В условиях растущей сложности киберугроз традиционные методы защиты, основанные на репутационных списках и блокировке отдельных индикаторов компрометации, становятся недостаточными. Современные злоумышленники создают распределённую инфраструктуру, что позволяет им уклоняться от обнаружения и сохранять операционную устойчивость. Однако, как показывает практика специалистов Infoblox, ключ к разгадке такой инфраструктуры может лежать в открытых данных о SSL/TLS-сертификатах, анализируемых с помощью методов теории графов. Такой подход позволяет не только находить новые вредоносные домены, но и раскрывать ранее неизвестные группы угроз, а также консолидировать те, которые ранее считались разными.
Описание
Основой метода являются журналы Certificate Transparency (CT) - публичные и проверяемые реестры всех сертификатов, выпущенных центрами сертификации (Certificate Authority, CA). Изначально созданные для обеспечения прозрачности и безопасности веба, эти журналы содержат богатый источник оперативной разведки. Ценность заключается в том, как сертификаты обрабатывают несколько доменов. При обеспечении безопасности связанных ресурсов одним сертификатом все домены указываются в поле Subject Alternative Name (SAN, альтернативное имя субъекта). Поскольку центры сертификации обязаны проверять контроль над каждым доменом из этого списка перед выдачей сертификата, совместное появление доменов в одном SAN становится высоконадёжным индикатором их общего операционного управления.
Впрочем, не все такие связи свидетельствуют о злонамеренной деятельности. Сети доставки контента (CDN) и реселлеры доменов также выпускают сертификаты, включающие домены клиентов, что создаёт видимость связи между не связанными друг с другом субъектами. Поэтому для точного анализа критически важно фильтровать подобные коммерческие отношения.
Истинная мощь подхода раскрывается при транзитивном анализе множества сертификатов с применением теории графов. Если домен A и домен B фигурируют в одном сертификате, а домен B - вместе с доменом C в другом, то все три домена, вероятно, находятся под общим контролем, даже если A и C никогда не появлялись вместе напрямую. Моделируя домены как узлы, а связи через сертификаты - как рёбра, можно с помощью алгоритмов поиска связных компонентов выявлять целые группы связанных ресурсов. Ежедневно анализируя миллионы новых сертификатов, система в реальном времени отслеживает формирование и эволюцию таких доменных компонентов в интернет-инфраструктуре.
Сырые структурные данные обретают практическую ценность после обогащения контекстом угроз. Домены внутри каждого кластера проверяются по потокам разведданных об угрозах и классифицируются как известные вредоносные, подозрительные или неклассифицированные. Последующая атрибуция позволяет определить, каким установленным группам угроз принадлежат домены в компоненте. Это открывает несколько аналитических возможностей: валидацию кластеров с одним актором, выявление потенциального сотрудничества или общих служб в кластерах с несколькими акторами и, что наиболее важно, обнаружение новых, ранее неизвестных операций в неатрибутированных кластерах.
Для преобразования структурных связей в приоритеты действий используется количественная оценка риска. Статистические методы, основанные на доле вредоносных доменов в кластере, позволяют рассчитывать скоринговые оценки, которые затем распределяются по интерпретируемым уровням риска. Это обеспечивает объективное и воспроизводимое руководство для распределения ресурсов и определения приоритетов расследования.
Одним из самых эффективных применений методики является расширение охвата разведки через анализ ассоциаций. Если часть доменов в связном компоненте подтверждена как вредоносная, остальные домены того же кластера автоматически становятся целями для пристального расследования. Этот принцип «вины по ассоциации» позволяет выявлять ранее незамеченные угрозы. Анализ кластеров среднего риска позволил обнаружить на 135% больше вредоносных или подозрительных доменов, которые ранее не были отмечены в системах безопасности.
На более высоком уровне анализ выявляет сложные взаимоотношения между самими группами угроз. Используя иерархический графовый подход («граф графов»), где узлами становятся акторы, а связующие рёбра создаются общими доменными компонентами, можно обнаруживать консолидированные экосистемы угроз. Это показывает, что несколько внешне независимых групп могут использовать одну и ту же инфраструктуру, что указывает на координацию, общие сервисы или разные операционные лица одной организации. Такой систематический анализ ежедневно обрабатывает миллионы связей между сертификатами, выявляя эти скрытые связи.
Практическая польза подхода многогранна. Он позволяет обнаруживать полные портфолио доменов, управляемых единым субъектом, обеспечивая раннее предупреждение о новых кампаниях через кластеры низкого риска, где лишь малая часть доменов помечена в традиционных фидов. Метод также даёт возможность картировать и консолидировать идентичности злоумышленников, когда анализ показывает, что разные имена являются операционными персонами одной сущности. Наконец, систематический приоритизация на основе количественных оценок риска заменяет интуитивные или произвольные категоризации, позволяя эффективно распределять ресурсы кибербезопасности.
