Undersykjen fan gefallen relatearre oan phishing, botnets, frauduleuze transaksjes en kriminele hackergroepen, hawwe Group-IB-eksperts in protte jierren grafyske analyze brûkt om ferskate soarten ferbiningen te identifisearjen. Ferskillende gefallen hawwe har eigen datasets, har eigen algoritmen foar it identifisearjen fan ferbiningen, en ynterfaces op maat foar spesifike taken. Al dizze ark waarden yntern ûntwikkele troch Group-IB en wiene allinich beskikber foar ús meiwurkers.
Grafyske analyze fan netwurkynfrastruktuer (netwurk grafyk) waard it earste ynterne ark dat wy boud hawwe yn alle publike produkten fan it bedriuw. Foardat wy ús netwurkgrafyk makken, analysearren wy in protte ferlykbere ûntjouwings op 'e merke en fûnen gjin ien produkt dat ús eigen behoeften foldie. Yn dit artikel sille wy prate oer hoe't wy de netwurkgrafyk makke hawwe, hoe't wy it brûke en hokker swierrichheden wy tsjinkamen.
Dmitry Volkov, CTO Group-IB en haad fan cyber-yntelliginsje
Wat kin de Group-IB-netwurkgrafyk dwaan?
Undersiken
Sûnt de oprjochting fan Group-IB yn 2003 oant no, hat identifisearjen, deanearjen en rjochtsjen fan cyberkriminelen in topprioriteit west yn ús wurk. Net ien cyberattackûndersyk wie kompleet sûnder de netwurkynfrastruktuer fan 'e oanfallers te analysearjen. Oan it begjin fan ús reis wie it in nochal mânske "hânwurk" om te sykjen nei relaasjes dy't kinne helpe by it identifisearjen fan kriminelen: ynformaasje oer domeinnammen, IP-adressen, digitale fingerprinten fan servers, ensfh.
De measte oanfallers besykje sa anonym mooglik te hanneljen op it netwurk. Lykwols, lykas alle minsken, se meitsje flaters. It haaddoel fan sa'n analyze is om "wyt" of "grize" histoaryske projekten te finen fan oanfallers dy't krusingen hawwe mei de kweade ynfrastruktuer dy't brûkt wurdt yn it hjoeddeistige ynsidint dat wy ûndersykje. As it mooglik is om "wite projekten" te ûntdekken, dan wurdt it finen fan de oanfaller, as regel, in triviale taak. Yn it gefal fan "griis" nimt it sykjen mear tiid en muoite, om't har eigners besykje registraasjegegevens te anonymisearjen of te ferbergjen, mar de kânsen bliuwe frij heech. As regel betelje oanfallers oan it begjin fan har kriminele aktiviteiten minder omtinken foar har eigen feiligens en meitsje mear flaters, dus hoe djipper wy yn it ferhaal dûke kinne, hoe heger de kâns op in suksesfolle ûndersyk. Dêrom is in netwurkgrafyk mei in goede skiednis in ekstreem wichtich elemint fan sa'n ûndersyk. Simply sette, de djipper histoaryske gegevens in bedriuw hat, hoe better syn grafyk. Litte wy sizze dat in 5-jierrige skiednis kin helpe oplosse, betingst, 1-2 fan 10 misdieden, en in 15-jierrige skiednis jout in kâns om te lossen alle tsien.
Phishing en fraude Detection
Elke kear as wy in fertochte keppeling krije nei in phishing, frauduleus of piraat boarne, bouwe wy automatysk in grafyk fan relatearre netwurkboarnen en kontrolearje alle fûne hosts op ferlykbere ynhâld. Hjirmei kinne jo sawol âlde phishing-sites fine dy't aktyf mar ûnbekend wiene, lykas folslein nije dy't taret binne op takomstige oanfallen, mar noch net brûkt wurde. In elemintêr foarbyld dat frij faak foarkomt: wy fûnen in phishing-side op in server mei mar 5 siden. Troch elk fan har te kontrolearjen, fine wy phishing-ynhâld op oare siden, wat betsjut dat wy 5 kinne blokkearje ynstee fan 1.
