Điều tra các vụ án liên quan đến lừa đảo, botnet, giao dịch gian lận và các nhóm hacker tội phạm, các chuyên gia của Group-IB đã sử dụng phân tích biểu đồ trong nhiều năm để xác định các loại kết nối khác nhau. Các trường hợp khác nhau có bộ dữ liệu riêng, thuật toán riêng để xác định kết nối và giao diện được điều chỉnh cho các tác vụ cụ thể. Tất cả những công cụ này đều do Group-IB phát triển nội bộ và chỉ dành cho nhân viên của chúng tôi.

Phân tích đồ thị cơ sở hạ tầng mạng (đồ thị mạng) đã trở thành công cụ nội bộ đầu tiên được chúng tôi tích hợp vào tất cả các sản phẩm đại chúng của công ty. Trước khi tạo biểu đồ mạng, chúng tôi đã phân tích nhiều diễn biến tương tự trên thị trường và không tìm thấy một sản phẩm nào thỏa mãn nhu cầu của chúng tôi. Trong bài viết này, chúng tôi sẽ nói về cách chúng tôi tạo biểu đồ mạng, cách chúng tôi sử dụng nó và những khó khăn chúng tôi gặp phải.

Dmitri Volkov, CTO Group-IB và người đứng đầu bộ phận tình báo mạng

Biểu đồ mạng Group-IB có thể làm gì?

Điều tra

Kể từ khi thành lập Group-IB vào năm 2003 đến nay, việc xác định, xử lý và đưa tội phạm mạng ra trước công lý là ưu tiên hàng đầu trong công việc của chúng tôi. Không một cuộc điều tra tấn công mạng nào hoàn tất nếu không phân tích cơ sở hạ tầng mạng của những kẻ tấn công. Khi bắt đầu hành trình của chúng tôi, việc tìm kiếm các mối quan hệ có thể giúp xác định tội phạm là một “công việc thủ công” khá vất vả: thông tin về tên miền, địa chỉ IP, dấu vân tay kỹ thuật số của máy chủ, v.v.

Hầu hết những kẻ tấn công đều cố gắng hành động ẩn danh nhất có thể trên mạng. Tuy nhiên, giống như tất cả mọi người, họ mắc sai lầm. Mục tiêu chính của việc phân tích như vậy là tìm ra các dự án lịch sử “trắng” hoặc “xám” của những kẻ tấn công có mối liên hệ với cơ sở hạ tầng độc hại được sử dụng trong vụ việc hiện tại mà chúng tôi đang điều tra. Nếu có thể phát hiện được “các dự án trắng”, thì việc tìm ra kẻ tấn công, theo quy luật, sẽ trở thành một nhiệm vụ tầm thường. Trong trường hợp “xám”, việc tìm kiếm tốn nhiều thời gian và công sức hơn vì chủ sở hữu của chúng cố gắng ẩn danh hoặc ẩn dữ liệu đăng ký, nhưng khả năng xảy ra vẫn khá cao. Theo quy định, khi bắt đầu hoạt động tội phạm, những kẻ tấn công ít chú ý đến sự an toàn của bản thân và mắc nhiều sai lầm hơn, vì vậy chúng ta càng đi sâu vào câu chuyện thì cơ hội điều tra thành công càng cao. Đó là lý do tại sao một biểu đồ mạng có lịch sử tốt là một yếu tố cực kỳ quan trọng của một cuộc điều tra như vậy. Nói một cách đơn giản, một công ty có dữ liệu lịch sử càng sâu thì biểu đồ của nó càng tốt. Giả sử rằng lịch sử 5 năm có thể giúp giải quyết một cách có điều kiện 1-2 trong số 10 tội ác và lịch sử 15 năm mang lại cơ hội giải quyết cả XNUMX tội ác.

