Автоматическое обнаружение угроз: новый взгляд на киберзащиту

Автоматическое обнаружение угроз: новый взгляд на киберзащиту

Изображение: unit42.paloaltonetworks.com

В современном мире киберугрозы становятся все более изощрёнными, и эффективные методы их обнаружения приобретает критическое значение. Новый отчет подчеркивает важность автоматического поворота как способа выявления новых индикаторов угроз и рассматривает современные технологии, такие как нейронные сети на основе графов (GNN), в контексте борьбы с киберпреступностью.

Методы и инструменты для проактивного поиска угроз

Отчет освещает использование сетевого сканера для выявления артефактов, связанных с известными индикаторами. Palo Alto Networks предлагает своим клиентам:

  • Расширенную фильтрацию URL-адресов;
  • Расширенную защиту DNS, позволяющую проводить проактивный поиск угроз.

Платформа Advanced WildFire обеспечивает охват актуальных выборок и показателей, необходимых для выявления инфраструктуры вредоносных URL-адресов.

Примеры использования вредоносного ПО

В ходе исследования было обнаружено, что определенные домены хранят вредоносный двоичный файл под названием Advanced_Ip_Scanner_setup.exe. Этот файл пытается выдать себя за установщик легитимной программы, в то время как на самом деле он распространяет вредоносное ПО Aranuk/Carbanak.

Важно отметить, что хакеры нередко используют законные продукты в преступных целях, не проверяя подлинность программного обеспечения. Например, группа Prolific Puma зарегистрировала тысячи доменов, чтобы скрыть свою деятельность и избежать обнаружения.

Тактики, используемые хакерами

Хакеры прибегают к различным методам для обхода защитных механизмов, включая:

  • Использование нескольких URL-адресов для доставки вредоносного ПО;
  • Связь с несколькими доменами C2;
  • Получение сертификатов HTTPS для доменов и IP-адресов.

Фишинговые наборы также часто используются для создания поддельных сайтов, представляющихся законными брендами, позволяя аналитикам выявлять их, исследуя связанные домены.

Сложные связи между доменами и их важность

Авторитеты в области кибербезопасности предостерегают от вывода выводов, основываясь на изолированных корреляциях между двумя вредоносными доменами. Вместо этого рекомендуется анализировать множественные связи для определения общей инфраструктуры и атрибуции кампаний.

Использование различных атрибутов, таких как лексические шаблоны и характеристики хостинга, может усилить взаимосвязи между доменами.

Примеры киберкампаний

В статье представлен случай, когда была идентифицирована сеть, выдающая себя за службы доставки почты. В результате кампании за год было выявлено около 4000 доменов, размещённых на 1200 IP-адресах. Эти домены маскировались под различные почтовые службы, таких как службы Кореи, Испании и США, что указывает на сложную инфраструктуру между доменами.

Также упоминается кампания веб-скиммера, когда злоумышленники добавляли вредоносный JavaScript-код на скомпрометированные сайты для кражи данных пользователей. В ходе этой деятельности использовались 65 доменов и 815 IP-адресов, большинство из которых принадлежали российским хостинг-провайдерам.

Масштабные фишинговые атаки

Наконец, статья фокусируется на фишинговой кампании, нацеленной на клиентов банковских и финансовых услуг по всему миру. Зафиксированы тысячи доменов, размещённых на более чем 5600 IP-адресах, связанных с вредоносной активностью в период с октября 2023 по 2024 год. Эти атаки имели целью обманом заставить жертв раскрыть свою личную и финансовую информацию через поддельные веб-страницы.

Примечательно, что кампания охватывала широкий спектр банков из разных регионов, используя общую инфраструктуру хостинга и оставаясь активной в течение всего года.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: