Fishing, botnetlar, firibgarlik tranzaktsiyalari va jinoiy xakerlik guruhlari bilan bog'liq ishlarni tekshirayotgan Group-IB mutaxassislari ko'p yillar davomida turli xil ulanishlarni aniqlash uchun grafik tahlilidan foydalanganlar. Turli holatlarning o'z ma'lumotlar to'plami, ulanishlarni aniqlash uchun o'z algoritmlari va muayyan vazifalar uchun moslashtirilgan interfeyslari mavjud. Ushbu vositalarning barchasi Group-IB tomonidan ishlab chiqilgan va faqat bizning xodimlarimiz uchun mavjud edi.
Tarmoq infratuzilmasining grafik tahlili (tarmoq grafigi) biz kompaniyaning barcha ommaviy mahsulotlariga o'rnatgan birinchi ichki vosita bo'ldi. Tarmoq grafigimizni yaratishdan oldin biz bozordagi shunga o'xshash ko'plab ishlanmalarni tahlil qildik va o'z ehtiyojlarimizni qondiradigan bitta mahsulotni topmadik. Ushbu maqolada biz tarmoq grafigini qanday yaratganimiz, uni qanday ishlatishimiz va qanday qiyinchiliklarga duch kelganimiz haqida gapiramiz.
Dmitriy Volkov, CTO Group-IB va kiber razvedka rahbari
Group-IB tarmoq grafigi nima qilishi mumkin?
Tergov
2003-yilda Group-IB tashkil etilganidan buyon hozirgi kunga qadar kiberjinoyatchilarni aniqlash, deanonatsiya qilish va javobgarlikka tortish bizning ishimizdagi ustuvor vazifa bo‘lib kelgan. Birorta ham kiberhujum tekshiruvi hujumchilarning tarmoq infratuzilmasini tahlil qilmasdan tugallanmagan. Sayohatimizning boshida jinoyatchilarni aniqlashga yordam beradigan munosabatlarni izlash juda mashaqqatli "qo'lda ish" edi: domen nomlari, IP manzillar, serverlarning raqamli barmoq izlari va boshqalar.
Aksariyat hujumchilar tarmoqda imkon qadar anonim harakat qilishga harakat qilishadi. Biroq, barcha odamlar singari, ular ham xato qilishadi. Bunday tahlilning asosiy maqsadi biz tekshirayotgan hodisada foydalanilgan zararli infratuzilma bilan kesishgan tajovuzkorlarning "oq" yoki "kulrang" tarixiy loyihalarini topishdir. Agar "oq loyihalar" ni aniqlash mumkin bo'lsa, tajovuzkorni topish, qoida tariqasida, ahamiyatsiz vazifaga aylanadi. "Kulrang" bo'lsa, qidiruv ko'proq vaqt va kuch talab qiladi, chunki ularning egalari ro'yxatga olish ma'lumotlarini anonimlashtirishga yoki yashirishga harakat qilishadi, ammo imkoniyat ancha yuqori bo'lib qolmoqda. Qoidaga ko'ra, jinoyatchilar o'zlarining jinoiy harakatlarining boshida o'zlarining xavfsizligiga kamroq e'tibor berishadi va ko'proq xatolarga yo'l qo'yishadi, shuning uchun biz voqeaga qanchalik chuqurroq kirib borsak, muvaffaqiyatli tergov qilish imkoniyati shunchalik yuqori bo'ladi. Shuning uchun yaxshi tarixga ega bo'lgan tarmoq grafikasi bunday tergovning o'ta muhim elementidir. Oddiy qilib aytganda, kompaniyaning tarixiy ma'lumotlari qanchalik chuqurroq bo'lsa, uning grafigi shunchalik yaxshi bo'ladi. Aytaylik, 5 yillik tarix shartli ravishda 1 ta jinoyatdan 2-10 tasini ochishga yordam beradi, 15 yillik tarix esa barcha oʻnta jinoyatni ochish imkonini beradi.