Phát hiện lừa đảo và gian lận

Mỗi khi chúng tôi nhận được một liên kết đáng ngờ tới một tài nguyên lừa đảo, lừa đảo hoặc vi phạm bản quyền, chúng tôi sẽ tự động xây dựng biểu đồ các tài nguyên mạng có liên quan và kiểm tra tất cả các máy chủ được tìm thấy để tìm nội dung tương tự. Điều này cho phép bạn tìm cả các trang web lừa đảo cũ đang hoạt động nhưng không xác định, cũng như các trang web hoàn toàn mới đã chuẩn bị cho các cuộc tấn công trong tương lai nhưng chưa được sử dụng. Một ví dụ cơ bản xảy ra khá thường xuyên: chúng tôi tìm thấy một trang web lừa đảo trên máy chủ chỉ có 5 trang web. Bằng cách kiểm tra từng trang, chúng tôi tìm thấy nội dung lừa đảo trên các trang web khác, nghĩa là chúng tôi có thể chặn 5 thay vì 1.

Tìm kiếm phụ trợ

Quá trình này là cần thiết để xác định nơi máy chủ độc hại thực sự cư trú.
99% cửa hàng thẻ, diễn đàn hacker, nhiều tài nguyên lừa đảo và các máy chủ độc hại khác đều ẩn đằng sau cả máy chủ proxy của chính họ và proxy của các dịch vụ hợp pháp, chẳng hạn như Cloudflare. Kiến thức về chương trình phụ trợ thực sự rất quan trọng đối với các cuộc điều tra: nhà cung cấp dịch vụ lưu trữ mà máy chủ có thể bị chiếm giữ sẽ được biết đến và có thể xây dựng kết nối với các dự án độc hại khác.

Ví dụ: bạn có một trang web lừa đảo để thu thập dữ liệu thẻ ngân hàng phân giải theo địa chỉ IP 11.11.11.11 và một địa chỉ cửa hàng thẻ phân giải thành địa chỉ IP 22.22.22.22. Trong quá trình phân tích, có thể cả trang web lừa đảo và cửa hàng bán thẻ đều có một địa chỉ IP phụ trợ chung, chẳng hạn như 33.33.33.33. Kiến thức này cho phép chúng tôi xây dựng mối liên hệ giữa các cuộc tấn công lừa đảo và cửa hàng bán thẻ nơi dữ liệu thẻ ngân hàng có thể được bán.

Tương quan sự kiện

Khi bạn có hai trình kích hoạt khác nhau (giả sử trên IDS) với phần mềm độc hại khác nhau và các máy chủ khác nhau để kiểm soát cuộc tấn công, bạn sẽ coi chúng là hai sự kiện độc lập. Nhưng nếu có sự kết nối tốt giữa các cơ sở hạ tầng độc hại thì rõ ràng đây không phải là các cuộc tấn công khác nhau mà là các giai đoạn của một cuộc tấn công nhiều giai đoạn phức tạp hơn. Và nếu một trong các sự kiện đã được quy cho bất kỳ nhóm kẻ tấn công nào, thì sự kiện thứ hai cũng có thể được quy cho cùng một nhóm. Tất nhiên, quy trình phân bổ phức tạp hơn nhiều, vì vậy hãy coi đây là một ví dụ đơn giản.

Làm giàu chỉ số

Chúng tôi sẽ không chú ý nhiều đến điều này vì đây là trường hợp phổ biến nhất khi sử dụng biểu đồ trong an ninh mạng: bạn đưa ra một chỉ báo làm đầu vào và khi đầu ra, bạn nhận được một loạt các chỉ báo liên quan.

Nhận dạng mẫu

Xác định các mẫu là điều cần thiết để săn bắn hiệu quả. Đồ thị cho phép bạn không chỉ tìm thấy các yếu tố liên quan mà còn xác định các thuộc tính chung đặc trưng của một nhóm tin tặc cụ thể. Kiến thức về các đặc điểm độc đáo như vậy cho phép bạn nhận ra cơ sở hạ tầng của kẻ tấn công ngay cả ở giai đoạn chuẩn bị và không có bằng chứng xác nhận cuộc tấn công, chẳng hạn như email lừa đảo hoặc phần mềm độc hại.

