Ṣiṣayẹwo awọn ọran ti o ni ibatan si aṣiri-ararẹ, awọn botnets, awọn iṣowo arekereke ati awọn ẹgbẹ agbonaeburuwole ọdaràn, awọn amoye Ẹgbẹ-IB ti nlo itupalẹ awọn aworan fun ọpọlọpọ ọdun lati ṣe idanimọ awọn iru awọn asopọ oriṣiriṣi. Awọn ọran oriṣiriṣi ni awọn eto data tiwọn, awọn algoridimu tiwọn fun idamo awọn asopọ, ati awọn atọkun ti a ṣe fun awọn iṣẹ ṣiṣe kan pato. Gbogbo awọn irinṣẹ wọnyi jẹ idagbasoke inu nipasẹ Ẹgbẹ-IB ati pe o wa fun awọn oṣiṣẹ wa nikan.
Iṣiro ayaworan ti awọn amayederun nẹtiwọki (nẹtiwọki awonya) di ohun elo inu akọkọ ti a kọ sinu gbogbo awọn ọja ti gbogbo eniyan ti ile-iṣẹ naa. Ṣaaju ṣiṣẹda aworan nẹtiwọọki wa, a ṣe itupalẹ ọpọlọpọ awọn idagbasoke ti o jọra lori ọja ati pe ko rii ọja kan ti o ni itẹlọrun awọn iwulo tiwa. Ninu nkan yii a yoo sọrọ nipa bii a ṣe ṣẹda aworan nẹtiwọọki, bawo ni a ṣe lo ati awọn iṣoro wo ni a pade.
Dmitry Volkov, CTO Group-IB ati ori ti oye cyber
Ohun ti Group-IB nẹtiwọki awonya le ṣe?
Awọn iwadii
Lati ipilẹṣẹ Ẹgbẹ-IB ni ọdun 2003 titi di isisiyi, idamọ, didin ati kiko awọn ọdaràn cyber wa si idajọ ti jẹ pataki pataki ninu iṣẹ wa. Kii ṣe iwadii cyberattack kan ṣoṣo ti o pari laisi itupalẹ awọn amayederun nẹtiwọọki ti awọn ikọlu naa. Ni ibẹrẹ ti irin-ajo wa, o jẹ kuku “iṣẹ afọwọṣe” lati wa awọn ibatan ti o le ṣe iranlọwọ ni idamọ awọn ọdaràn: alaye nipa awọn orukọ ìkápá, adirẹsi IP, awọn ika ọwọ oni-nọmba ti awọn olupin, ati bẹbẹ lọ.
Pupọ awọn ikọlu gbiyanju lati ṣe bi ailorukọ bi o ti ṣee lori nẹtiwọọki. Sibẹsibẹ, gẹgẹbi gbogbo eniyan, wọn ṣe awọn aṣiṣe. Ibi-afẹde akọkọ ti iru itupalẹ ni lati wa awọn iṣẹ akanṣe itan-akọọlẹ “funfun” tabi “grẹy” ti awọn ikọlu ti o ni awọn ikorita pẹlu awọn amayederun irira ti a lo ninu iṣẹlẹ lọwọlọwọ ti a n ṣe iwadii. Ti o ba ṣee ṣe lati rii “awọn iṣẹ akanṣe funfun”, lẹhinna wiwa ikọlu naa, gẹgẹbi ofin, di iṣẹ-ṣiṣe ti ko ṣe pataki. Ninu ọran ti awọn “grẹy”, wiwa gba akoko ati igbiyanju diẹ sii, nitori awọn oniwun wọn gbiyanju lati ṣe ailorukọ tabi tọju data iforukọsilẹ, ṣugbọn awọn aye wa ga pupọ. Gẹgẹbi ofin, ni ibẹrẹ ti awọn iṣẹ ọdaràn wọn, awọn ikọlu ko san ifojusi si aabo ti ara wọn ati ṣe awọn aṣiṣe diẹ sii, nitorinaa ti o jinlẹ ti a le lọ sinu itan naa, awọn aye ti o ga julọ ti iwadii aṣeyọri. Iyẹn ni idi ti aworan nẹtiwọọki kan pẹlu itan-akọọlẹ to dara jẹ ẹya pataki pupọ julọ ti iru iwadii kan. Ni irọrun, data itan ti o jinlẹ ti ile-iṣẹ kan ni, iwọn aworan rẹ dara julọ. Jẹ ki a sọ pe itan-akọọlẹ ọdun 5 le ṣe iranlọwọ lati yanju, ni ipo, 1-2 ninu awọn odaran 10, ati itan-akọọlẹ ọdun 15 fun ni aye lati yanju gbogbo mẹwa.