Firibgarlik va firibgarlikni aniqlash
Biz har safar fishing, firibgarlik yoki qaroqchilik manbasiga shubhali havolani olganimizda, biz avtomatik ravishda tegishli tarmoq resurslari grafigini tuzamiz va barcha topilgan xostlarda oʻxshash kontent mavjudligini tekshiramiz. Bu sizga faol, ammo noma'lum bo'lgan eski fishing saytlarini, shuningdek, kelajakdagi hujumlar uchun tayyorlangan, ammo hali ishlatilmagan butunlay yangilarini topish imkonini beradi. Tez-tez uchraydigan oddiy misol: biz atigi 5 ta saytga ega serverda fishing saytini topdik. Ularning har birini tekshirib, biz boshqa saytlarda fishing kontentini topamiz, ya'ni biz 5 o'rniga 1 tasini bloklashimiz mumkin.
Backendlarni qidiring
Bu jarayon zararli server aslida qaerda ekanligini aniqlash uchun zarur.
Karta do'konlarining 99%, xakerlik forumlari, ko'plab fishing resurslari va boshqa zararli serverlar o'zlarining proksi-serverlari va qonuniy xizmatlarning proksi-serverlari, masalan, Cloudflare orqasida yashiringan. Haqiqiy backend haqidagi bilimlar tekshiruvlar uchun juda muhim: server olib qo'yilishi mumkin bo'lgan hosting provayderi ma'lum bo'ladi va boshqa zararli loyihalar bilan aloqa o'rnatish mumkin bo'ladi.
Masalan, sizda 11.11.11.11 IP-manzilga mos keladigan bank kartasi ma'lumotlarini to'plash uchun fishing saytingiz va 22.22.22.22 IP-manzilga hal qiluvchi karta do'koningiz manzili mavjud. Tahlil paytida, fishing saytida ham, karta do'konida ham umumiy server IP manzili borligi ma'lum bo'lishi mumkin, masalan, 33.33.33.33. Ushbu bilim bizga fishing hujumlari va bank kartasi ma'lumotlari sotilishi mumkin bo'lgan karta do'koni o'rtasida aloqa o'rnatishga imkon beradi.
Hodisa korrelyatsiyasi
Hujumni boshqarish uchun turli xil zararli dasturlarga va turli serverlarga ega bo'lgan ikki xil triggerga (aytaylik, IDSda) ega bo'lsangiz, ularni ikkita mustaqil hodisa sifatida ko'rib chiqasiz. Ammo agar zararli infratuzilmalar o'rtasida yaxshi bog'liqlik mavjud bo'lsa, unda bu turli xil hujumlar emas, balki bitta, yanada murakkab ko'p bosqichli hujumning bosqichlari ekanligi ayon bo'ladi. Va agar voqealardan biri allaqachon tajovuzkorlarning har qanday guruhiga tegishli bo'lsa, ikkinchisi ham xuddi shu guruhga tegishli bo'lishi mumkin. Albatta, atribut jarayoni ancha murakkab, shuning uchun buni oddiy misol sifatida ko'rib chiqing.
Ko'rsatkichlarni boyitish
Biz bunga unchalik ahamiyat bermaymiz, chunki bu kiberxavfsizlikda grafiklardan foydalanishning eng keng tarqalgan stsenariysi: siz kirish sifatida bitta indikatorni berasiz, chiqish sifatida esa tegishli ko‘rsatkichlar qatorini olasiz.
Shakllarni aniqlash
Samarali ov qilish uchun naqshlarni aniqlash juda muhimdir. Grafiklar nafaqat tegishli elementlarni topish, balki ma'lum bir xakerlar guruhiga xos bo'lgan umumiy xususiyatlarni aniqlash imkonini beradi. Bunday o'ziga xos xususiyatlarni bilish tajovuzkorning infratuzilmasini hatto tayyorgarlik bosqichida ham va fishing elektron pochta xabarlari yoki zararli dasturlar kabi hujumni tasdiqlovchi dalillarsiz tanib olish imkonini beradi.
