Что такое сетевой граф и как он ускоряет поиск злоумышленников
Группа хакеров в течение нескольких лет проводила фишинговые атаки на клиентов банков в разных регионах мира — злоумышленники штамповали сайты-клоны, стараясь украсть логины и пароли пользователей для входа в интернет-банкинг. Мы взяли один из доменов хакеров, прогнали его через нашу систему автоматизированного графового анализа и нашли ещё 250 вредоносных доменов, которые группа использовала в течение последних четырёх лет.
Некоторые из них уже выкупили банки, но по историческим записям видно, что ранее они были зарегистрированы на злоумышленников. Граф показал, что в 2019 году хакеры изменили тактику и начали регистрировать не только домены банков для отправки фишинговых писем, но и домены различных консалтинговых компаний. Полученная информация помогла предотвратить новые атаки.
Одна из главных задач кибераналитиков — находить взаимосвязи между отдельными кибератаками и атрибутировать их с конкретной преступной группой. Изучая технологии и тактики атакующих, кибераналитики смогут строить гипотезы и предотвращать новые инциденты.
Предположим, если на радаре появился фишинговый сайт, через который злоумышленники воруют данные пользователей, наша задача — не просто закрыть этот один сайт, а найти всю сеть, транзакции и серверы, через которые проводились мошеннические операции.
В огромном массиве данных можно найти след, который позволит установить личность хакеров или принадлежащие ему активы (компьютеры, доменные имена).
Какие следы оставляют хакеры
Большинство хакеров пытаются действовать анонимно. Но из-за человеческого фактора они всё равно оставляют цифровые следы: домены, IP-адреса, SSH-отпечатки, SSL-сертификаты, телефонные номера, скрытые идентификаторы, адреса электронной почты.
Ни одно расследование Group-IB не обходилось без анализа сетевой инфраструктуры атакующих. Раньше специалисты собирали эту информацию вручную: несколько недель анализировали взаимосвязи, натыкались на «белые пятна» и зачастую заходили в тупик. Приходилось повторно анализировать огромные объёмы данных и тратить на это очень много времени.
Мы изучили десятки поставщиков разных графов и не нашли ни одного, который удовлетворял бы всем нашим требованиям. Например, нам нужны были полные коллекции исторических данных: домены, Passive DNS, Passive SSL, DNS-записи, открытые порты, запущенные сервисы на портах, файлы, взаимодействующие с доменными именами и IP-адресами. Мы не нашли их, поэтому начали создавать такие коллекции сами, включая все обновления в них с глубиной до 15 лет. Нас не устраивало ручное построение графа у других поставщиков, поэтому мы полностью автоматизировали свой граф. В ответ на огромный объём «мусорных связей» других продуктов, мы обучили нашу систему выявлять нерелевантные элементы по той же логике, как это делали наши эксперты руками. Задача нового инструмента — сетевого графа — хантинг, безошибочная атрибуция и глубокие исследование атакующих.
Мы нуждались в инструменте, который агрегирует все данные, позволяет удобно искать по ним взаимосвязи и анализировать сетевую инфраструктуру. Сначала мы пошли по простому пути: начали искать варианты для решения наших повседневных задач у различных разработчиков. Но в каждой версии реализации графового анализа нам не хватало данных и глубины их анализа.
На разработку сетевого графа ушло несколько лет. Мы собирали базы, сравнивали множество открытых ресурсов, договаривались с регистраторами доменных имён. Для сбора большого количества данных, например информации о SSL-сертификатах, нам пришлось создавать собственные сервисы, потому что ранее такого инструмента не существовало.
Как работает граф
Когда аналитики находят ресурс, связанный с вредоносным программным обеспечением или мошенничеством, они вводят в строку поиска графа домен или IP-адрес. Система найдёт взаимосвязи с другими вредоносными проектами — со старыми фишинговыми сайтами, которые были активны, или с новыми, которые эксплуатируются сейчас или заготовлены для будущих атак.
Одна из задач такого анализа — найти «белый» или «серый» исторические проекты злоумышленников, которые пересекаются с актуальной вредоносной инфраструктурой.