Ararẹ ati Iwari itanjẹ
Ni gbogbo igba ti a ba gba ọna asopọ ifura si aṣiri, arekereke tabi awọn orisun pirated, a ṣe agberaya aworan kan ti awọn orisun nẹtiwọọki ti o ni ibatan ati ṣayẹwo gbogbo awọn agbalejo ti o rii fun akoonu ti o jọra. Eyi n gba ọ laaye lati wa awọn oju opo wẹẹbu aṣiri atijọ ti o ṣiṣẹ ṣugbọn aimọ, bakanna bi awọn tuntun patapata ti o ti pese sile fun awọn ikọlu ọjọ iwaju, ṣugbọn ko tii lo. Apeere alakọbẹrẹ ti o waye ni igbagbogbo: a rii aaye ararẹ lori olupin pẹlu awọn aaye 5 nikan. Nipa ṣayẹwo ọkọọkan wọn, a rii akoonu ararẹ lori awọn aaye miiran, eyiti o tumọ si pe a le dina 5 dipo 1.
Wa fun backends
Ilana yii jẹ pataki lati pinnu ibi ti olupin irira n gbe.
99% ti awọn ile itaja kaadi, awọn apejọ agbonaeburuwole, ọpọlọpọ awọn orisun aṣiri ati awọn olupin irira ni o farapamọ lẹhin mejeeji awọn olupin aṣoju tiwọn ati awọn aṣoju ti awọn iṣẹ abẹlẹ, fun apẹẹrẹ, Cloudflare. Imọ nipa ẹhin gidi jẹ pataki pupọ fun awọn iwadii: olupese alejo gbigba lati eyiti olupin le gba di mimọ, ati pe o ṣee ṣe lati kọ awọn asopọ pẹlu awọn iṣẹ irira miiran.
Fun apẹẹrẹ, o ni aaye aṣiri-ararẹ fun gbigba data kaadi banki ti o pinnu si adiresi IP 11.11.11.11, ati adirẹsi kaadi kaadi ti o pinnu si adiresi IP 22.22.22.22. Lakoko itupalẹ, o le jade pe aaye ararẹ mejeeji ati kaadi kaadi ni adiresi IP ẹhin ti o wọpọ, fun apẹẹrẹ, 33.33.33.33. Imọ yii gba wa laaye lati kọ asopọ laarin awọn ikọlu ararẹ ati ile itaja kaadi kan nibiti data kaadi banki le ta.
Ibaṣepọ iṣẹlẹ
Nigbati o ba ni awọn okunfa oriṣiriṣi meji (jẹ ki a sọ lori IDS) pẹlu malware oriṣiriṣi ati awọn olupin oriṣiriṣi lati ṣakoso ikọlu, iwọ yoo tọju wọn bi awọn iṣẹlẹ ominira meji. Ṣugbọn ti o ba wa ni asopọ ti o dara laarin awọn amayederun irira, lẹhinna o han gbangba pe iwọnyi kii ṣe awọn ikọlu oriṣiriṣi, ṣugbọn awọn ipele ti ọkan, ikọlu ipele pupọ ti eka sii. Ati pe ti ọkan ninu awọn iṣẹlẹ ba ti sọ tẹlẹ si ẹgbẹ eyikeyi ti awọn ikọlu, lẹhinna keji tun le jẹ ika si ẹgbẹ kanna. Nitoribẹẹ, ilana iyasọtọ jẹ eka pupọ, nitorinaa tọju eyi bi apẹẹrẹ ti o rọrun.
Imudara Atọka
A kii yoo san ifojusi pupọ si eyi, nitori eyi ni oju iṣẹlẹ ti o wọpọ julọ fun lilo awọn aworan ni cybersecurity: o fun atọka kan bi titẹ sii, ati bi iṣelọpọ o gba ọpọlọpọ awọn afihan ti o jọmọ.
Awọn ilana idamo
Idanimọ awọn ilana jẹ pataki fun ọdẹ ti o munadoko. Awọn aworan gba ọ laaye kii ṣe lati wa awọn eroja ti o jọmọ nikan, ṣugbọn tun ṣe idanimọ awọn ohun-ini ti o wọpọ ti o jẹ ihuwasi ti ẹgbẹ kan ti awọn olosa. Imọ iru awọn abuda alailẹgbẹ gba ọ laaye lati ṣe idanimọ awọn amayederun ikọlu paapaa ni ipele igbaradi ati laisi ẹri ti o jẹrisi ikọlu naa, gẹgẹbi awọn imeeli aṣiri tabi malware.