Sykje nei backends
Dit proses is nedich om te bepalen wêr't de kweade tsjinner eins wennet.
99% fan kaartwinkels, hackerforums, in protte phishing-boarnen en oare kweade tsjinners binne ferburgen efter sawol har eigen proxy-tsjinners as proxy-tsjinners fan legitime tsjinsten, bygelyks Cloudflare. Kennis oer de echte backend is tige wichtich foar ûndersiken: de hostingprovider wêrfan de tsjinner yn beslach nommen wurde kin, wurdt bekend, en it wurdt mooglik om ferbiningen te bouwen mei oare kweade projekten.
Jo hawwe bygelyks in phishing-side foar it sammeljen fan bankkaartgegevens dy't it IP-adres 11.11.11.11 oplost, en in kaartwinkeladres dat it IP-adres 22.22.22.22 oplost. Tidens de analyze kin it bliken dat sawol de phishing-side as de cardshop in mienskiplik eftergrûn IP-adres hawwe, bygelyks 33.33.33.33. Dizze kennis lit ús in ferbining bouwe tusken phishing-oanfallen en in kaartwinkel wêr't bankkaartgegevens ferkocht wurde kinne.
Event korrelaasje
As jo twa ferskillende triggers hawwe (lit ús sizze op in IDS) mei ferskate malware en ferskate tsjinners om de oanfal te kontrolearjen, sille jo se behannelje as twa ûnôfhinklike eveneminten. Mar as d'r in goede ferbining is tusken kweade ynfrastruktuer, dan wurdt it dúdlik dat dit gjin ferskillende oanfallen binne, mar stadia fan ien, kompleksere oanfal mei meardere etappe. En as ien fan 'e eveneminten al taskreaun is oan elke groep oanfallers, dan kin de twadde ek oan deselde groep wurde taskreaun. Fansels is it taskriuwingsproses folle komplekser, dus behannelje dit as in ienfâldich foarbyld.
Indicator ferriking
Wy sille hjir net folle omtinken oan jaan, om't dit it meast foarkommende senario is foar it brûken fan grafiken yn cybersecurity: jo jouwe ien yndikator as ynfier, en as útfier krije jo in array fan relatearre yndikatoaren.
Identifisearje patroanen
It identifisearjen fan patroanen is essinsjeel foar effektive jacht. Grafiken kinne jo net allinich relatearre eleminten fine, mar ek mienskiplike eigenskippen identifisearje dy't karakteristyk binne foar in bepaalde groep hackers. Kennis fan sokke unike skaaimerken lit jo de ynfrastruktuer fan 'e oanfaller werkenne sels yn' e tariedingsstadium en sûnder bewiis dat de oanfal befêstiget, lykas phishing-e-mails of malware.
Wêrom hawwe wy ús eigen netwurkgrafyk makke?
Nochris seagen wy nei oplossings fan ferskate leveransiers foardat wy ta de konklúzje kamen dat wy ús eigen ark moatte ûntwikkelje dat wat koe dwaan dat gjin besteande produkt koe dwaan. It duorre ferskate jierren om it te meitsjen, wêrby't wy it ferskate kearen folslein feroare hawwe. Mar, nettsjinsteande de lange ûntwikkelingsperioade, hawwe wy noch gjin inkelde analoog fûn dy't ús easken foldwaan soe. Mei help fan ús eigen produkt koenen wy úteinlik hast alle problemen oplosse dy't wy ûntdutsen yn besteande netwurkgrafiken. Hjirûnder sille wy dizze problemen yn detail beskôgje:
probleem
beslút
Gebrek oan in provider mei ferskate samlingen fan gegevens: domeinen, passive DNS, passive SSL, DNS-records, iepen havens, rinnende tsjinsten op havens, bestannen dy't ynteraksje mei domeinnammen en IP-adressen. Ferklearring. Typysk leverje providers aparte soarten gegevens, en om it folsleine byld te krijen, moatte jo abonneminten fan elkenien keapje. Dochs is it net altyd mooglik om alle gegevens te krijen: guon passive SSL-oanbieders jouwe allinich gegevens oer sertifikaten útjûn troch fertroude CA's, en har dekking fan sels-ûndertekene sertifikaten is ekstreem min. Oaren ek jouwe gegevens mei help fan sels-ûndertekene sertifikaten, mar sammelje it allinnich út standert havens.