Nima uchun biz o'z tarmoq grafikimizni yaratdik?
Shunga qaramay, biz hech qanday mavjud mahsulot qila olmaydigan narsani qila oladigan o'z vositamizni ishlab chiqishimiz kerak degan xulosaga kelishdan oldin turli sotuvchilarning echimlarini ko'rib chiqdik. Uni yaratish uchun bir necha yil kerak bo'ldi, biz uni bir necha marta butunlay o'zgartirdik. Ammo, uzoq rivojlanish davriga qaramay, biz hali ham bizning talablarimizni qondiradigan bitta analogni topa olmadik. O'z mahsulotimizdan foydalanib, biz oxir-oqibat mavjud tarmoq grafiklarida topilgan deyarli barcha muammolarni hal qila oldik. Quyida biz ushbu muammolarni batafsil ko'rib chiqamiz:
muammo
qaror
Turli xil ma'lumotlar to'plamiga ega provayderning yo'qligi: domenlar, passiv DNS, passiv SSL, DNS yozuvlari, ochiq portlar, portlarda ishlaydigan xizmatlar, domen nomlari va IP manzillari bilan o'zaro aloqada bo'lgan fayllar. Tushuntirish. Odatda, provayderlar ma'lumotlarning alohida turlarini taqdim etadilar va to'liq rasmni olish uchun siz hammadan obuna sotib olishingiz kerak. Shunga qaramay, barcha ma'lumotlarni olish har doim ham mumkin emas: ba'zi passiv SSL provayderlari faqat ishonchli CA tomonidan chiqarilgan sertifikatlar haqida ma'lumot beradi va ularning o'z-o'zidan imzolangan sertifikatlar qamrovi juda yomon. Boshqalar ham o'z-o'zidan imzolangan sertifikatlar yordamida ma'lumotlarni taqdim etadilar, lekin ularni faqat standart portlardan yig'adilar.
Yuqoridagi barcha to'plamlarni o'zimiz yig'dik. Misol uchun, SSL sertifikatlari haqida ma'lumot to'plash uchun biz ularni ishonchli CA'lardan va butun IPv4 maydonini skanerlash orqali to'playdigan o'z xizmatimizni yozdik. Sertifikatlar nafaqat IP-dan, balki bizning ma'lumotlar bazamizdagi barcha domenlar va subdomenlardan ham to'plangan: agar sizda example.com domeni va uning subdomani bo'lsa. va ularning barchasi IP 1.1.1.1 ni hal qiladi, keyin siz IP, domen va uning subdomenidagi 443-portdan SSL sertifikatini olishga harakat qilganingizda, siz uch xil natija olishingiz mumkin. Ochiq portlar va ishlaydigan xizmatlar haqida ma'lumot to'plash uchun biz o'zimizning taqsimlangan skanerlash tizimini yaratishimiz kerak edi, chunki boshqa xizmatlar ko'pincha "qora ro'yxatlar"da skanerlash serverlarining IP manzillariga ega edi. Bizning skanerlash serverlarimiz ham qora ro'yxatlarga tushib qoladi, ammo bizga kerak bo'lgan xizmatlarni aniqlash natijasi iloji boricha ko'proq portlarni skanerlaydigan va ushbu ma'lumotlarga kirishni sotadiganlarga qaraganda yuqoriroqdir.
Tarixiy yozuvlarning butun ma'lumotlar bazasiga kirishning yo'qligi. Tushuntirish. Har bir oddiy etkazib beruvchining yaxshi to'plangan tarixi bor, lekin tabiiy sabablarga ko'ra biz mijoz sifatida barcha tarixiy ma'lumotlarga kira olmadik. Bular. Siz bitta yozuv uchun butun tarixni olishingiz mumkin, masalan, domen yoki IP-manzil bo'yicha, lekin siz hamma narsaning tarixini ko'ra olmaysiz - va busiz siz to'liq rasmni ko'ra olmaysiz.