Tại sao chúng tôi tạo biểu đồ mạng của riêng mình?

Một lần nữa, chúng tôi đã xem xét các giải pháp từ các nhà cung cấp khác nhau trước khi đi đến kết luận rằng chúng tôi cần phát triển công cụ của riêng mình để có thể làm được điều mà không sản phẩm hiện tại nào có thể làm được. Phải mất vài năm để tạo ra nó, trong thời gian đó chúng tôi đã thay đổi nó hoàn toàn nhiều lần. Tuy nhiên, bất chấp thời gian phát triển kéo dài, chúng tôi vẫn chưa tìm thấy một chất tương tự nào có thể đáp ứng yêu cầu của chúng tôi. Bằng cách sử dụng sản phẩm của chính mình, cuối cùng chúng tôi đã có thể giải quyết được hầu hết các vấn đề mà chúng tôi phát hiện ra trong các biểu đồ mạng hiện có. Dưới đây chúng tôi sẽ xem xét các vấn đề này một cách chi tiết:

vấn đề
phán quyết

Thiếu nhà cung cấp với các bộ sưu tập dữ liệu khác nhau: tên miền, DNS thụ động, SSL thụ động, bản ghi DNS, cổng mở, dịch vụ chạy trên cổng, tệp tương tác với tên miền và địa chỉ IP. Giải trình. Thông thường, các nhà cung cấp cung cấp các loại dữ liệu riêng biệt và để có được bức tranh đầy đủ, bạn cần mua đăng ký từ mọi người. Mặc dù vậy, không phải lúc nào cũng có thể lấy được tất cả dữ liệu: một số nhà cung cấp SSL thụ động chỉ cung cấp dữ liệu về chứng chỉ do CA đáng tin cậy cấp và mức độ bao phủ chứng chỉ tự ký của họ cực kỳ kém. Những người khác cũng cung cấp dữ liệu bằng chứng chỉ tự ký nhưng chỉ thu thập dữ liệu từ các cổng tiêu chuẩn.
Chúng tôi đã tự mình thu thập tất cả các bộ sưu tập trên. Ví dụ: để thu thập dữ liệu về chứng chỉ SSL, chúng tôi đã viết dịch vụ riêng của mình để thu thập chúng từ các CA đáng tin cậy và bằng cách quét toàn bộ không gian IPv4. Chứng chỉ được thu thập không chỉ từ IP mà còn từ tất cả các tên miền và tên miền phụ từ cơ sở dữ liệu của chúng tôi: nếu bạn có tên miền example.com và tên miền phụ của nó www.example.com và tất cả đều phân giải thành IP 1.1.1.1, sau đó khi bạn cố gắng lấy chứng chỉ SSL từ cổng 443 trên IP, tên miền và tên miền phụ của nó, bạn có thể nhận được ba kết quả khác nhau. Để thu thập dữ liệu trên các cổng mở và các dịch vụ đang chạy, chúng tôi phải tạo hệ thống quét phân tán của riêng mình vì các dịch vụ khác thường có địa chỉ IP của máy chủ quét của họ nằm trong “danh sách đen”. Các máy chủ quét của chúng tôi cũng nằm trong danh sách đen, nhưng kết quả phát hiện các dịch vụ chúng tôi cần cao hơn so với những người chỉ quét càng nhiều cổng càng tốt và bán quyền truy cập vào dữ liệu này.

Thiếu quyền truy cập vào toàn bộ cơ sở dữ liệu lịch sử. Giải trình. Mọi nhà cung cấp thông thường đều có lịch sử tích lũy tốt, nhưng vì lý do tự nhiên, chúng tôi, với tư cách là khách hàng, không thể truy cập vào tất cả dữ liệu lịch sử. Những thứ kia. Bạn có thể lấy toàn bộ lịch sử của một bản ghi, chẳng hạn như theo tên miền hoặc địa chỉ IP, nhưng bạn không thể xem lịch sử của mọi thứ - và nếu không có điều này, bạn không thể xem được bức tranh đầy đủ.
Để thu thập càng nhiều hồ sơ lịch sử về tên miền càng tốt, chúng tôi đã mua nhiều cơ sở dữ liệu khác nhau, phân tích nhiều tài nguyên mở có lịch sử này (thật tốt là có rất nhiều trong số đó) và thương lượng với các nhà đăng ký tên miền. Tất nhiên, tất cả các bản cập nhật cho bộ sưu tập của chúng tôi đều được lưu giữ với lịch sử sửa đổi đầy đủ.

Tất cả các giải pháp hiện có đều cho phép bạn xây dựng biểu đồ theo cách thủ công. Giải trình. Giả sử bạn đã mua nhiều đăng ký từ tất cả các nhà cung cấp dữ liệu có thể (thường được gọi là "người làm giàu"). Khi cần xây dựng một biểu đồ, bạn “ra tay” ra lệnh xây dựng từ phần tử kết nối mong muốn, sau đó chọn những phần tử cần thiết từ các phần tử xuất hiện và đưa ra lệnh để hoàn thành các kết nối từ chúng, v.v. Trong trường hợp này, trách nhiệm về việc đồ thị sẽ được xây dựng tốt như thế nào hoàn toàn thuộc về người đó.
Chúng tôi đã tự động xây dựng đồ thị. Những thứ kia. nếu bạn cần xây dựng biểu đồ thì các kết nối từ phần tử đầu tiên sẽ được tạo tự động, sau đó từ tất cả các phần tử tiếp theo cũng vậy. Chuyên gia chỉ cho biết độ sâu mà biểu đồ cần được xây dựng. Quá trình tự động hoàn thành biểu đồ rất đơn giản, nhưng các nhà cung cấp khác không triển khai nó vì nó tạo ra một số lượng lớn kết quả không liên quan và chúng tôi cũng phải tính đến nhược điểm này (xem bên dưới).

Nhiều kết quả không liên quan là một vấn đề với tất cả các biểu đồ phần tử mạng. Giải trình. Ví dụ: một “miền xấu” (tham gia vào một cuộc tấn công) được liên kết với một máy chủ có 10 miền khác được liên kết với nó trong 500 năm qua. Khi thêm thủ công hoặc tự động xây dựng biểu đồ, tất cả 500 miền này cũng sẽ xuất hiện trên biểu đồ, mặc dù chúng không liên quan đến cuộc tấn công. Hoặc, ví dụ: bạn kiểm tra chỉ báo IP từ báo cáo bảo mật của nhà cung cấp. Thông thường, những báo cáo như vậy được công bố với độ trễ đáng kể và thường kéo dài một năm hoặc hơn. Rất có thể, tại thời điểm bạn đọc báo cáo, máy chủ có địa chỉ IP này đã được thuê cho những người khác có kết nối khác và việc xây dựng biểu đồ sẽ lại khiến bạn nhận được các kết quả không liên quan.
Chúng tôi đã đào tạo hệ thống để xác định các yếu tố không liên quan bằng cách sử dụng logic tương tự như các chuyên gia của chúng tôi đã làm theo cách thủ công. Ví dụ: bạn đang kiểm tra một tên miền xấu example.com, tên miền này hiện phân giải thành IP 11.11.11.11 và một tháng trước - thành IP 22.22.22.22. Ngoài tên miền example.com, IP 11.11.11.11 cũng được liên kết với example.ru và IP 22.22.22.22 được liên kết với 25 nghìn tên miền khác. Hệ thống, giống như một người, hiểu rằng 11.11.11.11 rất có thể là một máy chủ chuyên dụng và vì miền example.ru có cách đánh vần tương tự như example.com, nên có khả năng cao là chúng được kết nối và phải nằm trên đồ thị; nhưng IP 22.22.22.22 thuộc về Shared Hosting nên tất cả các miền của nó không cần đưa vào biểu đồ trừ khi có các kết nối khác cho thấy một trong 25 nghìn miền này cũng cần được đưa vào (ví dụ: example.net) . Trước khi hệ thống hiểu rằng các kết nối cần phải bị phá vỡ và một số phần tử không được di chuyển vào biểu đồ, hệ thống sẽ tính đến nhiều thuộc tính của các phần tử và cụm mà các phần tử này được kết hợp vào, cũng như độ mạnh của các kết nối hiện tại. Ví dụ: nếu chúng ta có một cụm nhỏ (50 phần tử) trên biểu đồ, bao gồm một miền xấu và một cụm lớn khác (5 nghìn phần tử) và cả hai cụm được kết nối bằng một kết nối (đường) có cường độ (trọng lượng) rất thấp , khi đó kết nối như vậy sẽ bị ngắt và các phần tử trong cụm lớn sẽ bị xóa. Nhưng nếu có nhiều kết nối giữa các cụm nhỏ và lớn và sức mạnh của chúng tăng dần thì trong trường hợp này kết nối sẽ không bị đứt và các phần tử cần thiết từ cả hai cụm sẽ vẫn còn trên biểu đồ.