Alle boppesteande kolleksjes hawwe wy sels sammele. Bygelyks, om gegevens te sammeljen oer SSL-sertifikaten, hawwe wy ús eigen tsjinst skreaun dy't se sammelet fan fertroude CA's en troch de heule IPv4-romte te scannen. Sertifikaten waarden sammele net allinich fan IP, mar ek fan alle domeinen en subdomeinen út ús database: as jo it domein example.com en syn subdomain hawwe en se allegearre oplosse nei IP 1.1.1.1, dan as jo besykje te krijen in SSL sertifikaat út haven 443 op in IP, domein en syn subdomain, kinne jo krije trije ferskillende resultaten. Om gegevens te sammeljen oer iepen havens en rinnende tsjinsten, moasten wy ús eigen ferspraat skennensysteem oanmeitsje, om't oare tsjinsten faaks de IP-adressen fan har skennenservers op "swarte listen" hienen. Us scanservers einigje ek op swartelisten, mar it resultaat fan it opspoaren fan de tsjinsten dy't wy nedich binne is heger dan dat fan dyjingen dy't gewoan safolle mooglik havens scannen en tagong ferkeapje ta dizze gegevens.
Gebrek oan tagong ta de folsleine databank fan histoaryske records. Ferklearring. Elke normale leveransier hat in goede opboude skiednis, mar om natuerlike redenen koene wy as klant gjin tagong krije ta alle histoaryske gegevens. Dy. Jo kinne de heule skiednis krije foar ien record, bygelyks per domein of IP-adres, mar jo kinne de skiednis fan alles net sjen - en sûnder dit kinne jo it folsleine byld net sjen.
Om safolle mooglik histoaryske records op domeinen te sammeljen, hawwe wy ferskate databases kocht, in protte iepen boarnen analysearre dy't dizze skiednis hiene (it is goed dat d'r in protte wiene), en ûnderhannele mei domeinnammeregistrars. Alle updates foar ús eigen kolleksjes wurde fansels bewarre mei in folsleine revyzjeskiednis.
Alle besteande oplossingen kinne jo in grafyk bouwe mei de hân. Ferklearring. Litte wy sizze dat jo in protte abonneminten kocht hawwe fan alle mooglike dataproviders (meastentiids neamd "ferrikers"). As jo in grafyk moatte bouwe, jouwe jo "hannen" it kommando om te bouwen fan it winske ferbiningselemint, selektearje dan de nedige út 'e eleminten dy't ferskine en jou it kommando om de ferbiningen fan har te foltôgjen, ensfh. Yn dit gefal leit de ferantwurdlikens foar hoe goed de grafyk sil wurde konstruearre folslein by de persoan.
Wy makken automatyske konstruksje fan grafiken. Dy. as jo in grafyk moatte bouwen, dan wurde ferbiningen fan it earste elemint automatysk boud, dan ek fan alle folgjende. De spesjalist jout allinnich oan op hokker djipte de grafyk boud wurde moat. It proses fan automatysk ynfoljen fan grafiken is ienfâldich, mar oare leveransiers ymplementearje it net, om't it in enoarm oantal irrelevante resultaten produseart, en wy moasten ek dit nadeel rekken hâlde (sjoch hjirûnder).