Kini idi ti a ṣẹda aworan nẹtiwọọki tiwa?
Lẹẹkansi, a wo awọn solusan lati ọdọ awọn olutaja oriṣiriṣi ṣaaju ki a to pinnu pe a nilo lati ṣe agbekalẹ ọpa ti ara wa ti o le ṣe nkan ti ko si ọja to wa tẹlẹ le ṣe. O gba ọpọlọpọ ọdun lati ṣẹda rẹ, lakoko eyiti a yipada patapata ni ọpọlọpọ igba. Ṣugbọn, laibikita akoko idagbasoke gigun, a ko tii rii afọwọṣe kan ṣoṣo ti yoo ni itẹlọrun awọn ibeere wa. Lilo ọja tiwa, a ni anfani lati yanju fere gbogbo awọn iṣoro ti a ṣe awari ni awọn aworan nẹtiwọọki ti o wa. Ni isalẹ a yoo ṣe akiyesi awọn iṣoro wọnyi ni awọn alaye:
Isoro
Ipinnu
Aini olupese pẹlu awọn akojọpọ oriṣiriṣi ti data: awọn ibugbe, DNS palolo, SSL palolo, awọn igbasilẹ DNS, awọn ebute oko oju omi ṣiṣi, awọn iṣẹ ṣiṣe lori awọn ebute oko oju omi, awọn faili ti n ṣepọ pẹlu awọn orukọ agbegbe ati awọn adirẹsi IP. Alaye. Ni deede, awọn olupese pese awọn oriṣi data lọtọ, ati lati gba aworan ni kikun, o nilo lati ra awọn ṣiṣe alabapin lati ọdọ gbogbo eniyan. Paapaa nitorinaa, kii ṣe nigbagbogbo ṣee ṣe lati gba gbogbo data naa: diẹ ninu awọn olupese SSL palolo pese data nikan nipa awọn iwe-ẹri ti a fun ni nipasẹ awọn CA ti o ni igbẹkẹle, ati agbegbe ti awọn iwe-ẹri ti ara ẹni jẹ talaka pupọ. Awọn miiran tun pese data nipa lilo awọn iwe-ẹri ti ara ẹni, ṣugbọn gba nikan lati awọn ebute oko oju omi boṣewa.
A kojọ gbogbo awọn akojọpọ ti o wa loke funrararẹ. Fun apẹẹrẹ, lati gba data nipa awọn iwe-ẹri SSL, a kowe iṣẹ tiwa ti o gba wọn mejeeji lati awọn CAs ti o gbẹkẹle ati nipa ṣiṣayẹwo gbogbo aaye IPv4. A ko gba awọn iwe-ẹri kii ṣe lati IP nikan, ṣugbọn tun lati gbogbo awọn ibugbe ati awọn subdomains lati ibi ipamọ data wa: ti o ba ni apere-ašẹ naa.com ati subdomain rẹ ati pe gbogbo wọn pinnu si IP 1.1.1.1, lẹhinna nigbati o ba gbiyanju lati gba ijẹrisi SSL lati ibudo 443 lori IP, agbegbe ati subdomain rẹ, o le gba awọn abajade oriṣiriṣi mẹta. Lati gba data lori awọn ebute oko oju omi ti o ṣii ati awọn iṣẹ ṣiṣe, a ni lati ṣẹda eto ọlọjẹ ti a pin kaakiri, nitori awọn iṣẹ miiran nigbagbogbo ni awọn adirẹsi IP ti awọn olupin ọlọjẹ wọn lori “awọn atokọ dudu.” Awọn olupin ti n ṣayẹwo wa tun pari lori awọn akojọ dudu, ṣugbọn abajade wiwa awọn iṣẹ ti a nilo ga ju ti awọn ti o ṣawari bi ọpọlọpọ awọn ebute oko oju omi bi o ti ṣee ṣe ati ta wiwọle si data yii.
Aini wiwọle si gbogbo database ti awọn igbasilẹ itan. Alaye. Gbogbo olupese deede ni itan akojo to dara, ṣugbọn fun awọn idi ti ara awa, gẹgẹbi alabara, ko le ni iraye si gbogbo data itan. Awon. O le gba gbogbo itan-akọọlẹ fun igbasilẹ kan, fun apẹẹrẹ, nipasẹ agbegbe tabi adiresi IP, ṣugbọn o ko le rii itan-akọọlẹ ohun gbogbo - ati laisi eyi o ko le rii aworan ni kikun.
