Group-IB 專家多年來一直在調查與網路釣魚、殭屍網路、詐欺交易和犯罪駭客團體相關的案件,使用圖形分析來識別各種類型的連接。不同的案例有自己的資料集、識別連接的演算法以及針對特定任務量身定制的介面。所有這些工具均由 Group-IB 內部開發,僅供我們的員工使用。
網路基礎設施圖分析(網路圖)成為我們內建到公司所有公共產品中的第一個內部工具。在創建網絡圖之前,我們分析了市場上許多類似的開發,但沒有找到滿足我們自己需求的單一產品。在這篇文章中,我們將討論如何建立網路圖、如何使用它以及遇到了什麼困難。
德米特里·沃爾科夫, IB 集團技術長兼網路情報主管
Group-IB網路圖可以做什麼?
調查
自2003年Group-IB成立至今,識別、懲治網路犯罪分子並將其繩之以法一直是我們工作的重中之重。如果不分析攻擊者的網路基礎設施,任何網路攻擊調查都是不完整的。在我們的旅程一開始,尋找有助於識別犯罪分子的關係是一項相當艱苦的「體力勞動」:網域名稱、IP位址、伺服器數位指紋等資訊。
大多數攻擊者嘗試在網路上盡可能匿名地進行攻擊。然而,像所有人一樣,他們也會犯錯。此類分析的主要目標是找到攻擊者的「白色」或「灰色」歷史項目,這些項目與我們正在調查的當前事件中使用的惡意基礎設施有交叉。如果能夠偵測到“白色專案”,那麼通常來說,找到攻擊者就變成了一項微不足道的任務。對於「灰色」的情況,搜尋需要更多的時間和精力,因為它們的所有者試圖匿名或隱藏註冊數據,但可能性仍然很高。一般來說,在犯罪活動開始時,攻擊者不太關心自己的安全,犯的錯誤也較多,因此我們對故事的了解越深入,調查成功的機會就越高。這就是為什麼具有良好歷史記錄的網絡圖是此類調查中極其重要的元素。簡而言之,公司擁有的歷史數據越深入,其圖表就越好。假設 5 年的歷史記錄可以有條件地幫助解決 1 起犯罪中的 2-10 起,而 15 年的歷史記錄則有機會解決所有 XNUMX 起犯罪。
網路釣魚和詐欺偵測
每當我們收到網路釣魚、詐欺或盜版資源的可疑連結時,我們都會自動建立相關網路資源的圖表,並檢查所有找到的主機是否有類似內容。這使您可以找到活躍但未知的舊網路釣魚站點,以及為未來攻擊做好準備但尚未使用的全新網路釣魚站點。一個經常發生的基本範例:我們在只有 5 個網站的伺服器上發現了一個網路釣魚網站。透過檢查每個網站,我們發現其他網站上存在網路釣魚內容,這意味著我們可以封鎖 5 個而不是 1 個。
搜尋後端
此過程對於確定惡意伺服器的實際駐留位置是必要的。
99% 的卡片商店、駭客論壇、許多網路釣魚資源和其他惡意伺服器都隱藏在自己的代理伺服器和合法服務代理程式(例如 Cloudflare)後面。了解真實後端對於調查非常重要:可以了解可以奪取伺服器的託管供應商,並且可以與其他惡意項目建立連線。
例如,您有一個用於收集解析為 IP 位址 11.11.11.11 的銀行卡資料的網路釣魚站點,以及解析為 IP 位址 22.22.22.22 的信用卡商店位址。在分析過程中,可能會發現釣魚網站和信用卡商店都有一個共同的後端IP位址,例如33.33.33.33。這些知識使我們能夠在網路釣魚攻擊和可能出售銀行卡資料的銀行卡商店之間建立聯繫。
事件關聯
當您有兩個不同的觸發器(假設在 IDS 上)、不同的惡意軟體和不同的伺服器來控制攻擊時,您會將它們視為兩個獨立的事件。但如果惡意基礎設施之間有良好的聯繫,那麼很明顯,這些不是不同的攻擊,而是更複雜的多階段攻擊的各個階段。如果其中一個事件已歸因於任何攻擊者群組,那麼第二個事件也可以歸因於同一組。當然,歸因過程要複雜得多,因此請將此視為一個簡單的範例。
指標豐富化
我們不會過度關注這一點,因為這是在網路安全中使用圖表的最常見場景:您提供一個指標作為輸入,作為輸出,您將獲得一系列相關指標。
識別模式
識別模式對於有效狩獵至關重要。圖表不僅可以讓您找到相關元素,還可以識別特定駭客群體的共同屬性。了解此類獨特特徵使您即使在準備階段也能識別攻擊者的基礎設施,並且無需證據確認攻擊,例如網路釣魚電子郵件或惡意軟體。
為什麼我們要創建自己的網路圖?
