Выйти на след хакера в несколько кликов
Что такое сетевой граф и как он ускоряет поиск злоумышленников
Группа хакеров в течение нескольких лет проводила фишинговые атаки на клиентов банков в разных регионах мира — злоумышленники штамповали сайты-клоны, стараясь украсть логины и пароли пользователей для входа в интернет-банкинг. Мы взяли один из доменов хакеров, прогнали его через нашу систему автоматизированного графового анализа и нашли ещё 250 вредоносных доменов, которые группа использовала в течение последних четырёх лет.
Некоторые из них уже выкупили банки, но по историческим записям видно, что ранее они были зарегистрированы на злоумышленников. Граф показал, что в 2019 году хакеры изменили тактику и начали регистрировать не только домены банков для отправки фишинговых писем, но и домены различных консалтинговых компаний. Полученная информация помогла предотвратить новые атаки.
Одна из главных задач кибераналитиков — находить взаимосвязи между отдельными кибератаками и атрибутировать их с конкретной преступной группой. Изучая технологии и тактики атакующих, кибераналитики смогут строить гипотезы и предотвращать новые инциденты.
Предположим, если на радаре появился фишинговый сайт, через который злоумышленники воруют данные пользователей, наша задача — не просто закрыть этот один сайт, а найти всю сеть, транзакции и серверы, через которые проводились мошеннические операции.
В огромном массиве данных можно найти след, который позволит установить личность хакеров или принадлежащие ему активы (компьютеры, доменные имена).
Какие следы оставляют хакеры
Большинство хакеров пытаются действовать анонимно. Но из-за человеческого фактора они всё равно оставляют цифровые следы: домены, IP-адреса, SSH-отпечатки, SSL-сертификаты, телефонные номера, скрытые идентификаторы, адреса электронной почты.
Ни одно расследование Group-IB не обходилось без анализа сетевой инфраструктуры атакующих. Раньше специалисты собирали эту информацию вручную: несколько недель анализировали взаимосвязи, натыкались на «белые пятна» и зачастую заходили в тупик. Приходилось повторно анализировать огромные объёмы данных и тратить на это очень много времени.
Мы изучили десятки поставщиков разных графов и не нашли ни одного, который удовлетворял бы всем нашим требованиям. Например, нам нужны были полные коллекции исторических данных: домены, Passive DNS, Passive SSL, DNS-записи, открытые порты, запущенные сервисы на портах, файлы, взаимодействующие с доменными именами и IP-адресами. Мы не нашли их, поэтому начали создавать такие коллекции сами, включая все обновления в них с глубиной до 15 лет. Нас не устраивало ручное построение графа у других поставщиков, поэтому мы полностью автоматизировали свой граф. В ответ на огромный объём «мусорных связей» других продуктов, мы обучили нашу систему выявлять нерелевантные элементы по той же логике, как это делали наши эксперты руками. Задача нового инструмента — сетевого графа — хантинг, безошибочная атрибуция и глубокие исследование атакующих.
Мы нуждались в инструменте, который агрегирует все данные, позволяет удобно искать по ним взаимосвязи и анализировать сетевую инфраструктуру. Сначала мы пошли по простому пути: начали искать варианты для решения наших повседневных задач у различных разработчиков. Но в каждой версии реализации графового анализа нам не хватало данных и глубины их анализа.
На разработку сетевого графа ушло несколько лет. Мы собирали базы, сравнивали множество открытых ресурсов, договаривались с регистраторами доменных имён. Для сбора большого количества данных, например информации о SSL-сертификатах, нам пришлось создавать собственные сервисы, потому что ранее такого инструмента не существовало.
Как работает граф
Когда аналитики находят ресурс, связанный с вредоносным программным обеспечением или мошенничеством, они вводят в строку поиска графа домен или IP-адрес. Система найдёт взаимосвязи с другими вредоносными проектами — со старыми фишинговыми сайтами, которые были активны, или с новыми, которые эксплуатируются сейчас или заготовлены для будущих атак.