Lati gba ọpọlọpọ awọn igbasilẹ itan lori awọn ibugbe bi o ti ṣee ṣe, a ra ọpọlọpọ awọn apoti isura infomesonu, ṣe apejuwe ọpọlọpọ awọn orisun ṣiṣi ti o ni itan-akọọlẹ yii (o dara pe ọpọlọpọ wọn wa), ati idunadura pẹlu awọn iforukọsilẹ orukọ-ašẹ. Gbogbo awọn imudojuiwọn si awọn ikojọpọ tiwa jẹ dajudaju tọju pẹlu itan-akọọlẹ atunyẹwo ni kikun.
Gbogbo awọn solusan ti o wa tẹlẹ gba ọ laaye lati kọ aworan kan pẹlu ọwọ. Alaye. Jẹ ki a sọ pe o ra ọpọlọpọ awọn ṣiṣe alabapin lati ọdọ gbogbo awọn olupese data ti o ṣee ṣe (eyiti a n pe ni “awọn oludaraya”). Nigbati o ba nilo lati kọ aworan kan, iwọ “awọn ọwọ” fun ni aṣẹ lati kọ lati ẹya asopọ ti o fẹ, lẹhinna yan awọn pataki lati awọn eroja ti o han ki o fun ni aṣẹ lati pari awọn asopọ lati ọdọ wọn, ati bẹbẹ lọ. Ni idi eyi, ojuse fun bawo ni a ṣe le ṣe iwọn aworan naa daradara wa pẹlu eniyan naa patapata.
A ṣe laifọwọyi ikole ti awọn aworan. Awon. ti o ba nilo lati kọ ayaworan kan, lẹhinna awọn asopọ lati ipin akọkọ jẹ itumọ laifọwọyi, lẹhinna lati gbogbo awọn atẹle, paapaa. Ọjọgbọn nikan tọkasi ijinle eyiti o nilo lati kọ awọnyaya naa. Ilana ti ipari awọn aworan laifọwọyi rọrun, ṣugbọn awọn olutaja miiran ko ṣe imuse nitori pe o ṣe agbejade nọmba nla ti awọn abajade ti ko ṣe pataki, ati pe a tun ni lati mu apadabọ yii sinu akọọlẹ (wo isalẹ).
Pupọ awọn abajade ti ko ṣe pataki jẹ iṣoro pẹlu gbogbo awọn aworan ipin nẹtiwọki. Alaye. Fun apẹẹrẹ, “agbegbe buburu” (kopa ninu ikọlu) ni nkan ṣe pẹlu olupin ti o ni awọn ibugbe miiran 10 ni nkan ṣe pẹlu rẹ ni awọn ọdun 500 sẹhin. Nigbati o ba n ṣafikun pẹlu ọwọ tabi ti n ṣe aworan kan laifọwọyi, gbogbo awọn ibugbe 500 wọnyi yẹ ki o tun han lori iyaya, botilẹjẹpe wọn ko ni ibatan si ikọlu naa. Tabi, fun apẹẹrẹ, o ṣayẹwo itọka IP lati ijabọ aabo ti olutaja. Ni deede, iru awọn ijabọ bẹẹ ni a tu silẹ pẹlu idaduro pataki ati igbagbogbo ni ọdun kan tabi diẹ sii. O ṣeese julọ, ni akoko ti o ka ijabọ naa, olupin ti o ni adiresi IP yii ti yalo tẹlẹ fun awọn eniyan miiran pẹlu awọn asopọ miiran, ati kikọ aworan kan yoo tun mu ki o gba awọn abajade ti ko ṣe pataki.