Таким образом, ежедневный огромный объём выпускаемых SSL-сертификатов представляет собой уникальную возможность для усиления разведки угроз
Индикаторы компрометации
Domains
- 365day-jp.com
- 365shopping-pl.com
- 365shop-pl.com
- 618712.xyz
- 618713.xyz
- 618714.xyz
- 618715.xyz
- 618721.xyz
- 618722.xyz
- 618723.xyz
- 618724.xyz
- 618726.xyz
- 618727.xyz
- 618731.xyz
- 618733.xyz
- 618734.xyz
- 618735.xyz
- 618736.xyz
- 618737.xyz
- 618738.xyz
- 618739.xyz
- 618740.xyz
- 618741.xyz
- 618742.xyz
- 618743.xyz
- 618744.xyz
- 618745.xyz
- 618747.xyz
- 618748.xyz
- 618749.xyz
- 618750.xyz
- 618751.xyz
- 618753.xyz
- 7iqead.com
- 8jadfaw.com
- 90sale-pl.com
- aaa-pl.com
- account-apple-login.com
- ahwae2.com
- aiagaw4.com
- aieutw3.com
- alerta-soporte.us
- applecare-find.xyz
- applefind.net
- apple-find.xyz
- apple-findmiy.com
- apple-findmys.com
- apple-lcloud.com.tr
- appleld-find.com
- apple-lnfo-lost-us.com
- apple-lost-lnfo.com
- apple-lost-lphone.com
- apple-lsupports-us.com
- apple-mi.support
- applemy-locate.com
- applesupportesen.org
- apple-supportid.com
- apple-ubicado.com.tr
- apple-us-lost.com
- apple-verifid.com
- ashopou.com
- auyshop.com
- bestselling-pl.com
- bigsale-hu.com
- bigsale-pl.com
- bigsale-ro.com
- buyadp.com
- buyakx.com
- buyjdn.com
- buyjsn.com
- buykjm.com
- buymxj.com
- buyosd.com
- buy-pl.com
- buy-ro.com
- bynsd.com
- coinbase-invoice.com
- com-locate.space
- com-login.my
- com-sms.us
- dappradar.biz
- dcikj.com
- device-find-apple.com
- dfesxe.com
- discount-kr.com
- dsebea.com
- ethereum-gpt.com
- evnrsn.com
- fanjda.com
- fanskw.com
- find-87653.com.tr
- find-appleld.my
- findid-clouds.com
- find-myclouds.com
- findmy-dtp.sa.com
- findmy-getmaps.com
- findmyiappie.com
- findmyiapple.com
- find-my-icloud.org
- findmyld.com
- findmy-lsupported.com
- find-my-phone-support.com
- find-my-phone-usa.com
- find-my-sopport-phone.us
- find-my-supportd.com
- findmy-support-id.com
- findmyu-supports.com
- findmyy-apple.com
- findsmy-id.com
- findsmy-mapss.com
- firnvse.com
- flndcloud.com
- flndmy-l.com
- flnd-phone-us.com
- fwerwe.com
- fwerwetp.com
- gg0.io
- goodshop-jp.com
- gr-hotsale.com
- gr-todaysale.com
- happybuy-kr.com
- hotmall-hu.com
- hotmall-pl.com
- hotmall-ro.com
- hotsale-hu.com
- hotsale-pl.com
- hotsale-ro.com
- hotshopping-ro.com
- hotstore-jp.com
- hrtyrge.com
- hu-hot.com
- hu-hotmall.com
- hu-hotsale.com
- hu-shopvip.com
- hu-store.com
- hu-todaysale.com
- hu-vipmall.com
- hu-vipshop.com
- hu-vipstore.com
- hyviips.com
- icioud-ae.com.tr
- icioud-aw.com.tr
- icioud-aw.xyz
- icioud-ds.com.tr
- icioud-he.site
- icioud-lh.com.tr
- icioud-rt.com.tr
- icioud-rt.xyz
- icioud-ut.us
- icloudfind.my
- icloudfind.org
- icloudfix.me
- icloudgenerarsoporte.com
- icloud-id-lost.com
- icloud-isuport.com
- icloudkey.us
- icloud-lost-mode.org
- icloudservi.me
- icloudservi.us
- icloudservice.me
- icloudservice.tr
- icloudsolution.us
- icloudsolutions.us
- idevice-supportd.com
- id-findmy-apple.com
- id-lcloud.online
- id-my-us.com
- iflnd-phone-us.com