Одна из задач такого анализа — найти «белый» или «серый» исторические проекты злоумышленников, которые пересекаются с актуальной вредоносной инфраструктурой.
- «Белый» проект — сайт, который не связан с вредоносной деятельностью. Обычно злоумышленники ведут двойную жизнь и их можно найти, отыскав «белые» проекты. Например, злоумышленник мог когда-то зарегистрировать интернет-магазин или свой блог. Личные данные, которые он там оставил, пригодятся в поисках.
- «Серый» проект — сайт, который помогает хакеру совершать атаки.
Другая задача — провести атрибуцию — связать данный ресурс с конкретным киберпреступником или группировкой. И найти новые, ранее незамеченные узлы, которые в будущем будут представлять опасность.
Граф — это не набор старых баз данных. Мы регулярно сканируем интернет, храним исторические и собираем текущие данные, которые обновляются несколько раз в день и индексируются. Используются внутренние сложные алгоритмы очистки графов, позволяющие получить актуальную информацию о требуемой инфраструктуре с учётом времени регистрации доменных имен, SSH-отпечатков, создания серверов и так далее. На текущий момент только информация об IP-адресах превышает 4 млрд записей.
Справка — как начать поиск в сетевом графе
- Ввести в поисковую строку домен, IP-адрес, email или SSL-сертификат. Это отправная точка, из которой будет строиться граф.
- Выбрать временной интервал — системе нужно понять, когда введённый элемент использовался для вредоносных целей.
- Указать глубину шага. Это параметр, который определяет рекурсию графа: один шаг построит от искомого элемента взаимосвязь с другим вредоносным элементом. Как показывает практика, трёх шагов достаточно для первого построения взаимосвязей. Поиск можно углублять, строя новые графы от найденных узлов.
- Очистить граф — то есть удалить все нерелевантные элементы. Очистка сильно упрощает жизнь аналитикам: система автоматически фильтрует данные, которые не нужны и ведут по ложному следу.
Вот пример — в 2018 году хакерская группа Cobalt отправляла пользователям электронные письма от лица Нацбанка Казахстана. В письмах были ссылки, по клику на которые скачивался документ. В нём был макрос, который загружал и запускал вредоносный файл. После этого зараженный компьютер связывался с сервером группы и хакеры получали над ним контроль.
Допустим, у аналитиков не было бы возможности получить эти письма и провести полный анализ вредоносных файлов. Нужно добывать информацию другими способами и строить граф. Но это тоже не идеальное решение — граф по поддельному сайту Нацбанка показал более 500 звеньев. Многие из них не имели отношения к хакерской атаке и группировке. Но алгоритм очистки графа понял это и вынес на граф только релевантные звенья — это сократило время на анализ и атрибуцию.
Сначала сотрудники встретили новый инструмент со скепсисом. Технические эксперты хотели полностью контролировать процесс построения графа. Многие думали, что система не сможет выстраивать взаимосвязи лучше, чем человек с многолетним опытом. Мы начали многократно проверять результаты графа вручную и поняли, что его нужно использовать в ежедневной работе. С помощью собственного продукта мы смогли избежать практически всех обнаруженных нами проблем в существующих сетевых графах и расширить свои возможности для поиска киберпреступников.
Мы встроили инструмент во все свои публичные продукты. С помощью графа компании, которые хотят защитить себя от взломов и краж, могут искать дополнительные скрытые угрозы для своего бизнеса сами. Графом пользуются технические директора, директора по кибербезопасности, антивирусные аналитики, эксперты служб безопасности и специалисты, отвечающие за защиту репутации и бренда в интернете.
Работа над совершенствованием графа — это постоянный процесс. Сейчас наши аналитики продолжают дополнять граф данными, проводят сканирования, внедряют новые алгоритмы. В ближайшее время мы планируем добавить возможность поиска связей по социальным данным хакеров — через аккаунты, подписки, форумы. Основной вектор — сделать процесс поиска точнее и улучшить качество взаимосвязей.