فشنگ، بوٹنیٹس، دھوکہ دہی سے متعلق لین دین اور مجرمانہ ہیکر گروپس کی تحقیقات کرتے ہوئے، گروپ-آئی بی کے ماہرین کئی سالوں سے مختلف قسم کے رابطوں کی شناخت کے لیے گراف تجزیہ کا استعمال کر رہے ہیں۔ مختلف کیسز کے اپنے ڈیٹا سیٹ، کنکشن کی شناخت کے لیے اپنے الگورتھم، اور مخصوص کاموں کے لیے تیار کردہ انٹرفیس ہوتے ہیں۔ یہ تمام ٹولز اندرونی طور پر گروپ-آئی بی نے تیار کیے تھے اور یہ صرف ہمارے ملازمین کے لیے دستیاب تھے۔

نیٹ ورک انفراسٹرکچر کا گراف تجزیہ (نیٹ ورک گراف) پہلا اندرونی ٹول بن گیا جسے ہم نے کمپنی کی تمام عوامی مصنوعات میں بنایا۔ اپنا نیٹ ورک گراف بنانے سے پہلے، ہم نے مارکیٹ میں اسی طرح کی بہت سی پیشرفتوں کا تجزیہ کیا اور ہمیں ایک بھی ایسی مصنوعات نہیں ملی جو ہماری اپنی ضروریات کو پورا کرتی ہو۔ اس آرٹیکل میں ہم بات کریں گے کہ ہم نے نیٹ ورک گراف کیسے بنایا، ہم اسے کیسے استعمال کرتے ہیں اور ہمیں کن مشکلات کا سامنا کرنا پڑا۔

دمتری وولکوف، CTO گروپ-IB اور سائبر انٹیلی جنس کے سربراہ

گروپ-آئی بی نیٹ ورک گراف کیا کر سکتا ہے؟

تحقیقات

2003 میں گروپ-IB کے قیام سے لے کر آج تک، سائبر جرائم پیشہ افراد کی شناخت، ان کی مذمت اور انہیں انصاف کے کٹہرے میں لانا ہمارے کام کی اولین ترجیح رہی ہے۔ حملہ آوروں کے نیٹ ورک انفراسٹرکچر کا تجزیہ کیے بغیر سائبر حملے کی ایک بھی تفتیش مکمل نہیں ہوئی۔ ہمارے سفر کے بالکل آغاز میں، ایسے رشتوں کو تلاش کرنا ایک بہت محنتی "دستی کام" تھا جو مجرموں کی شناخت میں مدد کر سکتے ہیں: ڈومین کے ناموں، IP پتے، سرورز کے ڈیجیٹل فنگر پرنٹس وغیرہ کے بارے میں معلومات۔

زیادہ تر حملہ آور نیٹ ورک پر ممکنہ حد تک گمنام طور پر کام کرنے کی کوشش کرتے ہیں۔ تاہم، تمام لوگوں کی طرح، وہ غلطیاں کرتے ہیں. اس طرح کے تجزیے کا بنیادی مقصد حملہ آوروں کے "سفید" یا "سرمئی" تاریخی منصوبوں کو تلاش کرنا ہے جو موجودہ واقعے میں استعمال کیے گئے بدنیتی پر مبنی انفراسٹرکچر سے جڑے ہوئے ہیں جس کی ہم تحقیقات کر رہے ہیں۔ اگر "سفید منصوبوں" کا پتہ لگانا ممکن ہے، تو حملہ آور کو تلاش کرنا، ایک اصول کے طور پر، ایک معمولی کام بن جاتا ہے۔ "گرے" کے معاملے میں، تلاش میں زیادہ وقت اور محنت لگتی ہے، کیونکہ ان کے مالکان رجسٹریشن ڈیٹا کو گمنام یا چھپانے کی کوشش کرتے ہیں، لیکن امکانات کافی زیادہ رہتے ہیں۔ ایک اصول کے طور پر، اپنی مجرمانہ سرگرمیوں کے آغاز میں، حملہ آور اپنی حفاظت پر کم توجہ دیتے ہیں اور زیادہ غلطیاں کرتے ہیں، اس لیے ہم کہانی میں جتنا گہرائی میں جاسکتے ہیں، کامیاب تفتیش کے امکانات اتنے ہی زیادہ ہوتے ہیں۔ یہی وجہ ہے کہ اچھی تاریخ کے ساتھ نیٹ ورک گراف ایسی تحقیقات کا ایک انتہائی اہم عنصر ہے۔ آسان الفاظ میں، کسی کمپنی کے پاس جتنا گہرا تاریخی ڈیٹا ہوتا ہے، اس کا گراف اتنا ہی بہتر ہوتا ہے۔ آئیے کہتے ہیں کہ 5 سالہ تاریخ مشروط طور پر 1 میں سے 2-10 جرائم کو حل کرنے میں مدد کر سکتی ہے، اور 15 سالہ تاریخ تمام دس کو حل کرنے کا موقع فراہم کرتی ہے۔