A ṣe ikẹkọ eto lati ṣe idanimọ awọn eroja ti ko ṣe pataki ni lilo ọgbọn kanna bi awọn amoye wa ṣe pẹlu ọwọ. Fun apẹẹrẹ, o n ṣayẹwo aaye buburu kan example.com, eyiti o pinnu bayi si IP 11.11.11.11, ati oṣu kan sẹhin - si IP 22.22.22.22. Ni afikun si awọn ašẹ example.com, IP 11.11.11.11 tun ni nkan ṣe pẹlu example.ru, ati IP 22.22.22.22 ni nkan ṣe pẹlu 25 ẹgbẹrun miiran ibugbe. Eto naa, bii eniyan, loye pe 11.11.11.11 le jẹ olupin igbẹhin, ati pe niwọn igba ti apẹẹrẹ.ru ašẹ jẹ iru ni sipeli si example.com, lẹhinna, pẹlu iṣeeṣe giga, wọn ti sopọ ati pe o yẹ ki o wa lori aworan atọka; ṣugbọn IP 22.22.22.22 jẹ ti alejo gbigba pinpin, nitorinaa gbogbo awọn ibugbe ko nilo lati wa ninu awọn aworan ayafi ti awọn asopọ miiran ti o fihan pe ọkan ninu awọn ibugbe 25 ẹgbẹrun tun nilo lati wa pẹlu (fun apẹẹrẹ, example.net) . Ṣaaju ki eto naa to loye pe awọn asopọ nilo lati fọ ati diẹ ninu awọn eroja ko gbe si iwọn, o ṣe akiyesi ọpọlọpọ awọn ohun-ini ti awọn eroja ati awọn iṣupọ sinu eyiti awọn eroja wọnyi ti papọ, ati agbara awọn asopọ lọwọlọwọ. Fun apẹẹrẹ, ti a ba ni iṣupọ kekere kan (awọn eroja 50) lori aworan, eyiti o pẹlu agbegbe buburu, ati iṣupọ nla miiran (awọn eroja ẹgbẹrun 5) ati awọn iṣupọ mejeeji ni asopọ nipasẹ asopọ (ila) pẹlu agbara kekere pupọ (iwuwo) , lẹhinna iru asopọ bẹ yoo fọ ati awọn eroja lati inu iṣupọ nla yoo yọ kuro. Ṣugbọn ti ọpọlọpọ awọn asopọ ba wa laarin awọn iṣupọ kekere ati nla ati pe agbara wọn pọ si ni diėdiė, lẹhinna ninu ọran yii asopọ naa kii yoo fọ ati awọn eroja pataki lati awọn iṣupọ mejeeji yoo wa lori aworan.
A ko ṣe akiyesi olupin ati aaye agbedemeji ibugbe. Alaye. “Awọn ibugbe buburu” yoo pẹ tabi ya pari ati ra lẹẹkansi fun awọn idi irira tabi ẹtọ. Paapaa awọn olupin alejo gbigba bulletproof ti wa ni iyalo si awọn olosa oriṣiriṣi, nitorinaa o ṣe pataki lati mọ ati ṣe akiyesi aarin aarin nigbati agbegbe kan / olupin kan wa labẹ iṣakoso oniwun kan. Nigbagbogbo a ba pade ipo kan nibiti olupin ti o ni IP 11.11.11.11 ti wa ni lilo bayi bi C&C fun bot ile-ifowopamọ, ati awọn oṣu 2 sẹhin o jẹ iṣakoso nipasẹ Ransomware. Ti a ba kọ asopọ kan lai ṣe akiyesi awọn aaye arin nini, yoo dabi pe asopọ kan wa laarin awọn oniwun ti botnet ile-ifowopamọ ati ransomware, botilẹjẹpe ni otitọ ko si. Ninu iṣẹ wa, iru aṣiṣe bẹ jẹ pataki.
A kọ eto lati pinnu awọn aaye arin nini. Fun awọn ibugbe eyi jẹ irọrun diẹ, nitori tani nigbagbogbo ni awọn ibẹrẹ iforukọsilẹ ati awọn ọjọ ipari ati, nigbati itan-akọọlẹ pipe ti awọn ayipada whois wa, o rọrun lati pinnu awọn aaye arin. Nigbati iforukọsilẹ agbegbe ko ba ti pari, ṣugbọn iṣakoso rẹ ti gbe lọ si awọn oniwun miiran, o tun le tọpinpin. Ko si iru iṣoro bẹ fun awọn iwe-ẹri SSL, nitori wọn ti funni ni ẹẹkan ati pe ko tunse tabi gbe. Ṣugbọn pẹlu awọn iwe-ẹri ti o fowo si ara ẹni, o ko le gbẹkẹle awọn ọjọ ti o pato ni akoko ifọwọsi ijẹrisi naa, nitori o le ṣe agbekalẹ ijẹrisi SSL kan loni, ati pato ọjọ ibẹrẹ ijẹrisi lati ọdun 2010. Ohun ti o nira julọ ni lati pinnu awọn aaye arin nini fun awọn olupin, nitori awọn olupese alejo gbigba nikan ni awọn ọjọ ati awọn akoko yiyalo. Lati pinnu akoko nini olupin, a bẹrẹ lati lo awọn abajade ti iṣayẹwo ibudo ati ṣiṣẹda awọn ika ọwọ ti awọn iṣẹ ṣiṣe lori awọn ibudo. Lilo alaye yii, a le sọ ni deede nigbati oniwun olupin naa yipada.