Domenlar bo'yicha iloji boricha ko'proq tarixiy yozuvlarni to'plash uchun biz turli xil ma'lumotlar bazalarini sotib oldik, bu tarixga ega bo'lgan ko'plab ochiq resurslarni tahlil qildik (ularning ko'pi borligi yaxshi) va domen nomlarini ro'yxatga oluvchilar bilan muzokaralar olib bordik. Bizning to'plamlarimizdagi barcha yangilanishlar, albatta, to'liq qayta ko'rib chiqish tarixi bilan saqlanadi.
Barcha mavjud echimlar grafikni qo'lda qurish imkonini beradi. Tushuntirish. Aytaylik, siz barcha mumkin bo'lgan ma'lumot provayderlaridan (odatda "boyituvchilar" deb ataladi) ko'plab obunalarni sotib oldingiz. Grafikni qurish kerak bo'lganda, siz "qo'llar" kerakli ulanish elementidan qurish buyrug'ini berasiz, keyin paydo bo'lgan elementlardan keraklilarini tanlab, ulardan ulanishlarni bajarish buyrug'ini berasiz va hokazo. Bunday holda, grafik qanchalik to'g'ri tuzilishi uchun javobgarlik to'liq shaxsga bog'liq.
Biz grafiklarni avtomatik qurishni amalga oshirdik. Bular. Agar siz grafik yaratishingiz kerak bo'lsa, unda birinchi elementdan ulanishlar avtomatik ravishda, keyin barcha keyingilardan ham quriladi. Mutaxassis faqat grafikni qurish kerak bo'lgan chuqurlikni ko'rsatadi. Grafiklarni avtomatik ravishda to'ldirish jarayoni oddiy, ammo boshqa ishlab chiqaruvchilar buni amalga oshirmaydilar, chunki u juda ko'p ahamiyatsiz natijalarni keltirib chiqaradi va biz bu kamchilikni ham hisobga olishimiz kerak edi (pastga qarang).
Ko'pgina ahamiyatsiz natijalar barcha tarmoq elementlari grafiklari bilan bog'liq muammodir. Tushuntirish. Misol uchun, "yomon domen" (hujumda ishtirok etgan) so'nggi 10 yil ichida u bilan bog'langan 500 ta boshqa domenga ega bo'lgan server bilan bog'langan. Grafikni qo'lda qo'shish yoki avtomatik ravishda qurishda ushbu 500 domenning barchasi hujumga aloqador bo'lmasa ham, grafikda paydo bo'lishi kerak. Yoki, masalan, sotuvchining xavfsizlik hisobotidan IP ko'rsatkichini tekshirasiz. Odatda, bunday hisobotlar sezilarli kechikish bilan chiqariladi va ko'pincha bir yil yoki undan ko'proq vaqtni oladi. Katta ehtimol bilan, siz hisobotni o'qiyotganingizda, ushbu IP-manzilga ega server allaqachon boshqa ulanishlari bo'lgan boshqa odamlarga ijaraga olingan va grafik yaratish yana ahamiyatsiz natijalarga olib keladi.