فشنگ اور فراڈ کا پتہ لگانا

جب بھی ہمیں کسی فریب کاری، دھوکہ دہی یا پائریٹڈ وسیلہ کا کوئی مشتبہ لنک موصول ہوتا ہے، ہم خود بخود متعلقہ نیٹ ورک وسائل کا گراف بناتے ہیں اور ملتے جلتے مواد کے لیے تمام پائے جانے والے میزبانوں کو چیک کرتے ہیں۔ یہ آپ کو دونوں پرانی فشنگ سائٹس کو تلاش کرنے کی اجازت دیتا ہے جو فعال لیکن نامعلوم تھیں، ساتھ ہی ساتھ مکمل طور پر نئی سائٹس جو مستقبل کے حملوں کے لیے تیار ہیں، لیکن ابھی تک استعمال نہیں کی گئی ہیں۔ ایک ابتدائی مثال جو اکثر وقوع پذیر ہوتی ہے: ہمیں سرور پر صرف 5 سائٹس کے ساتھ ایک فشنگ سائٹ ملی۔ ان میں سے ہر ایک کو چیک کرنے سے، ہمیں دوسری سائٹوں پر فشنگ مواد ملتا ہے، جس کا مطلب ہے کہ ہم 5 کی بجائے 1 کو بلاک کر سکتے ہیں۔

بیک اینڈ تلاش کریں۔

یہ عمل اس بات کا تعین کرنے کے لیے ضروری ہے کہ بدنیتی پر مبنی سرور اصل میں کہاں رہتا ہے۔
99% کارڈ شاپس، ہیکر فورمز، بہت سے فشنگ وسائل اور دیگر نقصان دہ سرورز ان کے اپنے پراکسی سرورز اور جائز خدمات کی پراکسیز، مثال کے طور پر، Cloudflare دونوں کے پیچھے چھپے ہوئے ہیں۔ تحقیقات کے لیے حقیقی پس منظر کے بارے میں جاننا بہت ضروری ہے: ہوسٹنگ فراہم کنندہ جس سے سرور کو ضبط کیا جا سکتا ہے، معلوم ہو جاتا ہے، اور یہ ممکن ہو جاتا ہے کہ دوسرے بدنیتی پر مبنی منصوبوں کے ساتھ روابط استوار کیے جائیں۔

مثال کے طور پر، آپ کے پاس بینک کارڈ ڈیٹا اکٹھا کرنے کے لیے ایک فشنگ سائٹ ہے جو IP ایڈریس 11.11.11.11 پر حل کرتی ہے، اور ایک کارڈ شاپ ایڈریس ہے جو IP ایڈریس 22.22.22.22 کو حل کرتی ہے۔ تجزیہ کے دوران، یہ معلوم ہو سکتا ہے کہ فشنگ سائٹ اور کارڈ شاپ دونوں کا بیک اینڈ آئی پی ایڈریس مشترکہ ہے، مثال کے طور پر، 33.33.33.33۔ یہ علم ہمیں فشنگ حملوں اور ایک کارڈ شاپ کے درمیان رابطہ قائم کرنے کی اجازت دیتا ہے جہاں بینک کارڈ کا ڈیٹا فروخت کیا جا سکتا ہے۔

واقعہ کا ارتباط

جب آپ کے پاس حملے کو کنٹرول کرنے کے لیے مختلف میلویئر اور مختلف سرورز کے ساتھ دو مختلف محرکات (آئیے ایک IDS پر کہتے ہیں) ہوں، تو آپ ان کو دو آزاد واقعات کے طور پر دیکھیں گے۔ لیکن اگر بدنیتی پر مبنی بنیادی ڈھانچے کے درمیان ایک اچھا تعلق ہے، تو یہ واضح ہو جاتا ہے کہ یہ مختلف حملے نہیں ہیں، بلکہ ایک، زیادہ پیچیدہ ملٹی اسٹیج حملے کے مراحل ہیں۔ اور اگر ایک واقعہ پہلے ہی حملہ آوروں کے کسی گروہ سے منسوب ہو تو دوسرا واقعہ بھی اسی گروہ سے منسوب ہو سکتا ہے۔ بلاشبہ، انتساب کا عمل بہت زیادہ پیچیدہ ہے، لہذا اسے ایک سادہ مثال کے طور پر دیکھیں۔

اشارے کی افزودگی

ہم اس پر زیادہ توجہ نہیں دیں گے، کیونکہ سائبر سیکیورٹی میں گراف استعمال کرنے کا یہ سب سے عام منظر ہے: آپ ان پٹ کے طور پر ایک اشارے دیتے ہیں، اور آؤٹ پٹ کے طور پر آپ کو متعلقہ اشاریوں کی ایک صف ملتی ہے۔

پیٹرن کی شناخت

مؤثر شکار کے لیے نمونوں کی شناخت ضروری ہے۔ گراف آپ کو نہ صرف متعلقہ عناصر کو تلاش کرنے کی اجازت دیتا ہے، بلکہ عام خصوصیات کو بھی شناخت کرنے کی اجازت دیتا ہے جو ہیکرز کے ایک مخصوص گروپ کی خصوصیت ہیں۔ ایسی منفرد خصوصیات کا علم آپ کو تیاری کے مرحلے پر بھی حملہ آور کے بنیادی ڈھانچے کو پہچاننے کی اجازت دیتا ہے اور حملے کی تصدیق کے ثبوت کے بغیر، جیسے کہ فشنگ ای میلز یا مالویئر۔

