Menyelidiki kasus-kasus yang berkaitan dengan phishing, botnet, transaksi penipuan, dan kelompok peretas kriminal, pakar Group-IB telah menggunakan analisis grafik selama bertahun-tahun untuk mengidentifikasi berbagai jenis koneksi. Kasus yang berbeda memiliki kumpulan datanya sendiri, algoritmanya sendiri untuk mengidentifikasi koneksi, dan antarmuka yang disesuaikan untuk tugas tertentu. Semua alat ini dikembangkan secara internal oleh Group-IB dan hanya tersedia bagi karyawan kami.
Analisis grafik infrastruktur jaringan (grafik jaringan) menjadi alat internal pertama yang kami terapkan pada semua produk publik perusahaan. Sebelum membuat grafik jaringan, kami menganalisis banyak perkembangan serupa di pasar dan tidak menemukan satu produk pun yang memenuhi kebutuhan kami. Pada artikel ini kita akan membahas tentang cara kami membuat grafik jaringan, cara kami menggunakannya, dan kesulitan apa yang kami temui.
Dmitry Volkov, CTO Group-IB dan kepala intelijen siber
Apa yang dapat dilakukan grafik jaringan Grup-IB?
Investigasi
Sejak berdirinya Group-IB pada tahun 2003 hingga saat ini, mengidentifikasi, mendekanonisasi, dan membawa pelaku kejahatan siber ke pengadilan telah menjadi prioritas utama dalam pekerjaan kami. Tidak ada satu pun investigasi serangan siber yang dapat diselesaikan tanpa menganalisis infrastruktur jaringan para penyerang. Pada awal perjalanan kami, merupakan “pekerjaan manual” yang melelahkan untuk mencari hubungan yang dapat membantu mengidentifikasi penjahat: informasi tentang nama domain, alamat IP, sidik jari digital server, dll.
Kebanyakan penyerang mencoba bertindak seanonim mungkin di jaringan. Namun, seperti semua orang, mereka melakukan kesalahan. Tujuan utama dari analisis tersebut adalah untuk menemukan proyek historis penyerang “putih” atau “abu-abu” yang bersinggungan dengan infrastruktur berbahaya yang digunakan dalam insiden yang sedang kami selidiki. Jika "proyek putih" dapat dideteksi, maka menemukan penyerang biasanya menjadi tugas yang sepele. Dalam kasus “abu-abu”, pencarian membutuhkan lebih banyak waktu dan usaha, karena pemiliknya mencoba menganonimkan atau menyembunyikan data pendaftaran, namun kemungkinannya tetap cukup tinggi. Biasanya, di awal aktivitas kriminalnya, penyerang kurang memperhatikan keselamatan mereka sendiri dan membuat lebih banyak kesalahan, jadi semakin dalam kita menyelami ceritanya, semakin tinggi peluang keberhasilan penyelidikan. Itulah sebabnya grafik jaringan dengan riwayat yang baik merupakan elemen yang sangat penting dalam penyelidikan semacam itu. Sederhananya, semakin dalam data historis yang dimiliki suatu perusahaan, semakin baik grafiknya. Katakanlah sejarah 5 tahun dapat membantu menyelesaikan, dengan syarat, 1-2 dari 10 kejahatan, dan sejarah 15 tahun memberikan peluang untuk menyelesaikan sepuluh kejahatan tersebut.
Deteksi Phishing dan Penipuan
Setiap kali kami menerima tautan mencurigakan ke sumber daya phishing, penipuan, atau bajakan, kami secara otomatis membuat grafik sumber daya jaringan terkait dan memeriksa semua host yang ditemukan untuk konten serupa. Hal ini memungkinkan Anda menemukan situs phishing lama yang aktif tetapi tidak diketahui, serta situs baru yang siap menghadapi serangan di masa mendatang, namun belum digunakan. Contoh dasar yang cukup sering terjadi: kami menemukan situs phishing di server yang hanya memiliki 5 situs. Dengan memeriksa masing-masing situs, kami menemukan konten phishing di situs lain, yang berarti kami dapat memblokir 5, bukan 1.
Cari backend
Proses ini diperlukan untuk menentukan di mana sebenarnya server jahat berada.