Mutaxassislarimiz qo'lda qilgan mantiqdan foydalanib, tizimni ahamiyatsiz elementlarni aniqlashga o'rgatganmiz. Misol uchun, siz IP 11.11.11.11 ga va bir oy oldin IP 22.22.22.22 ga hal qiluvchi yomon example.com domenini tekshirmoqdasiz. example.com domenidan tashqari IP 11.11.11.11 ham example.ru bilan, IP 22.22.22.22 esa 25 ming boshqa domenlar bilan bog'langan. Tizim, xuddi odam kabi, 11.11.11.11 katta ehtimollik bilan ajratilgan server ekanligini tushunadi va example.ru domeni imloda example.com bilan o'xshash bo'lganligi sababli, ular yuqori ehtimollik bilan ulangan va bo'lishi kerak. grafik; ammo IP 22.22.22.22 umumiy hostingga tegishli, shuning uchun ushbu 25 ming domendan birini ham kiritish kerakligini ko'rsatadigan boshqa ulanishlar bo'lmasa, uning barcha domenlarini grafikga kiritish shart emas (masalan, example.net) . Tizim ulanishlarni buzish va ba'zi elementlarni grafikaga o'tkazmaslik kerakligini tushunishdan oldin, bu elementlar birlashtirilgan elementlar va klasterlarning ko'plab xususiyatlarini, shuningdek, joriy ulanishlarning mustahkamligini hisobga oladi. Misol uchun, agar bizda yomon domenni o'z ichiga olgan grafikada kichik klaster (50 element) bo'lsa va yana bir katta klaster (5 ming element) va ikkala klaster ham juda past quvvatga (og'irlik) ega bo'lgan ulanish (chiziq) bilan bog'langan bo'lsa. , keyin bunday aloqa buziladi va katta klasterdan elementlar o'chiriladi. Ammo kichik va katta klasterlar o'rtasida ko'plab bog'lanishlar mavjud bo'lsa va ularning kuchi asta-sekin o'sib borsa, u holda bu holda aloqa uzilmaydi va ikkala klasterdan kerakli elementlar grafikda qoladi.
Server va domen egalik oralig'i hisobga olinmaydi. Tushuntirish. “Yomon domenlar” ertami-kechmi muddati tugaydi va zararli yoki qonuniy maqsadlarda qayta sotib olinadi. Hatto o'q o'tkazmaydigan xosting serverlari ham turli xakerlarga ijaraga beriladi, shuning uchun ma'lum bir domen/server bitta egasining nazorati ostida bo'lgan vaqt oralig'ini bilish va hisobga olish juda muhimdir. Biz tez-tez shunday holatga duch kelamizki, IP 11.11.11.11 server hozirda bank bot uchun C&C sifatida ishlatiladi va 2 oy oldin u Ransomware tomonidan boshqariladi. Agar biz egalik oraliqlarini hisobga olmasdan aloqa o'rnatadigan bo'lsak, u bank botneti egalari va to'lov dasturi o'rtasida bog'liqlik mavjud bo'lib ko'rinadi, garchi aslida u yo'q. Bizning ishimizda bunday xato juda muhim.
Biz tizimga egalik oraliqlarini aniqlashni o'rgatganmiz. Domenlar uchun bu nisbatan sodda, chunki whois ko'pincha ro'yxatdan o'tishning boshlanish va amal qilish muddatini o'z ichiga oladi va whois o'zgarishlarining to'liq tarixi mavjud bo'lsa, intervallarni aniqlash oson. Agar domenni ro'yxatdan o'tkazish muddati tugamagan bo'lsa-da, lekin uni boshqarish boshqa egalariga o'tkazilgan bo'lsa, uni ham kuzatish mumkin. SSL sertifikatlari uchun bunday muammo yo'q, chunki ular bir marta chiqariladi va yangilanmaydi yoki o'tkazilmaydi. Ammo o'z-o'zidan imzolangan sertifikatlar bilan siz sertifikatning amal qilish muddatida ko'rsatilgan sanalarga ishona olmaysiz, chunki siz bugun SSL sertifikatini yaratishingiz va sertifikatning boshlanish sanasini 2010 yildan belgilashingiz mumkin. Eng qiyin narsa serverlar uchun egalik oraliqlarini aniqlashdir, chunki faqat hosting provayderlarida sana va ijara muddatlari mavjud. Serverga egalik qilish muddatini aniqlash uchun biz portlarni skanerlash va portlarda ishlaydigan xizmatlarning barmoq izlarini yaratish natijalaridan foydalanishni boshladik. Ushbu ma'lumotlardan foydalanib, biz server egasi qachon o'zgarganligini aniq aytishimiz mumkin.