In protte irrelevante resultaten binne in probleem mei alle netwurk elemint grafiken. Ferklearring. Bygelyks, in "minne domein" (die meidien oan in oanfal) is assosjearre mei in tsjinner dy't hat 10 oare domeinen assosjearre mei him oer de ôfrûne 500 jier. By it manuell tafoegjen of automatysk oanmeitsjen fan in grafyk, moatte al dizze 500 domeinen ek op 'e grafyk ferskine, hoewol se net relatearre binne oan de oanfal. Of jo kontrolearje bygelyks de IP-yndikator fan it befeiligingsrapport fan de ferkeaper. Typysk wurde sokke rapporten mei in signifikante fertraging frijlitten en faak oer in jier of mear. Meast wierskynlik, op it stuit dat jo it rapport lêze, is de tsjinner mei dit IP-adres al ferhierd oan oare minsken mei oare ferbiningen, en it bouwen fan in grafyk sil wer resultearje yn dat jo irrelevante resultaten krije.
Wy trainden it systeem om irrelevante eleminten te identifisearjen mei deselde logika as ús saakkundigen mei de hân diene. Bygelyks, jo kontrolearje in minne domein example.com, dat no oplost nei IP 11.11.11.11, en in moanne lyn - nei IP 22.22.22.22. Neist it domein example.com is IP 11.11.11.11 ek ferbûn mei example.ru, en IP 22.22.22.22 is ferbûn mei 25 tûzen oare domeinen. It systeem, lykas in persoan, begrypt dat 11.11.11.11 nei alle gedachten in tawijd tsjinner is, en om't it domein example.ru yn stavering fergelykber is mei example.com, dan binne se mei in hege kâns ferbûn en moatte op 'e grafyk; mar IP 22.22.22.22 heart by dielde hosting, dus al syn domeinen hoege net yn 'e grafyk te wêzen, útsein as d'r oare ferbiningen binne dy't sjen litte dat ien fan dizze 25 tûzen domeinen ek opnommen wurde moat (bygelyks example.net) . Foardat it systeem begrypt dat ferbinings moatte wurde brutsen en guon eleminten net ferpleatst nei de grafyk, it nimt rekken mei in protte eigenskippen fan de eleminten en klusters wêryn dizze eleminten wurde kombinearre, likegoed as de sterkte fan de hjoeddeiske ferbinings. Bygelyks, as wy in lyts kluster hawwe (50 eleminten) op 'e grafyk, dy't in min domein omfettet, en in oare grutte kluster (5 tûzen eleminten) en beide klusters binne ferbûn troch in ferbining (line) mei heul lege sterkte (gewicht) , dan wurdt sa'n ferbining ferbrutsen en wurde eleminten út it grutte kluster fuorthelle. Mar as d'r in protte ferbiningen binne tusken lytse en grutte klusters en har sterkte stadichoan ferheget, dan sil yn dit gefal de ferbining net brutsen wurde en de nedige eleminten fan beide klusters bliuwe op 'e grafyk.
It ynterval fan tsjinner en domein eigendom wurdt net yn rekken brocht. Ferklearring. "Mine domeinen" sille ier of letter ferrinne en opnij wurde kocht foar kweade of legitime doelen. Sels kûgelfrije hostingservers wurde ferhierd oan ferskate hackers, dus it is kritysk om it ynterval te witten en te rekkenjen as in bepaald domein / tsjinner ûnder de kontrôle fan ien eigner wie. Wy faak tsjinkomme in situaasje dêr't in tsjinner mei IP 11.11.11.11 wurdt no brûkt as in C & C foar in banking bot, en 2 moannen lyn waard regele troch Ransomware. As wy in ferbining bouwe sûnder rekken te hâlden mei eigendomsintervallen, sil it lykje dat der in ferbining is tusken de eigners fan it bankbotnet en de ransomware, hoewol d'r yn feite gjin is. Yn ús wurk is sa'n flater kritysk.