我們再次研究了不同供應商的解決方案,然後得出結論:我們需要開發自己的工具,該工具可以完成現有產品無法完成的任務。創建它花了幾年的時間,期間我們對其進行了幾次徹底的修改。但是,儘管開發週期很長,我們還沒有找到一個能夠滿足我們要求的類似物。使用我們自己的產品,我們最終能夠解決我們在現有網路圖中發現的幾乎所有問題。下面我們將詳細考慮這些問題:
問題
解決方法
缺乏提供不同資料集合的提供者:網域、被動 DNS、被動 SSL、DNS 記錄、開放連接埠、在連接埠上執行的服務、與網域名稱和 IP 位址互動的檔案。解釋。通常,提供者會提供不同類型的數據,要了解完整情況,您需要向每個人購買訂閱。即便如此,並非總是能夠獲取所有數據:一些被動 SSL 提供者僅提供有關受信任 CA 頒發的證書的數據,並且它們對自簽名證書的覆蓋範圍極差。其他也使用自簽名憑證提供數據,但僅從標準連接埠收集數據。
以上藏品全部是我們自己收集的。例如,為了收集有關 SSL 憑證的數據,我們編寫了自己的服務,從受信任的 CA 收集資料並掃描整個 IPv4 空間。憑證不僅從 IP 收集,還從我們資料庫中的所有網域和子網域收集:如果您有網域 example.com 及其子網域 並且它們都解析為 IP 1.1.1.1,那麼當您嘗試從 IP、網域及其子網域上的連接埠 443 取得 SSL 憑證時,您會得到三種不同的結果。為了收集開放連接埠和正在運行的服務的數據,我們必須創建自己的分散式掃描系統,因為其他服務通常將其掃描伺服器的 IP 位址列入「黑名單」。我們的掃描伺服器最終也會被列入黑名單,但檢測我們所需服務的結果高於那些簡單地掃描盡可能多的連接埠並出售對這些資料的存取權限的服務。
無法存取整個歷史記錄資料庫。解釋。每個正常的供應商都有良好的歷史積累,但出於自然原因,我們作為客戶無法存取所有歷史資料。那些。您可以取得單一記錄的完整歷史記錄,例如透過網域或 IP 位址,但您無法看到所有內容的歷史記錄 - 如果沒有此記錄,您就無法看到完整的情況。
為了收集盡可能多的網域歷史記錄,我們購買了各種資料庫,解析了許多有這段歷史的開放資源(數量很多很好),並與網域註冊商進行協商。當然,我們自己的收藏的所有更新都會保留完整的修訂歷史記錄。
所有現有的解決方案都允許您手動建立圖表。解釋。假設您從所有可能的資料提供者(通常稱為「豐富者」)購買了大量訂閱。當您需要建立圖表時,您「手」給出從所需連接元素建立的命令,然後從出現的元素中選擇必要的元素,並給出命令以完成它們的連接,依此類推。在這種情況下,圖表建構的好壞完全由人負責。
我們自動建立了圖表。那些。如果您需要建立圖表,則會自動建立第一個元素的連接,然後也會自動建立所有後續元素的連接。專家僅指示需要建立圖表的深度。自動完成圖表的過程很簡單,但其他供應商沒有實現它,因為它會產生大量不相關的結果,我們也必須考慮到這個缺點(見下文)。
許多不相關的結果是所有網路元素圖的問題。解釋。例如,一個「壞域」(參與攻擊)與一台伺服器關聯,該伺服器在過去 10 年裡有 500 個其他網域與其關聯。當手動新增或自動建立圖表時,所有這 500 個網域也應該出現在圖表上,儘管它們與攻擊無關。或者,例如,您從供應商的安全報告中檢查 IP 指示器。通常,此類報告的發布會顯著延遲,並且通常會持續一年或更長時間。最有可能的是,當您閱讀報告時,具有此 IP 位址的伺服器已經租給具有其他連接的其他人,並且建立圖表將再次導致您獲得不相關的結果。
我們訓練系統使用與專家手動操作相同的邏輯來識別不相關的元素。例如,您正在檢查一個壞網域 example.com,它現在解析為 IP 11.11.11.11,一個月前解析為 IP 22.22.22.22。除了網域 example.com 之外,IP 11.11.11.11 也與 example.ru 關聯,IP 22.22.22.22 與 25 個其他網域關聯。系統就像人一樣,知道 11.11.11.11 最有可能是專用伺服器,並且由於 example.ru 網域在拼字上與 example.com 相似,因此它們很可能已連接並且應該位於圖形;但 IP 22.22.22.22 屬於共享主機,因此不需要將其所有域都包含在圖中,除非有其他連接表明也需要包含這 25 個域之一(例如,example.net) 。在系統了解需要斷開連接並且某些元素不會移動到圖中之前,它會考慮元素和這些元素組合成的簇的許多屬性,以及當前連接的強度。例如,如果我們在圖上有一個小簇(50 個元素),其中包括一個壞域,以及另一個大簇(5 個元素),並且兩個簇都通過強度(權重)非常低的連接(線)連接,那麼這樣的連接將被破壞,並且大簇中的元素將被刪除。但是,如果小簇和大簇之間有很多連接,並且它們的強度逐漸增加,那麼在這種情況下,連接不會被破壞,並且兩個簇中的必要元素將保留在圖上。
