlarından biri olan lloydsbnk-uk[.]com'u alarak, birkaç saniye içinde bu grup tarafından 3'ten bu yana kullanılan ve kullanılmaya devam eden 250'den fazla kötü amaçlı alan adını belirleyen 2015 adım derinliğinde bir grafik oluşturduk. . Bu alan adlarından bazıları halihazırda bankalar tarafından satın alınmış durumda ancak tarihi kayıtlar, bunların daha önce saldırganlar tarafından kaydedildiğini gösteriyor.

Açıklık sağlamak için, şekilde 2 adım derinliğinde bir grafik gösterilmektedir.

Saldırganların 2019'da taktiklerini biraz değiştirip yalnızca web kimlik avı barındırmak için bankaların alan adlarını değil, aynı zamanda kimlik avı e-postaları göndermek için çeşitli danışmanlık şirketlerinin alan adlarını da kaydetmeye başlamaları dikkat çekicidir. Örneğin, Swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com alanları.

Kobalt çetesi

Aralık 2018'de bankalara yönelik hedefli saldırılar konusunda uzmanlaşmış hacker grubu Cobalt, Kazakistan Ulusal Bankası adına bir e-posta kampanyası gönderdi.

Mektuplar hXXps://nationalbank.bz/Doc/Prikaz.doc adresine bağlantılar içeriyordu. İndirilen belge, dosyayı %Temp%einmrmdmy.exe dosyasındaki hXXp://wateroilclub.com/file/dwm.exe adresinden yüklemeye ve yürütmeye çalışan Powershell'i başlatan bir makro içeriyordu. %Temp%einmrmdmy.exe, diğer adıyla dwm.exe dosyası, hXXp://admvmsopp.com/rilruietguadvtoefmuy sunucusuyla etkileşime girecek şekilde yapılandırılmış bir CobInt aşamalandırıcısıdır.

Bu kimlik avı e-postalarını alamadığınız ve kötü amaçlı dosyaların tam analizini gerçekleştiremediğinizi düşünün. Kötü amaçlı alan adı Nationalbank[.]bz'ye ait grafik, diğer kötü amaçlı alan adlarıyla olan bağlantıları anında gösterir, onu bir gruba bağlar ve saldırıda hangi dosyaların kullanıldığını gösterir.

Bu grafikten 46.173.219[.]152 IP adresini alıp tek geçişte buradan grafik oluşturup temizlemeyi kapatalım. Bununla ilişkili 40 alan vardır; örneğin bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
kriptoelips[.]com

Alan adlarına bakılırsa dolandırıcılık planlarında kullanıldığı görülüyor ancak temizleme algoritması bunların bu saldırıyla ilgili olmadığını fark etti ve grafiğe koymadı, bu da analiz ve ilişkilendirme sürecini büyük ölçüde basitleştirdi.

Grafiği, Nationalbank[.]bz kullanarak, ancak grafik temizleme algoritmasını devre dışı bırakarak yeniden oluşturursanız, o zaman 500'den fazla öğe içerecektir ve bunların çoğunun Kobalt grubu veya saldırılarıyla hiçbir ilgisi yoktur. Böyle bir grafiğin neye benzediğine dair bir örnek aşağıda verilmiştir:

Sonuç

Birkaç yıl süren ince ayarlamalar, gerçek araştırmalarda testler, tehdit araştırmaları ve saldırganları avlamanın ardından yalnızca benzersiz bir araç yaratmakla kalmayıp, aynı zamanda şirket içindeki uzmanların buna karşı tutumunu da değiştirmeyi başardık. Başlangıçta teknik uzmanlar grafik oluşturma süreci üzerinde tam kontrol sahibi olmak isterler. Otomatik grafik oluşturmanın bunu uzun yıllara dayanan deneyime sahip bir kişiden daha iyi yapabileceğine onları ikna etmek son derece zordu. Her şeye zamanla ve grafiğin ürettiği sonuçların birden fazla "manuel" kontrolüyle karar veriliyordu. Artık uzmanlarımız sisteme güvenmekle kalmıyor, elde ettiği sonuçları günlük çalışmalarında da kullanıyor. Bu teknoloji, sistemlerimizin her birinde çalışır ve her türlü tehdidi daha iyi tanımlamamıza olanak tanır. Manuel grafik analizine yönelik arayüz, tüm Group-IB ürünlerinde yerleşiktir ve siber suç avcılığının yeteneklerini önemli ölçüde genişletir. Bu, müşterilerimizden gelen analist incelemeleri ile doğrulanmaktadır. Biz de grafiği verilerle zenginleştirmeye ve en doğru ağ grafiğini oluşturmak için yapay zekayı kullanarak yeni algoritmalar üzerinde çalışmaya devam ediyoruz.

Kaynak: habr.com