Wy learden it systeem om eigendomsintervallen te bepalen. Foar domeinen is dit relatyf ienfâldich, om't whois faaks registraasjebegjin- en ferfaldatums befettet en, as d'r in folsleine skiednis is fan whois-wizigingen, is it maklik om de yntervallen te bepalen. As de registraasje fan in domein net ferrûn is, mar it behear is oerdroegen oan oare eigners, kin it ek wurde folge. D'r is gjin sa'n probleem foar SSL-sertifikaten, om't se ienris wurde útjûn en net fernijd of oerdroegen. Mar mei sels-ûndertekene sertifikaten kinne jo de datums net fertrouwe opjûn yn 'e jildigensperioade fan it sertifikaat, om't jo hjoed in SSL-sertifikaat kinne generearje, en de startdatum fan it sertifikaat fan 2010 opjaan. It dreechste is om de eigendomsintervallen foar servers te bepalen, om't allinich hostingproviders datums en hierperioaden hawwe. Om de perioade fan tsjinnerbesit te bepalen, begûnen wy de resultaten te brûken fan poarte-scannen en it meitsjen fan fingerprinten fan rinnende tsjinsten op havens. Mei help fan dizze ynformaasje kinne wy frij sekuer sizze wannear't de eigner fan de tsjinner feroare.
In pear ferbinings. Ferklearring. Tsjintwurdich is it net iens in probleem om in fergese list te krijen mei domeinen wêrfan de whois in spesifyk e-mailadres befettet, of om alle domeinen út te finen dy't ferbûn wiene mei in spesifyk IP-adres. Mar as it giet om hackers dy't har bêst dogge om hurd te folgjen, hawwe wy ekstra trúkjes nedich om nije eigenskippen te finen en nije ferbiningen te bouwen.
Wy hawwe in protte tiid bestege oan it ûndersykjen fan hoe't wy gegevens kinne ekstrahearje dy't net op in konvinsjonele manier beskikber wiene. Wy kinne hjir om dúdlike redenen net beskriuwe hoe't it wurket, mar ûnder beskate omstannichheden meitsje hackers, by it registrearjen fan domeinen of it ferhieren en opsetten fan servers, flaters dy't se tastean om e-mailadressen, hacker-aliassen en eftergrûnadressen te finen. Hoe mear ferbiningen jo ekstrahearje, hoe krekter grafiken jo kinne bouwe.
Hoe't ús grafyk wurket
Om de netwurkgrafyk te brûken, moatte jo it domein, IP-adres, e-post of SSL-sertifikaatfingerprint ynfiere yn 'e sykbalke. D'r binne trije betingsten dy't de analist kin kontrolearje: tiid, stapdjipte en wiskjen.
Время
Tiid - datum of ynterval as it socht elemint waard brûkt foar kweade doelen. As jo dizze parameter net oantsjutte, sil it systeem sels it lêste eigendom ynterval foar dizze boarne bepale. Bygelyks, op 11 july publisearre Eset oer hoe't Buhtrap de eksploitaasje fan 0 dagen brûkt foar cyberspionaazje. D'r binne 6 yndikatoaren oan 'e ein fan it rapport. Ien fan harren, secure-telemetry[.]net, waard op 16 july opnij registrearre. Dêrom, as jo nei 16 july in grafyk bouwe, krije jo irrelevante resultaten. Mar as jo oanjaan dat dit domein foar dizze datum is brûkt, dan befettet de grafyk 126 nije domeinen, 69 IP-adressen dy't net yn it Eset-rapport steane:
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-world[.]ynfo
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- en oaren.
Neist netwurk yndikatoaren, wy fine fuortendaliks ferbinings mei kweade triemmen dy't hie ferbinings mei dizze ynfrastruktuer en tags dy't fertelle ús dat Meterpreter en AZORult waarden brûkt.