不考慮伺服器和網域所有權間隔。解釋。 「壞域名」遲早會過期並被再次購買用於惡意或合法目的。即使防彈託管伺服器也會租給不同的駭客,因此了解並考慮特定網域/伺服器受一個擁有者控制的時間間隔至關重要。我們經常遇到這樣的情況:IP 11.11.11.11 的伺服器現在被用作銀行機器人的 C&C,而 2 個月前它被勒索軟體控制。如果我們在不考慮所有權間隔的情況下建立連接,那麼銀行殭屍網路的所有者和勒索軟體之間看起來似乎存在聯繫,但實際上並沒有聯繫。在我們的工作中,這樣的錯誤是至關重要的。
我們教導系統確定所有權間隔。對於網域來說,這相對簡單,因為 whois 通常包含註冊開始日期和到期日期,並且當有完整的 whois 更改歷史記錄時,很容易確定間隔。當網域的註冊尚未過期,但其管理權已轉移給其他所有者時,也可以對其進行追蹤。 SSL憑證不存在這樣的問題,因為它們是一次性頒發的,並且不會更新或轉讓。但對於自簽名證書,您不能信任證書有效期中指定的日期,因為您可以在今天產生 SSL 證書,並指定證書的開始日期為 2010 年。最困難的是確定伺服器的所有權間隔,因為只有託管提供者才有日期和租賃期限。為了確定伺服器所有權期限,我們開始使用連接埠掃描的結果並建立連接埠上正在執行的服務的指紋。使用這些信息,我們可以相當準確地得知伺服器所有者何時發生變化。
連接很少。解釋。如今,獲取 whois 包含特定電子郵件地址的免費域名列表,或找出與特定 IP 位址關聯的所有域名,甚至都不是問題。但是,當涉及到盡最大努力難以追蹤的駭客時,我們需要額外的技巧來尋找新的屬性並建立新的連接。
我們花了很多時間研究如何擷取傳統方式無法取得的數據。由於顯而易見的原因,我們無法在這裡描述它是如何工作的,但在某些情況下,駭客在註冊網域名稱或租用和設定伺服器時會犯錯誤,從而使他們能夠找到電子郵件地址、駭客別名和後端地址。您提取的連接越多,您可以建立的圖表就越準確。
我們的圖表是如何運作的
若要開始使用網路圖,您需要在搜尋欄中輸入網域、IP 位址、電子郵件或 SSL 憑證指紋。分析師可以控制三個條件:時間、步長深度、清除。
時間
時間 – 搜尋元素被用於惡意目的的日期或時間間隔。如果不指定該參數,系統將自行決定該資源的最後所有權間隔。例如,11月XNUMX日,Eset發布 關於 Buhtrap 如何利用 0day 漏洞進行網路間諜活動。報告最後有6個指標。其中之一 secure-telemetry[.]net 於 16 月 16 日重新註冊。因此,如果您在 126 月 69 日之後建立圖表,您將得到不相關的結果。但是,如果您表明此網域在此日期之前已被使用,則該圖表將包含 XNUMX 個新網域、XNUMX 個未在 Eset 報告中列出的 IP 位址:
- ukrfreshnews[.]com
- unian-search[.]com
- 維斯蒂世界[.]訊息
- runewsmeta[.]com
- 福克斯新聞元[.]biz
- sobesednik-元[.]訊息
- rian-ua[.]net
- 等等
除了網路指示器之外,我們還立即找到了與該基礎設施有連接的惡意文件的連接,以及告訴我們使用了 Meterpreter 和 AZORult 的標籤。
最棒的是,您可以在一秒鐘內獲得結果,而不再需要花費數天的時間來分析數據。當然,這種方法有時會顯著減少調查時間,而這通常是至關重要的。
建立圖表的步驟數或遞歸深度
預設情況下,深度為3。這表示將從所需元素中找到所有直接相關的元素,然後從每個新元素到其他元素建立新的連接,並從最後一個新元素建立新元素步驟。
讓我們舉一個與 APT 和 0day 漏洞無關的例子。最近,Habré 上描述了一起與加密貨幣相關的有趣詐欺案例。該報告提到了域名themcx[.]co,詐騙者使用該域名託管一個聲稱是礦工幣交易所和電話查找[.]xyz的網站以吸引流量。