Khoảng thời gian sở hữu máy chủ và tên miền không được tính đến. Giải trình. “Miền xấu” sớm hay muộn sẽ hết hạn và được mua lại vì mục đích xấu hoặc hợp pháp. Ngay cả các máy chủ lưu trữ chống đạn cũng được nhiều tin tặc khác nhau thuê, vì vậy điều quan trọng là phải biết và tính đến khoảng thời gian mà một miền/máy chủ cụ thể nằm dưới sự kiểm soát của một chủ sở hữu. Chúng ta thường gặp phải tình trạng máy chủ có IP 11.11.11.11 hiện được sử dụng làm C&C cho bot ngân hàng và cách đây 2 tháng đã bị Ransomware kiểm soát. Nếu chúng tôi xây dựng kết nối mà không tính đến khoảng thời gian sở hữu, thì có vẻ như có mối liên hệ giữa chủ sở hữu mạng botnet ngân hàng và phần mềm ransomware, mặc dù trên thực tế là không có. Trong công việc của chúng tôi, một lỗi như vậy là nghiêm trọng.
Chúng tôi đã dạy hệ thống cách xác định khoảng thời gian sở hữu. Đối với các miền, điều này tương đối đơn giản, vì whois thường chứa ngày bắt đầu và ngày hết hạn đăng ký và khi có lịch sử đầy đủ về các thay đổi của whois thì rất dễ xác định các khoảng thời gian. Khi đăng ký của một miền chưa hết hạn nhưng quyền quản lý miền đó đã được chuyển cho chủ sở hữu khác thì miền đó cũng có thể bị theo dõi. Không có vấn đề như vậy đối với chứng chỉ SSL vì chúng được cấp một lần và không được gia hạn hoặc chuyển nhượng. Nhưng với chứng chỉ tự ký, bạn không thể tin cậy vào ngày được chỉ định trong thời hạn hiệu lực của chứng chỉ, vì bạn có thể tạo chứng chỉ SSL ngay hôm nay và chỉ định ngày bắt đầu của chứng chỉ từ năm 2010. Điều khó khăn nhất là xác định khoảng thời gian sở hữu máy chủ, vì chỉ có nhà cung cấp dịch vụ lưu trữ mới có ngày và thời gian thuê. Để xác định thời hạn sở hữu máy chủ, chúng tôi bắt đầu sử dụng kết quả quét cổng và tạo dấu vân tay của các dịch vụ đang chạy trên cổng. Sử dụng thông tin này, chúng tôi có thể biết khá chính xác thời điểm chủ sở hữu máy chủ thay đổi.