- «Белый» проект — сайт, который не связан с вредоносной деятельностью. Обычно злоумышленники ведут двойную жизнь и их можно найти, отыскав «белые» проекты. Например, злоумышленник мог когда-то зарегистрировать интернет-магазин или свой блог. Личные данные, которые он там оставил, пригодятся в поисках.
- «Серый» проект — сайт, который помогает хакеру совершать атаки.
Другая задача — провести атрибуцию — связать данный ресурс с конкретным киберпреступником или группировкой. И найти новые, ранее незамеченные узлы, которые в будущем будут представлять опасность.
Граф — это не набор старых баз данных. Мы регулярно сканируем интернет, храним исторические и собираем текущие данные, которые обновляются несколько раз в день и индексируются. Используются внутренние сложные алгоритмы очистки графов, позволяющие получить актуальную информацию о требуемой инфраструктуре с учётом времени регистрации доменных имен, SSH-отпечатков, создания серверов и так далее. На текущий момент только информация об IP-адресах превышает 4 млрд записей.
Справка — как начать поиск в сетевом графе
- Ввести в поисковую строку домен, IP-адрес, email или SSL-сертификат. Это отправная точка, из которой будет строиться граф.
- Выбрать временной интервал — системе нужно понять, когда введённый элемент использовался для вредоносных целей.
- Указать глубину шага. Это параметр, который определяет рекурсию графа: один шаг построит от искомого элемента взаимосвязь с другим вредоносным элементом. Как показывает практика, трёх шагов достаточно для первого построения взаимосвязей. Поиск можно углублять, строя новые графы от найденных узлов.
- Очистить граф — то есть удалить все нерелевантные элементы. Очистка сильно упрощает жизнь аналитикам: система автоматически фильтрует данные, которые не нужны и ведут по ложному следу.
Вот пример — в 2018 году хакерская группа Cobalt отправляла пользователям электронные письма от лица Нацбанка Казахстана. В письмах были ссылки, по клику на которые скачивался документ. В нём был макрос, который загружал и запускал вредоносный файл. После этого зараженный компьютер связывался с сервером группы и хакеры получали над ним контроль.
Допустим, у аналитиков не было бы возможности получить эти письма и провести полный анализ вредоносных файлов. Нужно добывать информацию другими способами и строить граф. Но это тоже не идеальное решение — граф по поддельному сайту Нацбанка показал более 500 звеньев. Многие из них не имели отношения к хакерской атаке и группировке. Но алгоритм очистки графа понял это и вынес на граф только релевантные звенья — это сократило время на анализ и атрибуцию.
Сначала сотрудники встретили новый инструмент со скепсисом. Технические эксперты хотели полностью контролировать процесс построения графа. Многие думали, что система не сможет выстраивать взаимосвязи лучше, чем человек с многолетним опытом. Мы начали многократно проверять результаты графа вручную и поняли, что его нужно использовать в ежедневной работе. С помощью собственного продукта мы смогли избежать практически всех обнаруженных нами проблем в существующих сетевых графах и расширить свои возможности для поиска киберпреступников.
Мы встроили инструмент во все свои публичные продукты. С помощью графа компании, которые хотят защитить себя от взломов и краж, могут искать дополнительные скрытые угрозы для своего бизнеса сами. Графом пользуются технические директора, директора по кибербезопасности, антивирусные аналитики, эксперты служб безопасности и специалисты, отвечающие за защиту репутации и бренда в интернете.
Работа над совершенствованием графа — это постоянный процесс. Сейчас наши аналитики продолжают дополнять граф данными, проводят сканирования, внедряют новые алгоритмы. В ближайшее время мы планируем добавить возможность поиска связей по социальным данным хакеров — через аккаунты, подписки, форумы. Основной вектор — сделать процесс поиска точнее и улучшить качество взаимосвязей.
Жесть, не одного комментария. Безопасность не хайповая тема. Наблюдаю за компанией Group-IB много лет. Темные лошадки конечно, но эта такой рынок, что поделать. Вообще молодцы, умудряются зарабатывать там, где трудно заработать. Люди все время ждут пока петух клюнет, только потом репу начинают чесать задумываясь о безопасности.