Операция TA505: сетевая инфраструктура группировки. Часть 3
Анализ сетевой инфраструктуры играет большую роль в исследовании вредоносных кампаний. Сведения о том, какие IP-адреса соответствовали доменному имени в различные промежутки времени, позволяют определить новые серверы злоумышленников. Решение противоположной задачи (ретроспектива доменов, которые разрешались в заданный IP-адрес) дает новые домены, для которых можно повторять процедуру поиска, раскручивая цепочку все дальше и дальше. Вся полученная информация помогает получить представление о географии узлов, выделить «любимых» хостеров и регистраторов, подметить характерные значения полей, которые указывает злоумышленник, когда регистрирует очередной домен.
На первый взгляд бесполезная метаинформация может пригодиться спустя несколько дней, недель и даже месяцев. Ведь в ходе анализа вредоносного ПО рано или поздно встает вопрос атрибуции, принадлежности инструмента той или иной преступной группировке: и вот тут на помощь приходят все косвенные признаки, в том числе и данные о сетевых индикаторах.
В этой статье мы рассмотрим наиболее характерные признаки сетевой инфраструктуры группы TA505 и покажем пересечения с другой хакерской группировкой, Buhtrap. Читать дальше →
Источник: Хабрахабр
Похожие новости
- Поговорим о планировании внедрения DevSecOps
- Реверс — это сканворд. Как я впервые нормально понял Ghidra
- Хайстекс Акура 4.5: Свобода миграции без API, нативный бэкап PostgreSQL и защита от шифровальщиков на уровне S3
- Разработка под Kubernetes: локально всё работает, в проде — нет. Кейс с Tetragon и eBPF
- Налоги, Telegram и абсурд происходящего
- Как стать автором патента на изобретение и получить его за 2,5 месяца
- Сеть, в которой живут агенты: кто нажал Enter и как это проверить
- Не только про производительность — как балансировщик нагрузки обеспечивает отказоустойчивость
- Инсайдер в системе: как аппаратная блокировка перезаписи защищает данные от собственных сотрудников
- ИИ против ИИ: кто победит в кибербезопасности