Ít kết nối. Giải trình. Ngày nay, việc có được danh sách miễn phí các miền có whois chứa một địa chỉ email cụ thể hoặc tìm ra tất cả các miền được liên kết với một địa chỉ IP cụ thể thậm chí không còn là vấn đề. Nhưng khi nói đến những hacker cố gắng hết sức để khó bị theo dõi, chúng ta cần thêm những thủ thuật để tìm ra những thuộc tính mới và xây dựng những kết nối mới.
Chúng tôi đã dành rất nhiều thời gian để nghiên cứu cách có thể trích xuất dữ liệu không có sẵn theo cách thông thường. Chúng tôi không thể mô tả ở đây cách thức hoạt động của nó vì những lý do rõ ràng, nhưng trong một số trường hợp nhất định, tin tặc khi đăng ký tên miền hoặc thuê và thiết lập máy chủ sẽ mắc lỗi khiến chúng tìm ra địa chỉ email, bí danh của hacker và địa chỉ phụ trợ. Bạn càng trích xuất được nhiều kết nối thì bạn càng có thể xây dựng được biểu đồ chính xác hơn.

Cách biểu đồ của chúng tôi hoạt động

Để bắt đầu sử dụng biểu đồ mạng, bạn cần nhập tên miền, địa chỉ IP, email hoặc dấu vân tay chứng chỉ SSL vào thanh tìm kiếm. Có ba điều kiện mà nhà phân tích có thể kiểm soát: thời gian, độ sâu bước và thanh toán bù trừ.

thời gian

Thời gian – ngày hoặc khoảng thời gian khi phần tử tìm kiếm được sử dụng cho mục đích xấu. Nếu bạn không chỉ định tham số này, hệ thống sẽ tự xác định khoảng thời gian sở hữu cuối cùng đối với tài nguyên này. Ví dụ: vào ngày 11 tháng XNUMX, Eset đã xuất bản báo cáo về cách Buhtrap sử dụng cách khai thác 0 ngày cho hoạt động gián điệp mạng. Có 6 chỉ số ở cuối báo cáo. Một trong số đó, Secure-Telemetry[.]net, đã được đăng ký lại vào ngày 16 tháng 16. Do đó, nếu bạn xây dựng biểu đồ sau ngày 126 tháng 69, bạn sẽ nhận được kết quả không liên quan. Nhưng nếu bạn cho biết rằng miền này đã được sử dụng trước ngày này thì biểu đồ bao gồm XNUMX miền mới, XNUMX địa chỉ IP không được liệt kê trong báo cáo Eset:

• ukrfreshnews[.]com
• unian-search[.]com
• vesti-world[.]thông tin
• runnewsmeta[.]com
• foxnewsmeta[.]biz
• thông tin sobesednik-meta[.]
• rian-ua[.]net
• vv

Ngoài các chỉ báo mạng, chúng tôi ngay lập tức tìm thấy các kết nối với các tệp độc hại có kết nối với cơ sở hạ tầng này và các thẻ cho chúng tôi biết rằng Meterpreter và AZORult đã được sử dụng.

Điều tuyệt vời là bạn nhận được kết quả này trong vòng một giây và bạn không cần phải mất nhiều ngày để phân tích dữ liệu nữa. Tất nhiên, cách tiếp cận này đôi khi làm giảm đáng kể thời gian điều tra, điều này thường rất quan trọng.

Số bước hoặc độ sâu đệ quy mà biểu đồ sẽ được xây dựng

Theo mặc định, độ sâu là 3. Điều này có nghĩa là tất cả các phần tử liên quan trực tiếp sẽ được tìm thấy từ phần tử mong muốn, sau đó các kết nối mới sẽ được xây dựng từ mỗi phần tử mới đến các phần tử khác và các phần tử mới sẽ được tạo từ các phần tử mới từ phần tử cuối cùng. bước chân.

Hãy lấy một ví dụ không liên quan đến APT và việc khai thác 0 ngày. Gần đây, một trường hợp lừa đảo thú vị liên quan đến tiền điện tử đã được mô tả trên Habré. Báo cáo đề cập đến tên miền theycx[.]co, được những kẻ lừa đảo sử dụng để lưu trữ một trang web có mục đích trở thành Sàn giao dịch tiền xu khai thác và tra cứu qua điện thoại[.]xyz để thu hút lưu lượng truy cập.