ہم نے اپنا نیٹ ورک گراف کیوں بنایا؟

ایک بار پھر، ہم اس نتیجے پر پہنچنے سے پہلے کہ ہم نے مختلف دکانداروں کے حل کو دیکھا کہ ہمیں اپنا آلہ تیار کرنے کی ضرورت ہے جو کچھ ایسا کر سکے جو کوئی موجودہ پروڈکٹ نہیں کر سکتا۔ اسے بنانے میں کئی سال لگے، اس دوران ہم نے اسے کئی بار مکمل طور پر تبدیل کیا۔ لیکن، طویل ترقی کی مدت کے باوجود، ہمیں ابھی تک کوئی ایک بھی اینالاگ نہیں ملا جو ہماری ضروریات کو پورا کرتا۔ ہماری اپنی مصنوعات کا استعمال کرتے ہوئے، ہم آخرکار تقریباً تمام مسائل کو حل کرنے میں کامیاب ہو گئے جو ہم نے موجودہ نیٹ ورک گرافس میں دریافت کیے تھے۔ ذیل میں ہم ان مسائل پر تفصیل سے غور کریں گے۔

مسئلہ
حل

ڈیٹا کے مختلف مجموعوں کے ساتھ فراہم کنندہ کی کمی: ڈومینز، غیر فعال DNS، غیر فعال SSL، DNS ریکارڈز، کھلی بندرگاہیں، بندرگاہوں پر چلنے والی خدمات، ڈومین ناموں اور IP پتوں کے ساتھ تعامل کرنے والی فائلیں۔ وضاحت عام طور پر، فراہم کنندگان الگ الگ قسم کے ڈیٹا فراہم کرتے ہیں، اور مکمل تصویر حاصل کرنے کے لیے، آپ کو ہر ایک سے سبسکرپشنز خریدنے کی ضرورت ہوتی ہے۔ اس کے باوجود، تمام ڈیٹا حاصل کرنا ہمیشہ ممکن نہیں ہوتا: کچھ غیر فعال SSL فراہم کنندگان صرف بھروسہ مند CAs کے جاری کردہ سرٹیفکیٹس کے بارے میں ڈیٹا فراہم کرتے ہیں، اور ان کے خود دستخط شدہ سرٹیفکیٹس کی کوریج انتہائی ناقص ہے۔ دوسرے خود دستخط شدہ سرٹیفکیٹس کا استعمال کرتے ہوئے ڈیٹا بھی فراہم کرتے ہیں، لیکن اسے صرف معیاری بندرگاہوں سے جمع کرتے ہیں۔
مندرجہ بالا تمام مجموعے ہم نے خود جمع کیے ہیں۔ مثال کے طور پر، SSL سرٹیفکیٹس کے بارے میں ڈیٹا اکٹھا کرنے کے لیے، ہم نے اپنی سروس لکھی ہے جو انہیں بھروسہ مند CAs سے اور پوری IPv4 اسپیس کو اسکین کرکے دونوں کو جمع کرتی ہے۔ سرٹیفکیٹس نہ صرف IP سے، بلکہ ہمارے ڈیٹا بیس سے تمام ڈومینز اور ذیلی ڈومینز سے بھی جمع کیے گئے تھے: اگر آپ کے پاس ڈومین example.com اور اس کا ذیلی ڈومین ہے۔ www.example.com اور وہ سبھی آئی پی 1.1.1.1 کا عزم کرتے ہیں، پھر جب آپ آئی پی، ڈومین اور اس کے ذیلی ڈومین پر پورٹ 443 سے SSL سرٹیفکیٹ حاصل کرنے کی کوشش کرتے ہیں، تو آپ کو تین مختلف نتائج مل سکتے ہیں۔ کھلی بندرگاہوں اور چلنے والی خدمات پر ڈیٹا اکٹھا کرنے کے لیے، ہمیں اپنا تقسیم شدہ سکیننگ سسٹم بنانا پڑا، کیونکہ دیگر سروسز کے پاس اکثر اپنے سکیننگ سرورز کے آئی پی ایڈریس "بلیک لسٹ" پر ہوتے ہیں۔ ہمارے اسکیننگ سرورز بھی بلیک لسٹ میں آ جاتے ہیں، لیکن ہمیں درکار خدمات کا پتہ لگانے کا نتیجہ ان لوگوں سے زیادہ ہے جو صرف زیادہ سے زیادہ بندرگاہوں کو اسکین کرتے ہیں اور اس ڈیٹا تک رسائی فروخت کرتے ہیں۔

تاریخی ریکارڈ کے پورے ڈیٹا بیس تک رسائی کا فقدان۔ وضاحت ہر عام سپلائر کی اچھی جمع شدہ تاریخ ہوتی ہے، لیکن قدرتی وجوہات کی بناء پر ہم، بطور کلائنٹ، تمام تاریخی ڈیٹا تک رسائی حاصل نہیں کر سکے۔ وہ. آپ ایک ریکارڈ کی پوری تاریخ حاصل کر سکتے ہیں، مثال کے طور پر، ڈومین یا IP ایڈریس کے ذریعے، لیکن آپ ہر چیز کی تاریخ نہیں دیکھ سکتے ہیں - اور اس کے بغیر آپ پوری تصویر نہیں دیکھ سکتے۔
ڈومینز پر زیادہ سے زیادہ تاریخی ریکارڈز جمع کرنے کے لیے، ہم نے مختلف ڈیٹا بیس خریدے، بہت سے کھلے وسائل کو پارس کیا جن کی یہ تاریخ تھی (یہ اچھی بات ہے کہ ان میں سے بہت سے تھے)، اور ڈومین نام کے رجسٹرار کے ساتھ بات چیت کی۔ ہمارے اپنے مجموعوں کی تمام اپ ڈیٹس یقیناً نظر ثانی کی مکمل تاریخ کے ساتھ رکھی جاتی ہیں۔