99% toko kartu, forum peretas, banyak sumber phishing, dan server jahat lainnya tersembunyi di balik server proxy mereka sendiri dan proxy layanan yang sah, misalnya Cloudflare. Pengetahuan tentang backend sebenarnya sangat penting untuk penyelidikan: penyedia hosting tempat server dapat disita menjadi diketahui, dan menjadi mungkin untuk membangun koneksi dengan proyek jahat lainnya.
Misalnya, Anda memiliki situs phishing untuk mengumpulkan data kartu bank yang menetapkan alamat IP 11.11.11.11, dan alamat toko kartu yang menetapkan alamat IP 22.22.22.22. Selama analisis, mungkin saja situs phishing dan cardshop memiliki alamat IP backend yang sama, misalnya 33.33.33.33. Pengetahuan ini memungkinkan kami membangun hubungan antara serangan phishing dan toko kartu tempat data kartu bank dapat dijual.
Korelasi peristiwa
Ketika Anda memiliki dua pemicu berbeda (misalnya pada IDS) dengan malware berbeda dan server berbeda untuk mengendalikan serangan, Anda akan memperlakukan keduanya sebagai dua peristiwa independen. Namun jika ada hubungan yang baik antara infrastruktur jahat, maka menjadi jelas bahwa ini bukanlah serangan yang berbeda, namun tahapan dari satu serangan multi-tahap yang lebih kompleks. Dan jika salah satu peristiwa telah dikaitkan dengan kelompok penyerang mana pun, maka peristiwa kedua juga dapat dikaitkan dengan kelompok yang sama. Tentu saja, proses atribusi jauh lebih kompleks, jadi anggaplah ini sebagai contoh sederhana.
Pengayaan indikator
Kami tidak akan terlalu memperhatikan hal ini, karena ini adalah skenario paling umum untuk menggunakan grafik dalam keamanan siber: Anda memberikan satu indikator sebagai masukan, dan sebagai keluaran, Anda mendapatkan serangkaian indikator terkait.
Mengidentifikasi pola
Mengidentifikasi pola sangat penting untuk perburuan yang efektif. Grafik memungkinkan Anda tidak hanya menemukan elemen terkait, tetapi juga mengidentifikasi properti umum yang merupakan karakteristik kelompok peretas tertentu. Pengetahuan tentang karakteristik unik tersebut memungkinkan Anda mengenali infrastruktur penyerang bahkan pada tahap persiapan dan tanpa bukti yang mengonfirmasi serangan tersebut, seperti email phishing atau malware.
Mengapa kami membuat grafik jaringan kami sendiri?
Sekali lagi, kami melihat solusi dari vendor yang berbeda sebelum kami sampai pada kesimpulan bahwa kami perlu mengembangkan alat kami sendiri yang dapat melakukan sesuatu yang tidak dapat dilakukan oleh produk yang ada saat ini. Butuh beberapa tahun untuk membuatnya, dan selama itu kami mengubahnya sepenuhnya beberapa kali. Namun, meskipun periode pengembangannya panjang, kami belum menemukan satu pun analog yang dapat memenuhi kebutuhan kami. Dengan menggunakan produk kami sendiri, kami akhirnya mampu menyelesaikan hampir semua masalah yang kami temukan pada grafik jaringan yang ada. Di bawah ini kami akan mempertimbangkan masalah ini secara rinci:
masalah
keputusan
Kurangnya penyedia dengan kumpulan data berbeda: domain, DNS pasif, SSL pasif, catatan DNS, port terbuka, layanan yang berjalan di port, file yang berinteraksi dengan nama domain dan alamat IP. Penjelasan. Biasanya, penyedia menyediakan jenis data terpisah, dan untuk mendapatkan gambaran lengkap, Anda perlu membeli langganan dari semua orang. Meski begitu, tidak selalu mungkin untuk mendapatkan semua data: beberapa penyedia SSL pasif hanya menyediakan data tentang sertifikat yang dikeluarkan oleh CA tepercaya, dan cakupan mereka terhadap sertifikat yang ditandatangani sendiri sangat buruk. Yang lain juga menyediakan data menggunakan sertifikat yang ditandatangani sendiri, namun mengumpulkannya hanya dari port standar.