Từ mô tả, có thể thấy rõ rằng kế hoạch này yêu cầu cơ sở hạ tầng khá lớn để thu hút lưu lượng truy cập đến các tài nguyên lừa đảo. Chúng tôi quyết định xem xét cơ sở hạ tầng này bằng cách xây dựng biểu đồ theo 4 bước. Đầu ra là một biểu đồ có 230 tên miền và 39 địa chỉ IP. Tiếp theo, chúng tôi chia miền thành 2 loại: những miền tương tự như dịch vụ làm việc với tiền điện tử và những miền nhằm mục đích thúc đẩy lưu lượng truy cập thông qua dịch vụ xác minh điện thoại:

Liên quan đến tiền điện tử
Liên kết với dịch vụ bấm lỗ điện thoại

người giữ tiền xu[.]cc
bản ghi người gọi[.]site.

mcxwallet[.]co
bản ghi điện thoại[.]không gian

btcnoise[.]com
fone-uncover[.]xyz

đồng hồ khai thác tiền điện tử[.]
thông tin khám phá số[.]

Vệ sinh

Theo mặc định, tùy chọn “Dọn dẹp đồ thị” được bật và tất cả các phần tử không liên quan sẽ bị xóa khỏi biểu đồ. Nhân tiện, nó đã được sử dụng trong tất cả các ví dụ trước đó. Tôi thấy trước một câu hỏi tự nhiên: làm thế nào chúng ta có thể đảm bảo rằng điều gì đó quan trọng không bị xóa? Tôi sẽ trả lời: đối với những nhà phân tích thích xây dựng biểu đồ bằng tay, tính năng tự động làm sạch có thể bị tắt và số bước có thể được chọn = 1. Tiếp theo, nhà phân tích sẽ có thể hoàn thành biểu đồ từ các phần tử anh ta cần và xóa các phần tử khỏi đồ thị không liên quan đến nhiệm vụ.

Đã có trên biểu đồ, lịch sử thay đổi trong whois, DNS, cũng như các cổng và dịch vụ mở chạy trên chúng sẽ có sẵn cho nhà phân tích.

Lừa đảo tài chính

Chúng tôi đã điều tra hoạt động của một nhóm APT, trong nhiều năm đã thực hiện các cuộc tấn công lừa đảo nhằm vào khách hàng của nhiều ngân hàng khác nhau ở các khu vực khác nhau. Đặc điểm đặc trưng của nhóm này là việc đăng ký tên miền rất giống với tên của các ngân hàng thật và hầu hết các trang web lừa đảo đều có thiết kế giống nhau, điểm khác biệt duy nhất là ở tên ngân hàng và logo của chúng.

Trong trường hợp này, phân tích biểu đồ tự động đã giúp chúng tôi rất nhiều. Lấy một trong các tên miền của họ - lloydsbnk-uk[.]com, trong vài giây, chúng tôi đã xây dựng một biểu đồ có độ sâu 3 bước, xác định hơn 250 tên miền độc hại đã được nhóm này sử dụng từ năm 2015 và vẫn tiếp tục được sử dụng . Một số miền này đã được các ngân hàng mua lại, nhưng hồ sơ lịch sử cho thấy chúng đã được đăng ký trước đó cho những kẻ tấn công.

Để rõ ràng, hình vẽ hiển thị một biểu đồ có độ sâu 2 bước.

Đáng chú ý là vào năm 2019, những kẻ tấn công đã thay đổi phần nào chiến thuật của chúng và bắt đầu đăng ký không chỉ tên miền của các ngân hàng để lưu trữ web lừa đảo mà còn cả tên miền của các công ty tư vấn khác nhau để gửi email lừa đảo. Ví dụ: các tên miền swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.

băng đảng coban

Vào tháng 2018 năm XNUMX, nhóm hacker Cobalt, chuyên tấn công có chủ đích vào các ngân hàng, đã thay mặt Ngân hàng Quốc gia Kazakhstan thực hiện một chiến dịch gửi thư.