تمام موجودہ حل آپ کو دستی طور پر گراف بنانے کی اجازت دیتے ہیں۔ وضاحت ہم کہتے ہیں کہ آپ نے تمام ممکنہ ڈیٹا فراہم کنندگان سے بہت ساری سبسکرپشنز خریدی ہیں (عام طور پر "اینرشرز" کہلاتے ہیں)۔ جب آپ کو گراف بنانے کی ضرورت ہوتی ہے، تو آپ "ہاتھ" مطلوبہ کنکشن عنصر سے بنانے کی کمانڈ دیتے ہیں، پھر ظاہر ہونے والے عناصر میں سے ضروری کو منتخب کریں اور ان سے کنکشن مکمل کرنے کی کمانڈ دیں، وغیرہ۔ اس صورت میں، گراف کی تعمیر کی ذمہ داری مکمل طور پر فرد پر عائد ہوتی ہے۔
ہم نے گراف کی خودکار تعمیر کی۔ وہ. اگر آپ کو گراف بنانے کی ضرورت ہے، تو پہلے عنصر سے کنکشن خود بخود بن جاتے ہیں، پھر تمام بعد والے سے بھی۔ ماہر صرف اس گہرائی کی نشاندہی کرتا ہے جس پر گراف بنانے کی ضرورت ہے۔ گراف کو خود بخود مکمل کرنے کا عمل آسان ہے، لیکن دوسرے دکاندار اس پر عمل درآمد نہیں کرتے کیونکہ اس سے بہت زیادہ غیر متعلقہ نتائج برآمد ہوتے ہیں، اور ہمیں اس خرابی کو بھی مدنظر رکھنا پڑا (نیچے دیکھیں)۔

بہت سے غیر متعلقہ نتائج تمام نیٹ ورک عنصری گراف کے ساتھ ایک مسئلہ ہیں۔ وضاحت مثال کے طور پر، ایک "خراب ڈومین" (حملے میں شریک) ایک ایسے سرور سے منسلک ہے جس کے ساتھ پچھلے 10 سالوں میں 500 دیگر ڈومین منسلک ہیں۔ گراف کو دستی طور پر شامل کرتے یا خود بخود بناتے وقت، یہ تمام 500 ڈومینز بھی گراف پر ظاہر ہونے چاہئیں، حالانکہ ان کا حملے سے کوئی تعلق نہیں ہے۔ یا، مثال کے طور پر، آپ وینڈر کی سیکیورٹی رپورٹ سے آئی پی انڈیکیٹر چیک کرتے ہیں۔ عام طور پر، اس طرح کی رپورٹیں ایک اہم تاخیر کے ساتھ جاری کی جاتی ہیں اور اکثر ایک سال یا اس سے زیادہ پر محیط ہوتی ہیں۔ زیادہ امکان ہے، جس وقت آپ رپورٹ پڑھتے ہیں، اس IP ایڈریس کے ساتھ سرور پہلے ہی دوسرے کنکشن والے دوسرے لوگوں کو کرائے پر دیا جاتا ہے، اور گراف بنانے کے نتیجے میں آپ کو دوبارہ غیر متعلقہ نتائج ملیں گے۔
ہم نے سسٹم کو اسی منطق کا استعمال کرتے ہوئے غیر متعلقہ عناصر کی نشاندہی کرنے کی تربیت دی جیسا کہ ہمارے ماہرین نے دستی طور پر کیا تھا۔ مثال کے طور پر، آپ ایک خراب ڈومین example.com کو چیک کر رہے ہیں، جو اب IP 11.11.11.11 کو حل کرتا ہے، اور ایک مہینہ پہلے - IP 22.22.22.22 پر۔ ڈومین example.com کے علاوہ، IP 11.11.11.11 بھی example.ru کے ساتھ منسلک ہے، اور IP 22.22.22.22 25 ہزار دیگر ڈومینز کے ساتھ منسلک ہے۔ سسٹم، ایک شخص کی طرح، یہ سمجھتا ہے کہ 11.11.11.11 غالباً ایک سرشار سرور ہے، اور چونکہ example.ru ڈومین ہجے میں example.com سے ملتا جلتا ہے، اس لیے، ایک اعلی امکان کے ساتھ، وہ جڑے ہوئے ہیں اور اس پر ہونا چاہیے۔ گراف لیکن آئی پی 22.22.22.22 کا تعلق مشترکہ ہوسٹنگ سے ہے، اس لیے اس کے تمام ڈومینز کو گراف میں شامل کرنے کی ضرورت نہیں ہے جب تک کہ دوسرے کنکشن نہ ہوں جو یہ ظاہر کرتے ہوں کہ ان 25 ہزار ڈومینز میں سے ایک کو بھی شامل کرنے کی ضرورت ہے (مثال کے طور پر، example.net) . اس سے پہلے کہ سسٹم یہ سمجھے کہ کنکشن کو توڑنے کی ضرورت ہے اور کچھ عناصر کو گراف میں منتقل نہیں کیا جانا ہے، یہ ان عناصر اور کلسٹرز کی بہت سی خصوصیات کو مدنظر رکھتا ہے جن میں یہ عناصر اکٹھے ہوتے ہیں، نیز موجودہ کنکشنز کی مضبوطی کو بھی۔ مثال کے طور پر، اگر ہمارے پاس گراف پر ایک چھوٹا کلسٹر (50 عناصر) ہے، جس میں ایک خراب ڈومین شامل ہے، اور دوسرا بڑا کلسٹر (5 ہزار عناصر) اور دونوں کلسٹر بہت کم طاقت (وزن) کے ساتھ ایک کنکشن (لائن) کے ذریعے جڑے ہوئے ہیں۔ ، پھر ایسا کنکشن ٹوٹ جائے گا اور بڑے کلسٹر سے عناصر کو ہٹا دیا جائے گا۔ لیکن اگر چھوٹے اور بڑے کلسٹرز کے درمیان بہت سے رابطے ہوں اور ان کی طاقت بتدریج بڑھتی جائے تو اس صورت میں یہ رابطہ نہیں ٹوٹے گا اور دونوں کلسٹرز سے ضروری عناصر گراف پر موجود رہیں گے۔