Awọn asopọ diẹ. Alaye. Ni ode oni, kii ṣe iṣoro paapaa lati gba atokọ ọfẹ ti awọn ibugbe ti whois ni adirẹsi imeeli kan pato, tabi lati wa gbogbo awọn agbegbe ti o ni nkan ṣe pẹlu adiresi IP kan pato. Ṣugbọn nigbati o ba wa si awọn olosa ti o ṣe ohun ti o dara julọ lati jẹ lile lati tọpa, a nilo awọn ẹtan afikun lati wa awọn ohun-ini titun ati kọ awọn asopọ tuntun.
A lo akoko pupọ lati ṣe iwadii bawo ni a ṣe le jade data ti ko si ni ọna aṣa. A ko le ṣe apejuwe nibi bi o ṣe n ṣiṣẹ fun awọn idi ti o han gbangba, ṣugbọn labẹ awọn ayidayida kan, awọn olutọpa, nigbati o ba forukọsilẹ awọn ibugbe tabi yiyalo ati ṣeto awọn olupin, ṣe awọn aṣiṣe ti o gba wọn laaye lati wa awọn adirẹsi imeeli, awọn aliases agbonaeburuwole, ati awọn adirẹsi afẹyinti. Awọn asopọ diẹ sii ti o jade, awọn aworan deede diẹ sii ti o le kọ.
Bawo ni awonya wa ṣiṣẹ
Lati bẹrẹ lilo awọn aworan netiwọki, o nilo lati tẹ agbegbe sii, adiresi IP, imeeli, tabi itẹka ijẹrisi SSL sinu ọpa wiwa. Awọn ipo mẹta wa ti oluyanju le ṣakoso: akoko, ijinle igbesẹ, ati imukuro.
Akoko
Akoko – ọjọ tabi aarin nigba ti a ti lo eroja ti a wa fun awọn idi irira. Ti o ko ba ṣe pato paramita yii, eto funrararẹ yoo pinnu aarin-ini to kẹhin fun orisun yii. Fun apẹẹrẹ, ni Oṣu Keje ọjọ 11, Eset ṣe atẹjade nipa bii Buhtrap ṣe nlo ilokulo ọjọ 0 fun amí cyber. Awọn itọkasi 6 wa ni ipari ijabọ naa. Ọkan ninu wọn, aabo-telemetry[.]net, ti tun forukọsilẹ ni Oṣu Keje ọjọ 16. Nitorinaa, ti o ba kọ aworan kan lẹhin Oṣu Keje ọjọ 16, iwọ yoo gba awọn abajade ti ko ṣe pataki. Ṣugbọn ti o ba fihan pe a ti lo agbegbe yii ṣaaju ọjọ yii, lẹhinna aworan naa pẹlu awọn ibugbe tuntun 126, awọn adirẹsi IP 69 ti ko ṣe atokọ ni ijabọ Eset:
- ukrfreshnews[.] pẹlu
- unian-search[.] com
- vesti-aye[.] alaye
- runewsmeta[.] com
- Foxnewsmeta[.] biz
- sobesednik-meta[.] info
- ririan-ua[.] nẹtiwọki
- ati awọn omiiran.
Ni afikun si awọn olufihan nẹtiwọọki, a wa awọn asopọ lẹsẹkẹsẹ pẹlu awọn faili irira ti o ni awọn asopọ pẹlu amayederun yii ati awọn afi ti o sọ fun wa pe a lo Meterpreter ati AZORult.
Ohun nla ni pe o gba abajade yii laarin iṣẹju-aaya kan ati pe o ko nilo lati lo awọn ọjọ ṣiṣe itupalẹ data naa. Nitoribẹẹ, ọna yii nigbakan dinku akoko fun awọn iwadii, eyiti o jẹ pataki nigbagbogbo.
Awọn nọmba ti awọn igbesẹ ti tabi recursion ijinle pẹlu eyi ti awonya yoo wa ni itumọ ti
Nipa aiyipada, ijinle jẹ 3. Eyi tumọ si pe gbogbo awọn eroja ti o ni ibatan taara yoo wa lati inu ohun elo ti o fẹ, lẹhinna awọn asopọ tuntun yoo wa ni ipilẹ lati kọọkan titun si awọn eroja miiran, ati awọn eroja titun yoo ṣẹda lati awọn eroja titun lati kẹhin. igbese.
Jẹ ki a mu apẹẹrẹ ti ko ni ibatan si APT ati awọn ilokulo ọjọ-0. Laipẹ, ọran ti o nifẹ si ti ẹtan ti o ni ibatan si awọn owo-iworo crypto ni a ṣapejuwe lori Habré. Ijabọ naa n mẹnuba agbegbe themcx[.]co, ti a lo nipasẹ awọn scammers lati gbalejo oju opo wẹẹbu kan ti o sọ pe o jẹ paṣipaarọ Miner Coin ati wiwa foonu[.] xyz lati fa ijabọ.