Bir nechta ulanishlar. Tushuntirish. Hozirgi vaqtda whois-da ma'lum bir elektron pochta manzili bo'lgan domenlarning bepul ro'yxatini olish yoki ma'lum bir IP-manzil bilan bog'langan barcha domenlarni topish muammo emas. Ammo kuzatib borish qiyin bo'lish uchun qo'lidan kelganini qiladigan xakerlar haqida gap ketganda, bizga yangi xususiyatlarni topish va yangi ulanishlar o'rnatish uchun qo'shimcha fokuslar kerak.
Biz anʼanaviy usulda mavjud boʻlmagan maʼlumotlarni qanday qilib olishimiz mumkinligini oʻrganishga koʻp vaqt sarfladik. Biz bu erda aniq sabablarga ko'ra qanday ishlashini tasvirlab bera olmaymiz, lekin ba'zi hollarda xakerlar domenlarni ro'yxatdan o'tkazish yoki serverlarni ijaraga olish va sozlashda xatolarga yo'l qo'yishadi, bu ularga elektron pochta manzillari, xaker taxalluslari va backend manzillarini topishga imkon beradi. Qanchalik ko'p ulanishlarni ajratsangiz, shunchalik aniqroq grafiklarni yaratishingiz mumkin.
Grafikimiz qanday ishlaydi
Tarmoq grafigidan foydalanishni boshlash uchun siz qidiruv satriga domen, IP manzil, elektron pochta yoki SSL sertifikati barmoq izini kiritishingiz kerak. Tahlilchi nazorat qilishi mumkin bo'lgan uchta shart mavjud: vaqt, qadam chuqurligi va tozalash.
vaqt
Vaqt - qidirilayotgan element zararli maqsadlarda ishlatilgan sana yoki interval. Agar siz ushbu parametrni belgilamasangiz, tizimning o'zi ushbu resurs uchun oxirgi egalik oralig'ini aniqlaydi. Misol uchun, 11 iyulda Eset nashr etdi Buhtrap kiber josuslik uchun 0 kunlik ekspluatatsiyadan qanday foydalanishi haqida. Hisobot oxirida 6 ta ko'rsatkich mavjud. Ulardan biri, security-telemetry[.]net 16 iyul kuni qayta ro‘yxatdan o‘tkazildi. Shuning uchun, agar siz 16 iyuldan keyin grafik tuzsangiz, ahamiyatsiz natijalarga erishasiz. Ammo agar siz ushbu domen ushbu sanadan oldin ishlatilganligini ko'rsatsangiz, unda grafik 126 ta yangi domenni, Eset hisobotida ko'rsatilmagan 69 IP manzilni o'z ichiga oladi:
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-world[.]info
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- va boshq.
Tarmoq ko'rsatkichlaridan tashqari, biz ushbu infratuzilma bilan bog'langan zararli fayllar bilan ulanishlarni va Meterpreter va AZORult ishlatilganligini bildiruvchi teglarni darhol topamiz.
Ajoyib tomoni shundaki, siz bu natijani bir soniya ichida olasiz va endi ma'lumotlarni tahlil qilish uchun kun sarflashingiz shart emas. Albatta, bu yondashuv ba'zida tekshiruvlar uchun vaqtni sezilarli darajada qisqartiradi, bu ko'pincha juda muhimdir.
Grafik quriladigan qadamlar soni yoki rekursiya chuqurligi
Odatiy bo'lib, chuqurlik 3 ga teng. Bu shuni anglatadiki, barcha to'g'ridan-to'g'ri bog'liq elementlar kerakli elementdan topiladi, keyin har bir yangi elementdan boshqa elementlarga yangi ulanishlar quriladi va oxirgi elementdan yangi elementlardan yangi elementlar yaratiladi. qadam.
APT va 0 kunlik ekspluatatsiyalar bilan bog'liq bo'lmagan misolni olaylik. Yaqinda Habré-da kriptovalyutalar bilan bog'liq qiziqarli firibgarlik holati tasvirlangan. Hisobotda firibgarlar tomonidan Miner Coin Exchange va trafikni jalb qilish uchun telefon orqali qidirish[.]xyz veb-saytini joylashtirish uchun foydalaniladigan themcx[.]co domeni eslatib o‘tiladi.