سرور اور ڈومین کی ملکیت کے وقفے کو مدنظر نہیں رکھا جاتا ہے۔ وضاحت "خراب ڈومینز" جلد یا بدیر ختم ہو جائیں گے اور نقصان دہ یا جائز مقاصد کے لیے دوبارہ خریدے جائیں گے۔ یہاں تک کہ بلٹ پروف ہوسٹنگ سرورز بھی مختلف ہیکرز کو کرائے پر دیے جاتے ہیں، اس لیے یہ جاننا اور اس وقفے کو مدنظر رکھنا ضروری ہے کہ جب کوئی مخصوص ڈومین/سرور ایک مالک کے کنٹرول میں تھا۔ ہمیں اکثر ایسی صورتحال کا سامنا کرنا پڑتا ہے جہاں IP 11.11.11.11 والا سرور اب بینکنگ بوٹ کے لیے C&C کے طور پر استعمال ہوتا ہے، اور 2 ماہ قبل اسے Ransomware کے ذریعے کنٹرول کیا جاتا تھا۔ اگر ہم ملکیت کے وقفوں کو مدنظر رکھے بغیر کوئی کنکشن بناتے ہیں، تو ایسا لگتا ہے کہ بینکنگ بوٹ نیٹ اور رینسم ویئر کے مالکان کے درمیان کوئی تعلق ہے، حالانکہ حقیقت میں ایسا کوئی نہیں ہے۔ ہمارے کام میں، ایسی غلطی اہم ہے۔
ہم نے نظام کو ملکیت کے وقفوں کا تعین کرنا سکھایا۔ ڈومینز کے لیے یہ نسبتاً آسان ہے، کیونکہ whois میں اکثر رجسٹریشن کے آغاز اور میعاد ختم ہونے کی تاریخیں ہوتی ہیں اور، جب Whois کی تبدیلی کی مکمل تاریخ ہوتی ہے، تو وقفوں کا تعین کرنا آسان ہوتا ہے۔ جب کسی ڈومین کی رجسٹریشن کی میعاد ختم نہ ہوئی ہو، لیکن اس کا انتظام دوسرے مالکان کو منتقل کر دیا گیا ہو، تو اسے بھی ٹریک کیا جا سکتا ہے۔ SSL سرٹیفکیٹس کے لیے ایسا کوئی مسئلہ نہیں ہے، کیونکہ وہ ایک بار جاری کیے جاتے ہیں اور ان کی تجدید یا منتقلی نہیں ہوتی ہے۔ لیکن خود دستخط شدہ سرٹیفکیٹس کے ساتھ، آپ سرٹیفکیٹ کی میعاد کی مدت میں متعین تاریخوں پر بھروسہ نہیں کر سکتے، کیونکہ آپ آج ہی ایک SSL سرٹیفکیٹ بنا سکتے ہیں، اور 2010 سے سرٹیفکیٹ کی شروعات کی تاریخ بتا سکتے ہیں۔ سب سے مشکل کام سرورز کے لیے ملکیت کے وقفوں کا تعین کرنا ہے، کیونکہ صرف ہوسٹنگ فراہم کرنے والوں کے پاس ہی تاریخیں اور کرایے کی مدت ہوتی ہے۔ سرور کی ملکیت کی مدت کا تعین کرنے کے لیے، ہم نے پورٹ اسکیننگ اور بندرگاہوں پر چلنے والی خدمات کے فنگر پرنٹس بنانے کے نتائج کو استعمال کرنا شروع کیا۔ اس معلومات کا استعمال کرتے ہوئے، ہم کافی حد تک درست طریقے سے کہہ سکتے ہیں کہ سرور کا مالک کب تبدیل ہوا۔

