Большая охота: как графовый анализ помогает клиентам Group-IB находить киберпреступников

Запатентованные технологии сетевого графа Group-IB интегрированы в публичные продукты компании Threat Intelligence и Threat Detection System. Данный шаг со стороны Group-IB призван помочь аналитикам ситуационных центров и CERT (Центры реагирования на инциденты), экспертам по киберразведке и компьютерным криминалистам исследовать тактику и инфраструктуру атакующих, улучшать собственную систему безопасности и обогащать свои навыки в области хантинга. 

Сетевой граф Group-IB создавался в течение нескольких лет, постоянно обогащаясь за счет новых индикаторов, полученных в ходе расследования киберпреступлений, реагирований на киберинциденты, анализа вредоносного ПО и других угроз, обнаруженных системами Threat Intelligence и Threat Detection System. Собранный за 16 лет работы массив исторических данных об атакующих включает миллиарды записей о доменных именах, IP-адресах, цифровых отпечатках серверов, задействованных в атаках, а также профили отдельных хакеров и групп. 

Сетевой граф Group-IB дает возможность уйти от «сырых» индикаторов компрометации к исследованию атакующих и управлению угрозами, релевантными для конкретного бизнеса. Аналитик, использующий его в продуктах Group-IB, вводит в поисковую строку домен, IP-адрес, email или отпечаток SSL-сертификата, и система в автоматическом режиме строит граф, демонстрирующий взаимосвязи: информацию о доменных именах, IP-адресах, цифровых отпечатках серверов и др. Несмотря на то что большинство атакующих — особенно киберкриминальные и APT-группировки — стараются действовать максимально скрытно в сети, большинство из них  в начале своего пути допускали ошибки и уделяли недостаточно внимания своей анонимности. 

«Без знаний о том, кто представляет для вас угрозу, невозможно защититься от нападения и предотвратить ущерб, — комментирует Дмитрий Волков, CTO Group-IB, руководитель департамента Threat Intelligence. — Мы изучили десятки поставщиков разных графов, прежде чем пришли к тому, что нам нужна собственная разработка. До сих пор мы не нашли ни одного аналога, который удовлетворял бы нашим требованиям. Ни один из анализируемых графов не содержал полные коллекции исторических данных: домены, Passive DNS, Passive SSL, DNS-записи, открытые порты, запущенные сервисы на портах, файлы, взаимодействующие с доменными именами и IP-адресами. Мы начали создавать такие коллекции сами, включая все обновления в них с разной глубиной, достигающей 15 лет. Нас не устраивало ручное построение графа у других поставщиков и мы полностью автоматизировали свой граф. В ответ на огромный объем «мусорных связей», которые дают другие продукты, мы обучили нашу систему выявлять нерелевантные элементы по той же логике, как это делали наши эксперты руками. Задача нашего графа – хантинг, безошибочная атрибуция и глубокие исследование атакующих. Теперь этот инструмент доступен в наших продуктах». 

Граф позволяет не только находить связанные элементы, но и выявлять общие свойства — паттерны, характерные для определенной хакерской группы. Знание этих уникальных признаков позволяет распознавать инфраструктуру атакующих еще на этапе подготовки и даже без свидетельств, подтверждающих атаку, таких как фишинговые письма или вредоносные программы.  

Например, в декабре 2018 года хакерская группа Cobalt, специализирующаяся на целевых атаках на банки, провела рассылку от имени Центрального банка Казахстана. Если в распоряжении у аналитиков не оказалось фишинговых писем и нет возможности провести полный анализ вредоносных файлов, они могут построить граф по вредоносному домену nationalbank[.]bz. Граф сразу показывает связи с другими вредоносными доменами, атрибутирует это до группы — Cobalt — и демонстрирует, какие файлы уже использовались в атаке.  

В случае с расследованием фишинговых атак, Интернет-мошенничества или пиратской деятельности, аналитики Group-IB автоматически строят графы связанных сетевых ресурсов и проверяют все найденные хосты на наличие аналогичного контента. Это позволяет выявлять как старые фишинговые сайты, которые были активны, но неизвестны, так и абсолютно новые, которые подготовлены для будущих атак, но еще не используются. 

Кроме того, сетевой граф является значительным подспорьем при поиске бэкендов — серверной части:  99% кардшопов, хакерских форумов, множество фишинговых ресурсов и других вредоносных серверов скрываются как за собственными прокси-серверами, так и за прокси легитимных сервисов. Знание о реальном расположении вредроносного сервера поволяет установить хостинг-провайдера, а также построить связи с другими вредоносными проектами злоумышленников.