- ipw.sa.com
- isuporte-cloud.com
- japanmall-jp.com
- japanstore-jp.com
- jpdomall-jp.com
- jponline-jp.com
- jp-shopbuy.com
- jp-shop-jp.com
- jpshopmall-jp.com
- jpvip-jp.com
- kaid-th.com
- kr-365vipmall.com
- kr-discountline.com
- kr-happybuy.com
- kr-linebuy.com
- kr-linemall.com
- kr-luckybuy.com
- kr-onlinevipmall.com
- kr-vipbigmall.com
- kr-vipbuybuybuy.com
- kr-vipbuymall.com
- kr-vipbuyone.com
- kr-vipbuyonline.com
- kr-vipbuysale.com
- kr-vipbuyshop.com
- kr-vipbuytop.com
- kr-vipbuyvip.com
- kr-vipdiscount.com
- kr-vipgimall.com
- kr-vipgoodbuy.com
- kr-viphappybuy.com
- kr-viphotsale.com
- kr-viphotstore.com
- kr-vipinhotsale.com
- kr-vipjinrisale.com
- kr-vipkrmall.com
- kr-vipkrshopping.com
- kr-vipkrstore.com
- kr-vipluckybuy.com
- kr-vipmallmall.com
- kr-vipmymall.com
- kr-vipmystore.com
- kr-viponlineshop.com
- kr-viponlinestore.com
- kr-vipsalesale.com
- kr-vipsaleshop.com
- kr-vipsalestore.com
- kr-vipsaletop.com
- kr-vipshoping.com
- kr-vipshopline.com
- kr-vipshopmall.com
- kr-vipshopshop.com
- kr-vipshoptop.com
- kr-vipsuperhot.com
- kr-vipsupermall.com
- kr-vipsupermarket.com
- kr-vipsupershop.com
- kr-vipsuperstore.com
- kr-viptejiashop.com
- kr-vipthmallshop.com
- kr-viptodaysale.com
- lcloud-find-my.org
- lcloud-fmi.com
- lcloud-lost.com
- lcloud-lost.online
- lcloud-mi.online
- lcloud-soporte.online
- ldfindmy.com
- ldsupports.com
- linebuy-jp.com
- linebuy-kr.com
- linemall-kr.com
- located-find.xyz
- lost-iphone.us
- lostlcloud.com
- lphoneflnd.com
- lubuys.com
- luckybuy-jp.com
- luckybuy-kr.com
- lulbuy.com
- mall-hu.com
- mallknc.com
- mallnxj.com
- mall-pl.com
- mall-ro.com
- maps-iphone.cloud
- maps-iphone.online
- maps-support-findmy.com
- mchmall.com
- meyou-jp.com
- mgdert.com
- mlumall.com
- myid-maps.com
- mymall-jp.com
- myphone-lost.com
- onlineuw.com
- onlinevipmall-kr.com
- phone-located.support
- phone-lost.support
- pi-shopvip.com
- pl-hot.com
- pl-hotsale.com
- pl-todaysale.com
- qougle.com
- remix-ethereum-ide-bot.com
- ro-todaysale-ro.com
- shoping-jp.com
- shopvip-jp.com
- shopvip-th.com
- shopvip-tw.com
- shopyvip-tw.com
- soport-apple.com
- soporte-apple.com
- soported-appleid.com
- soportt-apple-lost.com
- sopport-phone-mx.org
- supermarket-tw.com
- suport-apple-store.com
- supporte-mylost.com
- supportid-findmy.com
- support-imaps.com
- support-lost-phone.com
- support-lost-us.com
- support-maps-id.com
- support-myid.com
- telegaenzm.top
- telegracvm.cc
- telegramflp.cc
- telegramoimn.cc
- telegrasnm.cc
- telegraxcim.top
- telegrxcnm.cc
- thmallshop-jp.com
- tlegraincm.cc
- todaysale-jp.com
- top-kr.com
- uaeioa2.com
- uyeqa2.com
- vipbuyonline-kr.com
- vipdiscount-kr.com
- vipgoodbuy-jp.com
- vipgoodbuy-kr.com
- viphappybuy-jp.com
- viphappybuy-kr.com
- vip-hotbuy-kr.com
- vip-hotmall-kr.com
- vip-linebuy-kr.com
- vip-linemall-kr.com
- vip-lineshop-kr.com
- vipluckybuy-jp.com
- vipmallmall-kr.com
- vipmall-th.com
- vipngf-tw.com
- vip-sale-kr.com
- vipshop-jp.com
- vipshopline-jp.com
- vipshopline-kr.com
- vipstore-jp.com
- zbgde.com