It geweldige ding is dat jo dit resultaat binnen ien sekonde krije en jo gjin dagen langer hoege te besteegjen oan it analysearjen fan de gegevens. Fansels fermindert dizze oanpak soms de tiid foar ûndersiken signifikant, wat faaks kritysk is.
It oantal stappen of rekursion djipte wêrmei de grafyk wurdt boud
Standert is de djipte 3. Dit betsjut dat alle direkt relatearre eleminten sille wurde fûn út it winske elemint, dan wurde nije ferbiningen boud fan elk nij elemint nei oare eleminten, en nije eleminten wurde makke fan 'e nije eleminten fan' e lêste stap.
Litte wy in foarbyld nimme dat net relatearre is oan APT en eksploaten fan 0 dagen. Koartlyn waard in nijsgjirrich gefal fan fraude relatearre oan Krypto-munten beskreaun op Habré. It rapport neamt it domein themcx[.]co, dat wurdt brûkt troch oplichters om in webside te hostjen dy't foarkomt as in Miner Coin Exchange en phone-lookup[.]xyz om ferkear te lûken.
It is dúdlik út de beskriuwing dat de regeling fereasket in frij grutte ynfrastruktuer te lûken ferkear nei frauduleuze middels. Wy besletten om te sjen nei dizze ynfrastruktuer troch it bouwen fan in grafyk yn 4 stappen. De útfier wie in grafyk mei 230 domeinen en 39 IP-adressen. Dêrnei ferdiele wy domeinen yn 2 kategoryen: dejingen dy't fergelykber binne mei tsjinsten foar wurkjen mei cryptocurrencies en dejingen dy't bedoeld binne om ferkear te riden fia tillefoanferifikaasjetsjinsten:
Besibbe oan cryptocurrency
Assosjearre mei telefoan punching tsjinsten
munthâlder[.]cc
beller-record[.]side.
mcxwallet[.]co
telefoan-records[.]romte
btcnoise[.]com
fone-ûntdekke[.]xyz
kryptominer[.]watch
nûmer-ûntdekken[.]ynfo
Reiniging
Standert is de opsje "Graph Cleanup" ynskeakele en wurde alle irrelevante eleminten út 'e grafyk fuortsmiten. Trouwens, it waard brûkt yn alle eardere foarbylden. Ik foarsjoch in natuerlike fraach: hoe kinne wy derfoar soargje dat wat wichtichs net wiske wurdt? Ik sil antwurdzje: foar analisten dy't graach grafiken mei de hân bouwe, kin automatisearre skjinmeitsjen útskeakele wurde en it oantal stappen kin selektearre wurde = 1. Dêrnei sil de analist de grafyk kinne foltôgje fan 'e eleminten dy't hy nedich is en eleminten út fuortsmite de grafyk dy't irrelevant binne foar de taak.
Al op 'e grafyk wurdt de skiednis fan feroaringen yn whois, DNS, lykas iepen havens en tsjinsten dy't dêrop rinne, beskikber foar de analist.
Finansjeel phishing
Wy ûndersocht de aktiviteiten fan ien APT-groep, dy't ferskate jierren phishing-oanfallen útfierde tsjin kliïnten fan ferskate banken yn ferskate regio's. In karakteristyk skaaimerk fan dizze groep wie de registraasje fan domeinen tige ferlykber mei de nammen fan echte banken, en de measte fan 'e phishing-sites hienen itselde ûntwerp, de ienige ferskillen wiene yn' e nammen fan 'e banken en har logo's.
Yn dit gefal holp automatisearre grafykanalyse ús in protte. Troch ien fan har domeinen te nimmen - lloydsbnk-uk[.]com, bouden wy yn in pear sekonden in grafyk mei in djipte fan 3 stappen, dy't identifisearre mear as 250 kweade domeinen dy't binne brûkt troch dizze groep sûnt 2015 en bliuwe brûkt wurde . Guon fan dizze domeinen binne al kocht troch banken, mar histoaryske records litte sjen dat se earder registrearre wiene foar oanfallers.