從描述中可以清楚看出,該方案需要相當大的基礎設施來吸引詐欺資源的流量。我們決定透過 4 個步驟建立圖表來研究該基礎設施。輸出是一個包含 230 個域和 39 個 IP 位址的圖表。接下來,我們將網域分為兩類:類似使用加密貨幣的服務的網域和旨在透過電話驗證服務驅動流量的網域:
與加密貨幣相關
與電話打卡服務相關
coinkeeper[.]cc
來電記錄[.]站點。
mcxwallet[.]co
電話記錄[.]空間
btcnoise[.]com
fone-uncover[.]xyz
加密礦工[.]手錶
number-uncover[.]info
清潔的
預設情況下,「圖形清理」選項處於啟用狀態,所有不相關的元素將從圖形中刪除。順便說一句,它在前面的所有範例中都使用過。我預見到一個自然的問題:我們如何確保重要的東西不被刪除?我會回答:對於喜歡手動建立圖表的分析師來說,可以停用自動清理,並且可以選擇步驟數 = 1。接下來,分析師將能夠從他需要的元素中完成圖表,並從中刪除元素與任務無關的圖表。
分析人員可以在圖表上看到 whois、DNS 以及在其上運行的開放連接埠和服務的更改歷史記錄。
金融釣魚
我們調查了一個 APT 組織的活動,該組織多年來對不同地區的多家銀行的客戶進行網路釣魚攻擊。該組織的一個顯著特徵是註冊的網域名稱與真實銀行的名稱非常相似,大多數網路釣魚網站具有相同的設計,唯一的區別在於銀行的名稱及其徽標。
在這種情況下,自動圖形分析對我們幫助很大。以他們的一個網域- lloydsbnk-uk[.]com 為例,我們在幾秒鐘內構建了一個深度為3 步的圖表,該圖表識別出該組織自250 年以來一直使用並繼續使用的2015 多個惡意域名。其中一些域名已被銀行購買,但歷史記錄顯示它們之前已被攻擊者註冊。
為了清楚起見,該圖顯示了深度為 2 步的圖。
值得注意的是,早在2019年,攻擊者就改變了策略,不僅開始註冊銀行網域用於託管網路釣魚,還開始註冊各種顧問公司的網域用於發送釣魚郵件。例如,網域 swift-department.com、saudconsultancy.com、vbgrigoryanpartners.com。
鈷幫
2018年XNUMX月,專門針對銀行進行定向攻擊的駭客組織Cobalt代表哈薩克國家銀行發動了一次郵件活動。
這些信件包含 hXXps://nationalbank.bz/Doc/Prikaz.doc 的連結。下載的文件包含啟動 Powershell 的宏,該宏將嘗試從 %Temp%einmrmdmy.exe 中的 hXXp://wateroilclub.com/file/dwm.exe 載入並執行該檔案。檔案 %Temp%einmrmdmy.exe 又稱為 dwm.exe 是一個 CobInt stager,配置為與伺服器 hXXp://admvmsopp.com/rilruietguadvtoefmuy 互動。
想像一下無法接收這些網路釣魚電子郵件並對惡意檔案進行全面分析。惡意域nationalbank[.]bz 的圖表立即顯示與其他惡意域的連接,將其歸因於一個群組並顯示攻擊中使用了哪些檔案。
讓我們從此圖中獲取 IP 位址 46.173.219[.]152,並透過它一次建立一個圖並關閉清理。有 40 個與之關聯的域,例如 bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
從網域來看,它們似乎被用於詐欺計劃,但清理演算法意識到它們與本次攻擊無關,因此沒有將它們放在圖表上,這大大簡化了分析和歸因的過程。
如果您使用Nationalbank[.]bz重新建立圖表,但停用圖表清理演算法,那麼它將包含超過500個元素,其中大多數與Cobalt組織或其攻擊無關。下面給出了此類圖表的範例:
結論
經過幾年的微調、實際調查測試、威脅研究和追捕攻擊者,我們不僅成功地創建了一個獨特的工具,而且還改變了公司內部專家對此的態度。最初,技術專家希望完全控製圖建置流程。讓他們相信自動圖建置可以比具有多年經驗的人做得更好是極其困難的。一切都是由時間和對圖表產生結果的多次「手動」檢查決定的。現在,我們的專家不僅信任該系統,而且還在日常工作中使用其獲得的結果。這項技術適用於我們的每個系統,使我們能夠更好地識別任何類型的威脅。手動圖形分析介面內建於所有 Group-IB 產品中,並顯著擴展了網路犯罪追捕的功能。我們客戶的分析師評論證實了這一點。反過來,我們繼續用數據豐富圖表,並使用人工智慧開發新演算法來創建最準確的網路圖表。
來源: www.habr.com