Ta'rifdan ko'rinib turibdiki, sxema soxta resurslarga trafikni jalb qilish uchun etarlicha katta infratuzilmani talab qiladi. Biz ushbu infratuzilmani 4 bosqichda grafik yaratish orqali ko'rib chiqishga qaror qildik. Chiqish 230 domen va 39 IP manzilli grafik edi. Keyinchalik, biz domenlarni 2 toifaga ajratamiz: kriptovalyutalar bilan ishlash xizmatlariga o'xshashlar va telefonni tekshirish xizmatlari orqali trafikni boshqarish uchun mo'ljallanganlar:
Kriptovalyuta bilan bog'liq
Telefonni ochish xizmatlari bilan bog'liq
tanga egasi [.]cc
qo'ng'iroq qiluvchini yozib olish[.]sayt.
mcxwallet[.]co
phone-records[.]bo'sh joy
btcnoise[.]com
fone-uncover[.]xyz
kriptominer[.]soat
raqamni ochish[.]maʼlumot
tozalash
Odatiy bo'lib, "Grafikni tozalash" opsiyasi yoqilgan va barcha ahamiyatsiz elementlar grafikdan o'chiriladi. Aytgancha, u avvalgi barcha misollarda ishlatilgan. Men tabiiy savolni oldindan ko'raman: muhim narsa o'chirilmasligiga qanday ishonch hosil qilishimiz mumkin? Men javob beraman: grafiklarni qo'lda qurishni yaxshi ko'radigan tahlilchilar uchun avtomatlashtirilgan tozalashni o'chirib qo'yish va qadamlar sonini tanlash mumkin = 1. Keyinchalik, tahlilchi o'ziga kerak bo'lgan elementlardan grafikni to'ldirishi va elementlarni olib tashlashi mumkin. vazifa uchun ahamiyatsiz bo'lgan grafik.
Grafikda allaqachon whois, DNS, shuningdek ochiq portlar va ularda ishlaydigan xizmatlardagi o'zgarishlar tarixi tahlilchiga ochiq bo'ladi.
Moliyaviy fishing
Biz bir necha yillar davomida turli mintaqalardagi turli banklarning mijozlariga fishing hujumlarini amalga oshirgan bitta APT guruhi faoliyatini tekshirdik. Ushbu guruhning o'ziga xos xususiyati haqiqiy banklarning nomlariga juda o'xshash domenlarni ro'yxatdan o'tkazish edi va fishing saytlarining aksariyati bir xil dizaynga ega edi, farq faqat banklarning nomlari va ularning logotiplarida edi.
Bunday holda, avtomatlashtirilgan grafik tahlili bizga katta yordam berdi. Ularning domenlaridan biri - lloydsbnk-uk[.]com ni olib, biz bir necha soniya ichida 3 bosqichli chuqurlikdagi grafikni yaratdik, unda 250-yildan buyon ushbu guruh tomonidan foydalanilgan va hozirda ham foydalanilayotgan 2015 dan ortiq zararli domenlar aniqlandi. . Ushbu domenlarning ba'zilari allaqachon banklar tomonidan sotib olingan, biroq tarixiy ma'lumotlar shuni ko'rsatadiki, ular avval tajovuzkorlar uchun ro'yxatdan o'tgan.
Aniqlik uchun rasmda 2 qadam chuqurlikdagi grafik ko'rsatilgan.
Shunisi e'tiborga loyiqki, 2019 yilda tajovuzkorlar o'zlarining taktikalarini biroz o'zgartirib, nafaqat veb-fishingni joylashtirish uchun banklarning domenlarini, balki fishing elektron pochta xabarlarini yuborish uchun turli konsalting kompaniyalarining domenlarini ham ro'yxatdan o'tkazishni boshladilar. Masalan, swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com domenlari.