Foar dúdlikens toant de figuer in grafyk mei in djipte fan 2 stappen.
It is opmerklik dat al yn 2019 de oanfallers har taktyk wat feroare en begon te registrearjen net allinich de domeinen fan banken foar hosting fan web phishing, mar ek de domeinen fan ferskate konsultaasjebedriuwen foar it ferstjoeren fan phishing-e-mails. Bygelyks, de domeinen swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Kobalt bende
Yn desimber 2018 stjoerde de hackergroep Cobalt, spesjalisearre yn rjochte oanfallen op banken, in mailingkampanje út namme fan 'e Nasjonale Bank fan Kazachstan.
De brieven befette keppelings nei hXXps://nationalbank.bz/Doc/Prikaz.doc. It ynladen dokumint befette in makro dy't Powershell lansearre, dy't besykje it bestân te laden en út te fieren fan hXXp://wateroilclub.com/file/dwm.exe yn %Temp%einmrmdmy.exe. It bestân %Temp%einmrmdmy.exe aka dwm.exe is in CobInt stager konfigurearre om te ynteraksje mei de tsjinner hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Stel jo foar dat jo dizze phishing-e-mails net kinne ûntfange en in folsleine analyze fan 'e kweade bestannen útfiere. De grafyk foar it kweade domein nationalbank[.]bz toant fuortendaliks ferbinings mei oare kweade domeinen, skriuwt it ta oan in groep en lit sjen hokker triemmen brûkt binne yn de oanfal.
Lit ús nimme it IP-adres 46.173.219[.]152 út dizze grafyk en bouwe in grafyk fan it yn ien pass en útsette skjinmeitsjen. Der binne 40 domeinen ferbûn mei it, bygelyks, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
kryptoelips[.]com
Troch de domeinnammen te beoardieljen, liket it derop dat se brûkt wurde yn frauduleuze skema's, mar it skjinmakalgoritme realisearre dat se net relatearre wiene oan dizze oanfal en sette se net op 'e grafyk, wat it proses fan analyse en attribúsje sterk simplifies.
As jo de grafyk opnij bouwe mei nationalbank[.]bz, mar it grafysk skjinmeitsjen algoritme útskeakelje, dan sil it mear as 500 eleminten befetsje, wêrfan de measte neat te krijen hawwe mei de Cobalt-groep of har oanfallen. In foarbyld fan hoe't sa'n grafyk derút sjocht wurdt hjirûnder jûn:
konklúzje
Nei ferskate jierren fan fine tuning, testen yn echte ûndersiken, bedrigingsûndersyk en jacht op oanfallers, binne wy net allinich slagge om in unyk ark te meitsjen, mar ek de hâlding fan saakkundigen binnen it bedriuw deroer te feroarjen. Yn earste ynstânsje wolle technyske saakkundigen folsleine kontrôle oer it grafyske bouproses. Harren oertsjûgje dat automatyske grafykkonstruksje dit better koe dwaan as in persoan mei in protte jierren ûnderfining wie ekstreem lestich. Alles waard besletten troch tiid en meardere "hânlieding" kontrôles fan de resultaten fan wat de grafyk produsearre. No fertrouwe ús saakkundigen net allinich it systeem, mar brûke ek de resultaten dy't it krijt yn har deistich wurk. Dizze technology wurket binnen elk fan ús systemen en lit ús bedrigingen fan elk type better identifisearje. De ynterface foar hânmjittige grafykanalyse is ynboud yn alle Group-IB-produkten en wreidet de mooglikheden foar cyberkriminaliteit signifikant út. Dit wurdt befêstige troch analystbeoardielingen fan ús kliïnten. En wy, op 'e beurt, trochgean mei it ferrykjen fan' e grafyk mei gegevens en wurkje oan nije algoritmen mei keunstmjittige yntelliginsje om de meast krekte netwurkgrafyk te meitsjen.
Boarne: www.habr.com