چند روابط۔ وضاحت آج کل، ان ڈومینز کی مفت فہرست حاصل کرنا جن کا ایک مخصوص ای میل ایڈریس ہے، یا ان تمام ڈومینز کو تلاش کرنا جو کسی مخصوص IP ایڈریس سے وابستہ تھے، حاصل کرنا بھی کوئی مسئلہ نہیں ہے۔ لیکن جب ہیکرز کی بات آتی ہے جو ٹریک کرنے کے لیے اپنی پوری کوشش کرتے ہیں تو ہمیں نئی ​​پراپرٹیز تلاش کرنے اور نئے کنکشن بنانے کے لیے اضافی چالوں کی ضرورت ہوتی ہے۔
ہم نے اس تحقیق میں کافی وقت صرف کیا کہ ہم ایسے ڈیٹا کو کیسے نکال سکتے ہیں جو روایتی طریقے سے دستیاب نہیں تھا۔ ہم یہاں یہ بیان نہیں کر سکتے کہ یہ واضح وجوہات کی بناء پر کیسے کام کرتا ہے، لیکن کچھ خاص حالات میں، ہیکرز، ڈومینز رجسٹر کرتے وقت یا سرور کرایہ پر لیتے اور ترتیب دیتے وقت، ایسی غلطیاں کرتے ہیں جو انہیں ای میل ایڈریس، ہیکر کے عرفی نام، اور بیک اینڈ ایڈریسز تلاش کرنے کی اجازت دیتے ہیں۔ جتنے زیادہ کنکشن آپ نکالیں گے، اتنے ہی درست گراف آپ بنا سکتے ہیں۔

ہمارا گراف کیسے کام کرتا ہے۔

نیٹ ورک گراف کا استعمال شروع کرنے کے لیے، آپ کو سرچ بار میں ڈومین، IP ایڈریس، ای میل، یا SSL سرٹیفکیٹ فنگر پرنٹ درج کرنے کی ضرورت ہے۔ تین شرائط ہیں جن پر تجزیہ کار کنٹرول کر سکتا ہے: وقت، قدم کی گہرائی، اور کلیئرنگ۔

وقت

وقت - تاریخ یا وقفہ جب تلاش کیا گیا عنصر بدنیتی پر مبنی مقاصد کے لیے استعمال کیا گیا تھا۔ اگر آپ اس پیرامیٹر کی وضاحت نہیں کرتے ہیں، تو نظام خود اس وسائل کے لیے ملکیت کے آخری وقفے کا تعین کرے گا۔ مثال کے طور پر، 11 جولائی کو Eset شائع ہوا۔ رپورٹ اس بارے میں کہ بوہٹریپ سائبر جاسوسی کے لیے 0 دن کے استحصال کو کس طرح استعمال کرتا ہے۔ رپورٹ کے آخر میں 6 اشارے ہیں۔ ان میں سے ایک، محفوظ ٹیلی میٹری[.] نیٹ کو 16 جولائی کو دوبارہ رجسٹر کیا گیا تھا۔ لہذا، اگر آپ 16 جولائی کے بعد گراف بناتے ہیں، تو آپ کو غیر متعلقہ نتائج ملیں گے۔ لیکن اگر آپ یہ بتاتے ہیں کہ یہ ڈومین اس تاریخ سے پہلے استعمال ہوا تھا، تو گراف میں 126 نئے ڈومینز، 69 IP پتے شامل ہیں جو Eset رپورٹ میں درج نہیں ہیں:

• ukrfreshnews[.]com
• unian-search[.]com
• بنیان دنیا[.]معلومات
• runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]info
• rian-ua[.]net
• وغیرہ

نیٹ ورک انڈیکیٹرز کے علاوہ، ہمیں فوری طور پر بدنیتی پر مبنی فائلوں کے ساتھ کنکشن ملتے ہیں جن کا اس انفراسٹرکچر اور ٹیگز سے تعلق تھا جو ہمیں بتاتے ہیں کہ میٹرپریٹر اور AZORult استعمال کیے گئے تھے۔

بڑی بات یہ ہے کہ آپ کو یہ نتیجہ ایک سیکنڈ میں مل جاتا ہے اور اب آپ کو ڈیٹا کا تجزیہ کرنے میں دن گزارنے کی ضرورت نہیں ہے۔ یقیناً، یہ نقطہ نظر بعض اوقات تحقیقات کے لیے وقت کو نمایاں طور پر کم کر دیتا ہے، جو اکثر اہم ہوتا ہے۔

قدموں کی تعداد یا تکرار کی گہرائی جس کے ساتھ گراف بنایا جائے گا۔

پہلے سے طے شدہ طور پر، گہرائی 3 ہے۔ اس کا مطلب ہے کہ تمام براہ راست متعلقہ عناصر مطلوبہ عنصر سے مل جائیں گے، پھر ہر نئے عنصر سے دوسرے عناصر سے نئے کنکشن بنائے جائیں گے، اور نئے عناصر سے نئے عناصر بنائے جائیں گے۔ قدم