Các bức thư chứa liên kết đến hXXps://nationalbank.bz/Doc/Prikaz.doc. Tài liệu đã tải xuống chứa macro khởi chạy Powershell, macro này sẽ cố tải và thực thi tệp từ hXXp://wateroilclub.com/file/dwm.exe trong %Temp%einmrmdmy.exe. Tệp %Temp%einmrmdmy.exe hay còn gọi là dwm.exe là một trình tạo giai đoạn CobInt được định cấu hình để tương tác với máy chủ hXXp://admvmsopp.com/rilruietguadvtoefmuy.

Hãy tưởng tượng bạn không thể nhận những email lừa đảo này và thực hiện phân tích đầy đủ các tệp độc hại. Biểu đồ cho miền độc hại nationalbank[.]bz ngay lập tức hiển thị các kết nối với các miền độc hại khác, gán nó cho một nhóm và hiển thị những tệp nào đã được sử dụng trong cuộc tấn công.

Hãy lấy địa chỉ IP 46.173.219[.]152 từ biểu đồ này và xây dựng biểu đồ từ đó trong một lần và tắt tính năng dọn dẹp. Có 40 tên miền được liên kết với nó, ví dụ: bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

Đánh giá theo tên miền, có vẻ như chúng được sử dụng trong các âm mưu lừa đảo, nhưng thuật toán dọn dẹp nhận ra rằng chúng không liên quan đến cuộc tấn công này và không đưa chúng vào biểu đồ, điều này giúp đơn giản hóa đáng kể quá trình phân tích và phân bổ.

Nếu bạn xây dựng lại biểu đồ bằng cách sử dụng nationalbank[.]bz nhưng vô hiệu hóa thuật toán làm sạch biểu đồ thì nó sẽ chứa hơn 500 phần tử, hầu hết trong số đó không liên quan gì đến nhóm Cobalt hoặc các cuộc tấn công của họ. Một ví dụ về biểu đồ như vậy trông như thế nào được đưa ra dưới đây:

Kết luận

Sau nhiều năm tinh chỉnh, thử nghiệm trong các cuộc điều tra thực tế, nghiên cứu mối đe dọa và săn lùng những kẻ tấn công, chúng tôi không chỉ tạo ra được một công cụ độc đáo mà còn thay đổi được thái độ của các chuyên gia trong công ty đối với nó. Ban đầu, các chuyên gia kỹ thuật muốn kiểm soát hoàn toàn quá trình xây dựng đồ thị. Thuyết phục họ rằng việc xây dựng đồ thị tự động có thể làm điều này tốt hơn một người có nhiều năm kinh nghiệm là điều vô cùng khó khăn. Mọi thứ đều được quyết định theo thời gian và nhiều lần kiểm tra “thủ công” về kết quả mà biểu đồ tạo ra. Giờ đây, các chuyên gia của chúng tôi không chỉ tin tưởng vào hệ thống mà còn sử dụng kết quả mà hệ thống thu được trong công việc hàng ngày của họ. Công nghệ này hoạt động bên trong mỗi hệ thống của chúng tôi và cho phép chúng tôi xác định tốt hơn mọi loại mối đe dọa. Giao diện phân tích biểu đồ thủ công được tích hợp trong tất cả các sản phẩm của Group-IB và mở rộng đáng kể khả năng săn lùng tội phạm mạng. Điều này được xác nhận bởi các đánh giá của nhà phân tích từ khách hàng của chúng tôi. Và đến lượt chúng tôi, tiếp tục làm phong phú biểu đồ bằng dữ liệu và nghiên cứu các thuật toán mới sử dụng trí tuệ nhân tạo để tạo ra biểu đồ mạng chính xác nhất.

Nguồn: www.habr.com