O han gbangba lati apejuwe naa pe ero naa nilo awọn amayederun ti o tobi pupọ lati fa ijabọ si awọn orisun arekereke. A pinnu lati wo awọn amayederun yii nipa kikọ aworan kan ni awọn igbesẹ mẹrin. Ijade jẹ aworan kan pẹlu awọn ibugbe 4 ati awọn adirẹsi IP 230. Nigbamii ti, a pin awọn ibugbe si awọn ẹka 39: awọn ti o jọra si awọn iṣẹ fun ṣiṣẹ pẹlu awọn owo-iworo ati awọn ti o pinnu lati wakọ ijabọ nipasẹ awọn iṣẹ ijẹrisi foonu:
Jẹmọ cryptocurrency
Ni nkan ṣe pẹlu awọn iṣẹ punching foonu
coinkeeper[.] cc
olupe-igbasilẹ[.] ojula.
mcxwallet[.] àjọ
awọn igbasilẹ foonu[.] aaye
btcnoise[.] com
fone-ṣii[.] xyz
cryptominer[.] aago
nomba-uncover[.] alaye
Ninu
Nipa aiyipada, aṣayan “Isọsọ Graph” ti ṣiṣẹ ati pe gbogbo awọn eroja ti ko ṣe pataki ni yoo yọkuro lati aworan naa. Nipa ọna, o ti lo ni gbogbo awọn apẹẹrẹ ti tẹlẹ. Mo rii ibeere adayeba kan tẹlẹ: bawo ni a ṣe le rii daju pe ohun pataki kan ko paarẹ? Emi yoo dahun: fun awọn atunnkanwo ti o fẹ lati kọ awọn aworan ni ọwọ, mimọ adaṣe le jẹ alaabo ati pe nọmba awọn igbesẹ le yan = 1. Nigbamii ti oluyanju yoo ni anfani lati pari awọn aworan lati awọn eroja ti o nilo ati yọ awọn eroja kuro lati awonya ti o wa ni ko ṣe pataki si awọn iṣẹ-ṣiṣe.
Tẹlẹ lori iyaya, itan-akọọlẹ ti awọn ayipada ninu whois, DNS, ati awọn ebute oko oju omi ṣiṣi ati awọn iṣẹ ti n ṣiṣẹ lori wọn di wa si oluyanju naa.
Afarape owo
A ṣe iwadii awọn iṣe ti ẹgbẹ APT kan, eyiti o ṣe awọn ikọlu ararẹ fun ọpọlọpọ ọdun si awọn alabara ti awọn banki oriṣiriṣi ni awọn agbegbe oriṣiriṣi. Ẹya abuda ti ẹgbẹ yii ni iforukọsilẹ awọn ibugbe ti o jọra pupọ si awọn orukọ ti awọn ile-ifowopamọ gidi, ati pupọ julọ awọn aaye aṣiri-ararẹ ni apẹrẹ kanna, awọn iyatọ nikan ni awọn orukọ ti awọn banki ati awọn aami wọn.
Ni ọran yii, itupalẹ awọn ayaworan adaṣe ṣe iranlọwọ fun wa pupọ. Gbigba ọkan ninu awọn ibugbe wọn - lloydsbnk-uk[.]com, ni iṣẹju diẹ a ṣe aworan kan pẹlu ijinle awọn igbesẹ mẹta, eyiti o ṣe idanimọ diẹ sii ju awọn ibugbe irira 3 ti ẹgbẹ yii ti lo lati ọdun 250 ati tẹsiwaju lati ṣee lo. . Diẹ ninu awọn ibugbe wọnyi ti ra tẹlẹ nipasẹ awọn banki, ṣugbọn awọn igbasilẹ itan fihan pe wọn ti forukọsilẹ tẹlẹ si awọn ikọlu.
Fun wípé, eeya naa fihan aworan kan pẹlu ijinle awọn igbesẹ meji.
O jẹ akiyesi pe tẹlẹ ni ọdun 2019, awọn ikọlu naa yipada awọn ilana wọn diẹ ati bẹrẹ fiforukọṣilẹ kii ṣe awọn agbegbe ti awọn ile-ifowopamọ fun gbigbalejo aṣiri wẹẹbu, ṣugbọn awọn ibugbe ti ọpọlọpọ awọn ile-iṣẹ ijumọsọrọ fun fifiranṣẹ awọn imeeli aṣiri-ararẹ. Fun apẹẹrẹ, awọn ibugbe swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Ẹgbẹ onijagidijagan
Ni Oṣu Kejila ọdun 2018, ẹgbẹ agbonaeburuwole Cobalt, amọja ni awọn ikọlu ti a fojusi lori awọn banki, fi ipolongo ifiweranṣẹ ranṣẹ ni aṣoju Banki Orilẹ-ede ti Kasakisitani.
