В современном мире киберугрозы становятся все более изощрёнными, и эффективные методы их обнаружения приобретает критическое значение. Новый отчет подчеркивает важность автоматического поворота как способа выявления новых индикаторов угроз и рассматривает современные технологии, такие как нейронные сети на основе графов (GNN), в контексте борьбы с киберпреступностью.
Методы и инструменты для проактивного поиска угроз
Отчет освещает использование сетевого сканера для выявления артефактов, связанных с известными индикаторами. Palo Alto Networks предлагает своим клиентам:
- Расширенную фильтрацию URL-адресов;
- Расширенную защиту DNS, позволяющую проводить проактивный поиск угроз.
Платформа Advanced WildFire обеспечивает охват актуальных выборок и показателей, необходимых для выявления инфраструктуры вредоносных URL-адресов.
Примеры использования вредоносного ПО
В ходе исследования было обнаружено, что определенные домены хранят вредоносный двоичный файл под названием Advanced_Ip_Scanner_setup.exe. Этот файл пытается выдать себя за установщик легитимной программы, в то время как на самом деле он распространяет вредоносное ПО Aranuk/Carbanak.
Важно отметить, что хакеры нередко используют законные продукты в преступных целях, не проверяя подлинность программного обеспечения. Например, группа Prolific Puma зарегистрировала тысячи доменов, чтобы скрыть свою деятельность и избежать обнаружения.
Тактики, используемые хакерами
Хакеры прибегают к различным методам для обхода защитных механизмов, включая:
- Использование нескольких URL-адресов для доставки вредоносного ПО;
- Связь с несколькими доменами C2;
- Получение сертификатов HTTPS для доменов и IP-адресов.
Фишинговые наборы также часто используются для создания поддельных сайтов, представляющихся законными брендами, позволяя аналитикам выявлять их, исследуя связанные домены.
Сложные связи между доменами и их важность
Авторитеты в области кибербезопасности предостерегают от вывода выводов, основываясь на изолированных корреляциях между двумя вредоносными доменами. Вместо этого рекомендуется анализировать множественные связи для определения общей инфраструктуры и атрибуции кампаний.
Использование различных атрибутов, таких как лексические шаблоны и характеристики хостинга, может усилить взаимосвязи между доменами.
Примеры киберкампаний
В статье представлен случай, когда была идентифицирована сеть, выдающая себя за службы доставки почты. В результате кампании за год было выявлено около 4000 доменов, размещённых на 1200 IP-адресах. Эти домены маскировались под различные почтовые службы, таких как службы Кореи, Испании и США, что указывает на сложную инфраструктуру между доменами.
Также упоминается кампания веб-скиммера, когда злоумышленники добавляли вредоносный JavaScript-код на скомпрометированные сайты для кражи данных пользователей. В ходе этой деятельности использовались 65 доменов и 815 IP-адресов, большинство из которых принадлежали российским хостинг-провайдерам.
Масштабные фишинговые атаки
Наконец, статья фокусируется на фишинговой кампании, нацеленной на клиентов банковских и финансовых услуг по всему миру. Зафиксированы тысячи доменов, размещённых на более чем 5600 IP-адресах, связанных с вредоносной активностью в период с октября 2023 по 2024 год. Эти атаки имели целью обманом заставить жертв раскрыть свою личную и финансовую информацию через поддельные веб-страницы.
Примечательно, что кампания охватывала широкий спектр банков из разных регионов, используя общую инфраструктуру хостинга и оставаясь активной в течение всего года.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Автоматическое обнаружение угроз: новый взгляд на киберзащиту".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