Kobalt to'dasi
2018 yilning dekabr oyida banklarga maqsadli hujumlarga ixtisoslashgan Cobalt xakerlik guruhi Qozog‘iston Milliy banki nomidan pochta kampaniyasini jo‘natgan edi.
Maktublarda hXXps://nationalbank.bz/Doc/Prikaz.doc ga havolalar mavjud edi. Yuklab olingan hujjatda hXXp://wateroilclub.com/file/dwm.exe dan %Temp%einmrmdmy.exe faylini yuklash va ishga tushirishga harakat qiladigan Powershell-ni ishga tushiruvchi makros mavjud edi. %Temp%einmrmdmy.exe aka dwm.exe fayli hXXp://admvmsopp.com/rilruietguadvtoefmuy serveri bilan ishlash uchun sozlangan CobInt staderidir.
Tasavvur qiling, bu fishing elektron pochta xabarlarini ololmaysiz va zararli fayllarni to'liq tahlil qila olmaysiz. Nationalbank[.]bz zararli domenining grafigi zudlik bilan boshqa zararli domenlar bilan ulanishlarni ko'rsatadi, uni guruhga xoslaydi va hujumda qaysi fayllardan foydalanilganligini ko'rsatadi.
Keling, ushbu grafikdan 46.173.219[.]152 IP-manzilini olamiz va undan bitta o'tishda grafik tuzamiz va tozalashni o'chiramiz. U bilan bog'langan 40 ta domen mavjud, masalan, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Domen nomlariga qaraganda, ular firibgarlik sxemalarida qo'llanilganga o'xshaydi, ammo tozalash algoritmi ularning ushbu hujumga aloqasi yo'qligini tushundi va ularni grafikaga qo'ymadi, bu tahlil va atributlash jarayonini sezilarli darajada osonlashtiradi.
Agar siz milliy bank[.]bz yordamida grafikni qayta qursangiz, lekin grafikni tozalash algoritmini oʻchirib qoʻysangiz, unda 500 dan ortiq elementlar boʻladi, ularning aksariyati Cobalt guruhiga yoki ularning hujumlariga hech qanday aloqasi yoʻq. Bunday grafikning qanday ko'rinishiga misol quyida keltirilgan:
xulosa
Bir necha yillik nozik sozlash, haqiqiy tekshiruvlarda sinovdan o'tkazish, tahdidlarni o'rganish va tajovuzkorlarni qidirishdan so'ng biz nafaqat noyob vositani yaratishga, balki kompaniya ichidagi mutaxassislarning unga bo'lgan munosabatini ham o'zgartirishga muvaffaq bo'ldik. Dastlab, texnik mutaxassislar grafikni qurish jarayonini to'liq nazorat qilishni xohlashadi. Ularni ko'p yillik tajribaga ega bo'lgan odamdan ko'ra avtomatik grafik qurish buni yaxshiroq qilishiga ishontirish juda qiyin edi. Hamma narsa vaqt va grafik ishlab chiqarilgan natijalarni bir necha marta "qo'lda" tekshirish orqali hal qilindi. Endilikda bizning mutaxassislarimiz nafaqat tizimga ishonishadi, balki u olingan natijalardan kundalik ishlarida foydalanishadi. Ushbu texnologiya har bir tizimimizda ishlaydi va har qanday turdagi tahdidlarni yaxshiroq aniqlash imkonini beradi. Grafiklarni qo'lda tahlil qilish interfeysi barcha Group-IB mahsulotlariga o'rnatilgan va kiberjinoyatlarni ov qilish imkoniyatlarini sezilarli darajada kengaytiradi. Buni mijozlarimizning tahliliy sharhlari tasdiqlaydi. Biz esa, o‘z navbatida, grafikni ma’lumotlar bilan boyitishda davom etamiz va eng aniq tarmoq grafigini yaratish uchun sun’iy intellekt yordamida yangi algoritmlar ustida ishlaymiz.
Manba: www.habr.com