آئیے ایک مثال لیتے ہیں جس کا تعلق APT اور 0 دن کے کارناموں سے نہیں ہے۔ حال ہی میں، کرپٹو کرنسیوں سے متعلق دھوکہ دہی کا ایک دلچسپ معاملہ Habré پر بیان کیا گیا تھا۔ رپورٹ میں ڈومین themcx[.]co کا ذکر کیا گیا ہے، جسے سکیمرز ایک ویب سائٹ کی میزبانی کے لیے استعمال کرتے ہیں جو کہ مائنر کوائن ایکسچینج اور ٹریفک کو راغب کرنے کے لیے فون کی تلاش[.]xyz ہے۔

اس تفصیل سے واضح ہے کہ اس اسکیم میں ٹریفک کو دھوکہ دہی والے وسائل کی طرف راغب کرنے کے لیے کافی بڑے انفراسٹرکچر کی ضرورت ہے۔ ہم نے 4 مراحل میں ایک گراف بنا کر اس بنیادی ڈھانچے کو دیکھنے کا فیصلہ کیا۔ آؤٹ پٹ ایک گراف تھا جس میں 230 ڈومینز اور 39 آئی پی ایڈریس تھے۔ اس کے بعد، ہم ڈومینز کو 2 زمروں میں تقسیم کرتے ہیں: وہ جو کرپٹو کرنسیوں کے ساتھ کام کرنے کی خدمات سے ملتی جلتی ہیں اور وہ جن کا مقصد فون کی تصدیق کی خدمات کے ذریعے ٹریفک کو بڑھانا ہے۔

cryptocurrency سے متعلق
فون چھدرن کی خدمات سے وابستہ ہے۔

سکے کیپر[.]cc
کالر-ریکارڈ[.]سائٹ۔

mcxwallet[.]co
فون ریکارڈز[.]اسپیس

btcnoise[.]com
fone-uncover[.]xyz

cryptominer[.] واچ
نمبر کھولنا[.]معلومات

صفائی

پہلے سے طے شدہ طور پر، "گراف کلین اپ" کا اختیار فعال ہے اور تمام غیر متعلقہ عناصر کو گراف سے ہٹا دیا جائے گا۔ ویسے، یہ گزشتہ تمام مثالوں میں استعمال کیا گیا تھا. میں ایک فطری سوال کی پیش گوئی کرتا ہوں: ہم یہ کیسے یقینی بنا سکتے ہیں کہ کوئی اہم چیز حذف نہیں ہوئی ہے؟ میں جواب دوں گا: ان تجزیہ کاروں کے لیے جو ہاتھ سے گراف بنانا پسند کرتے ہیں، خودکار صفائی کو غیر فعال کیا جا سکتا ہے اور مراحل کی تعداد = 1 منتخب کی جا سکتی ہے۔ اگلا، تجزیہ کار اپنے مطلوبہ عناصر سے گراف مکمل کر سکے گا اور عناصر کو ہٹا سکے گا۔ وہ گراف جو کام سے غیر متعلق ہے۔

پہلے سے ہی گراف پر، whois، DNS، کے ساتھ ساتھ کھلی بندرگاہوں اور ان پر چلنے والی خدمات میں تبدیلیوں کی تاریخ تجزیہ کار کے لیے دستیاب ہو جاتی ہے۔

فنانشل فشنگ

ہم نے ایک APT گروپ کی سرگرمیوں کی چھان بین کی، جس نے کئی سالوں سے مختلف علاقوں میں مختلف بینکوں کے کلائنٹس کے خلاف فشنگ حملے کیے تھے۔ اس گروپ کی ایک خصوصیت اصلی بینکوں کے ناموں سے بہت ملتے جلتے ڈومینز کی رجسٹریشن تھی، اور زیادہ تر فشنگ سائٹس کا ڈیزائن ایک جیسا تھا، فرق صرف بینکوں کے ناموں اور ان کے لوگو میں تھا۔

اس معاملے میں، خودکار گراف تجزیہ نے ہماری بہت مدد کی۔ ان کے ڈومینز میں سے ایک کو لے کر - lloydsbnk-uk[.]com، چند سیکنڈ میں ہم نے 3 مراحل کی گہرائی کے ساتھ ایک گراف بنایا، جس میں 250 سے زیادہ نقصان دہ ڈومینز کی نشاندہی کی گئی جو اس گروپ کے ذریعہ 2015 سے استعمال کیے جا رہے ہیں اور استعمال ہوتے رہتے ہیں۔ . ان میں سے کچھ ڈومینز پہلے ہی بینک خرید چکے ہیں، لیکن تاریخی ریکارڈ بتاتے ہیں کہ وہ پہلے حملہ آوروں کے پاس رجسٹرڈ تھے۔

وضاحت کے لیے، تصویر 2 قدموں کی گہرائی کے ساتھ ایک گراف دکھاتی ہے۔

یہ بات قابل ذکر ہے کہ 2019 میں پہلے ہی حملہ آوروں نے اپنی حکمت عملی میں کچھ تبدیلی کی تھی اور ویب فشنگ کی میزبانی کے لیے نہ صرف بینکوں کے ڈومینز بلکہ مختلف کنسلٹنگ کمپنیوں کے ڈومینز کو بھی فشنگ ای میلز بھیجنے کے لیے رجسٹر کرنا شروع کر دیا تھا۔ مثال کے طور پر، swift-department.com، saudconsultancy.com، vbgrigoryanpartners.com ڈومینز۔