Awọn lẹta naa ni awọn ọna asopọ si hXXps://nationalbank.bz/Doc/Prikaz.doc. Iwe aṣẹ ti a ṣe igbasilẹ naa ni Makiro ti o ṣe ifilọlẹ Powershell, eyiti yoo gbiyanju lati ṣajọpọ ati ṣiṣẹ faili lati hXXp://wateroilclub.com/file/dwm.exe ni%Temp%einmrmdmy.exe. Faili naa%Temp%einmrmdmy.exe aka dwm.exe jẹ olutẹtẹ CobInt ti a tunto lati ṣe ajọṣepọ pẹlu olupin hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Fojuinu pe ko ni anfani lati gba awọn imeeli aṣiri-ararẹ wọnyi ki o ṣe itupalẹ kikun ti awọn faili irira. Aworan fun agbegbe irira nationalbank[.] bz lẹsẹkẹsẹ fihan awọn asopọ pẹlu awọn ibugbe irira miiran, ṣe ikalara si ẹgbẹ kan ati ṣafihan iru awọn faili ti a lo ninu ikọlu naa.
Jẹ ki a gba adiresi IP 46.173.219[.]152 lati ori aworan yii ki o kọ aworan kan lati inu rẹ ni igbasilẹ kan ki o si pa mimọ. Awọn ibugbe 40 wa ti o ni nkan ṣe pẹlu rẹ, fun apẹẹrẹ, bl0ckchain[.]ug
PayPal.co.uk.qlg6[.] pw
cryptoelips[.] pẹlu
Idajọ nipasẹ awọn orukọ ìkápá, o dabi pe wọn lo ninu awọn igbero arekereke, ṣugbọn algorithm mimọ mọ pe wọn ko ni ibatan si ikọlu yii ati pe wọn ko fi wọn si ori aworan, eyiti o rọrun pupọ ilana ti itupalẹ ati ikasi.
Ti o ba tun ṣe ayaworan naa nipa lilo banki orilẹ-ede [.] bz, ṣugbọn piparẹ algoridimu mimọ iwọn, lẹhinna yoo ni diẹ sii ju awọn eroja 500, pupọ julọ eyiti ko ni nkankan lati ṣe pẹlu ẹgbẹ Cobalt tabi ikọlu wọn. Apeere ti ohun ti iru aworan kan dabi ni a fun ni isalẹ:
ipari
Lẹhin awọn ọdun pupọ ti yiyi ti o dara, idanwo ni awọn iwadii gidi, iwadii irokeke ati isode fun awọn ikọlu, a ṣakoso kii ṣe lati ṣẹda ọpa alailẹgbẹ nikan, ṣugbọn tun lati yi ihuwasi ti awọn amoye laarin ile-iṣẹ naa pada. Ni ibẹrẹ, awọn amoye imọ-ẹrọ fẹ iṣakoso pipe lori ilana ikole awọnyaya. Ni idaniloju wọn pe ikole ayaworan aifọwọyi le ṣe eyi dara julọ ju eniyan ti o ni iriri ọdun pupọ jẹ nira pupọ. Ohun gbogbo ti pinnu nipasẹ akoko ati ọpọlọpọ awọn sọwedowo “Afowoyi” ti awọn abajade ti ohun ti aworan naa ṣe. Bayi awọn amoye wa kii ṣe igbẹkẹle eto nikan, ṣugbọn tun lo awọn abajade ti o gba ni iṣẹ ojoojumọ wọn. Imọ-ẹrọ yii n ṣiṣẹ ninu ọkọọkan awọn eto wa ati gba wa laaye lati ṣe idanimọ awọn irokeke ti eyikeyi iru. Ni wiwo fun afọwọṣe itupalẹ awonya ti wa ni itumọ ti sinu gbogbo Group-IB awọn ọja ati significantly faagun awọn agbara fun cybercrime sode. Eyi ni idaniloju nipasẹ awọn atunwo atunnkanka lati ọdọ awọn alabara wa. Ati pe awa, ni ọna, tẹsiwaju lati jẹki iwọn aworan naa pẹlu data ati ṣiṣẹ lori awọn algoridimu tuntun nipa lilo oye atọwọda lati ṣẹda aworan nẹtiwọọki deede julọ.
orisun: www.habr.com