کوبالٹ گینگ

دسمبر 2018 میں، بینکوں پر ٹارگٹ حملوں میں مہارت رکھنے والے ہیکر گروپ کوبالٹ نے نیشنل بینک آف قازقستان کی جانب سے ایک میلنگ مہم بھیجی۔

خطوط میں hXXps://nationalbank.bz/Doc/Prikaz.doc کے لنکس تھے۔ ڈاؤن لوڈ کی گئی دستاویز میں ایک میکرو تھا جس نے پاورشیل کو لانچ کیا، جو فائل کو hXXp://wateroilclub.com/file/dwm.exe سے %Temp%einmrmdmy.exe میں لوڈ کرنے اور اس پر عمل درآمد کرنے کی کوشش کرے گا۔ فائل %Temp%einmrmdmy.exe عرف dwm.exe ایک CobInt سٹیجر ہے جسے سرور hXXp://admvmsopp.com/rilruietguadvtoefmuy کے ساتھ تعامل کے لیے ترتیب دیا گیا ہے۔

تصور کریں کہ یہ فشنگ ای میلز وصول کرنے اور بدنیتی پر مبنی فائلوں کا مکمل تجزیہ کرنے کے قابل نہیں ہیں۔ نقصان دہ ڈومین Nationalbank[.]bz کا گراف فوری طور پر دوسرے نقصان دہ ڈومینز کے ساتھ کنکشن دکھاتا ہے، اسے کسی گروپ سے منسوب کرتا ہے اور دکھاتا ہے کہ کون سی فائلیں حملے میں استعمال کی گئیں۔

آئیے اس گراف سے آئی پی ایڈریس 46.173.219[.]152 لیں اور اس سے ایک پاس میں ایک گراف بنائیں اور صفائی کو بند کریں۔ اس کے ساتھ 40 ڈومینز وابستہ ہیں، مثال کے طور پر، bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

ڈومین کے ناموں کو دیکھتے ہوئے، ایسا لگتا ہے کہ وہ دھوکہ دہی کی اسکیموں میں استعمال ہوتے ہیں، لیکن صفائی کے الگورتھم نے محسوس کیا کہ وہ اس حملے سے متعلق نہیں تھے اور انہیں گراف پر نہیں رکھا، جو تجزیہ اور انتساب کے عمل کو بہت آسان بناتا ہے.

اگر آپ Nationalbank[.]bz کا استعمال کرتے ہوئے گراف کو دوبارہ بناتے ہیں، لیکن گراف صاف کرنے والے الگورتھم کو غیر فعال کرتے ہیں، تو اس میں 500 سے زیادہ عناصر ہوں گے، جن میں سے اکثر کا کوبالٹ گروپ یا ان کے حملوں سے کوئی تعلق نہیں ہے۔ اس طرح کا گراف کیسا لگتا ہے اس کی ایک مثال ذیل میں دی گئی ہے۔

حاصل يہ ہوا

کئی سالوں کی عمدہ ٹیوننگ، حقیقی تحقیقات میں جانچ، دھمکیوں کی تحقیق اور حملہ آوروں کا شکار کرنے کے بعد، ہم نہ صرف ایک منفرد ٹول بنانے میں کامیاب ہو گئے، بلکہ اس کے بارے میں کمپنی کے اندر ماہرین کا رویہ بھی تبدیل کر دیا۔ ابتدائی طور پر تکنیکی ماہرین گراف کی تعمیر کے عمل پر مکمل کنٹرول چاہتے ہیں۔ انہیں اس بات پر قائل کرنا کہ خودکار گراف کی تعمیر کئی سالوں کا تجربہ رکھنے والے شخص سے بہتر طریقے سے کر سکتی ہے۔ ہر چیز کا فیصلہ وقت اور متعدد "دستی" جانچ پڑتال کے ذریعہ کیا گیا تھا جو گراف نے پیدا کیا تھا۔ اب ہمارے ماہرین نہ صرف سسٹم پر بھروسہ کرتے ہیں بلکہ اس سے حاصل ہونے والے نتائج کو اپنے روزمرہ کے کام میں بھی استعمال کرتے ہیں۔ یہ ٹیکنالوجی ہمارے ہر سسٹم کے اندر کام کرتی ہے اور ہمیں کسی بھی قسم کے خطرات کی بہتر شناخت کرنے کی اجازت دیتی ہے۔ دستی گراف تجزیہ کا انٹرفیس تمام گروپ-IB پروڈکٹس میں بنایا گیا ہے اور سائبر کرائم ہنٹنگ کی صلاحیتوں کو نمایاں طور پر بڑھاتا ہے۔ اس کی تصدیق ہمارے گاہکوں کے تجزیہ کاروں کے جائزوں سے ہوتی ہے۔ اور ہم، بدلے میں، ڈیٹا کے ساتھ گراف کو مزید تقویت دیتے رہتے ہیں اور مصنوعی ذہانت کا استعمال کرتے ہوئے نئے الگورتھم پر کام کرتے ہیں تاکہ سب سے درست نیٹ ورک گراف بنایا جا سکے۔

ماخذ: www.habr.com