Semua koleksi di atas kami kumpulkan sendiri. Misalnya, untuk mengumpulkan data tentang sertifikat SSL, kami membuat layanan kami sendiri yang mengumpulkannya dari CA tepercaya dan dengan memindai seluruh ruang IPv4. Sertifikat dikumpulkan tidak hanya dari IP, tetapi juga dari semua domain dan subdomain dari database kami: jika Anda memiliki domain example.com dan subdomainnya dan semuanya memutuskan ke IP 1.1.1.1, lalu ketika Anda mencoba mendapatkan sertifikat SSL dari port 443 pada IP, domain, dan subdomainnya, Anda bisa mendapatkan tiga hasil berbeda. Untuk mengumpulkan data pada port terbuka dan layanan yang berjalan, kami harus membuat sistem pemindaian terdistribusi kami sendiri, karena layanan lain sering kali memiliki alamat IP server pemindaiannya di “daftar hitam”. Server pemindaian kami juga masuk daftar hitam, tetapi hasil pendeteksian layanan yang kami perlukan lebih tinggi dibandingkan hasil pendeteksian layanan yang hanya memindai port sebanyak mungkin dan menjual akses ke data ini.
Kurangnya akses terhadap seluruh database catatan sejarah. Penjelasan. Setiap pemasok normal memiliki akumulasi riwayat yang baik, tetapi karena alasan alami kami, sebagai klien, tidak dapat mengakses semua data historis. Itu. Anda bisa mendapatkan seluruh riwayat untuk satu catatan, misalnya, berdasarkan domain atau alamat IP, tetapi Anda tidak dapat melihat riwayat semuanya - dan tanpa ini Anda tidak dapat melihat gambaran lengkapnya.
Untuk mengumpulkan sebanyak mungkin catatan sejarah domain, kami membeli berbagai database, menguraikan banyak sumber daya terbuka yang memiliki riwayat ini (untungnya ada banyak), dan bernegosiasi dengan pendaftar nama domain. Semua pembaruan pada koleksi kami tentu saja disimpan dengan riwayat revisi lengkap.
Semua solusi yang ada memungkinkan Anda membuat grafik secara manual. Penjelasan. Katakanlah Anda membeli banyak langganan dari semua penyedia data yang memungkinkan (biasanya disebut "pengaya"). Saat Anda perlu membuat grafik, Anda “dengan tangan” memberikan perintah untuk membangun dari elemen koneksi yang diinginkan, kemudian memilih elemen yang diperlukan dari elemen yang muncul dan memberikan perintah untuk menyelesaikan koneksi dari elemen tersebut, dan seterusnya. Dalam hal ini, tanggung jawab seberapa baik grafik akan dibuat sepenuhnya berada di tangan orang tersebut.
Kami membuat konstruksi grafik otomatis. Itu. jika Anda perlu membuat grafik, maka koneksi dari elemen pertama dibuat secara otomatis, lalu dari semua elemen berikutnya juga. Spesialis hanya menunjukkan kedalaman di mana grafik perlu dibuat. Proses melengkapi grafik secara otomatis itu sederhana, tetapi vendor lain tidak menerapkannya karena menghasilkan banyak sekali hasil yang tidak relevan, dan kami juga harus mempertimbangkan kelemahan ini (lihat di bawah).
Banyak hasil yang tidak relevan menjadi masalah pada semua grafik elemen jaringan. Penjelasan. Misalnya, “domain buruk” (berpartisipasi dalam serangan) dikaitkan dengan server yang memiliki 10 domain lain yang terkait dengannya selama 500 tahun terakhir. Saat menambahkan secara manual atau membuat grafik secara otomatis, 500 domain ini juga akan muncul di grafik, meskipun tidak terkait dengan serangan. Atau misalnya Anda memeriksa indikator IP dari laporan keamanan vendor. Biasanya, laporan seperti itu dirilis dengan penundaan yang signifikan dan sering kali memakan waktu satu tahun atau lebih. Kemungkinan besar, pada saat Anda membaca laporan, server dengan alamat IP ini sudah disewakan kepada orang lain dengan koneksi lain, dan membuat grafik lagi-lagi akan mengakibatkan Anda mendapatkan hasil yang tidak relevan.
Kami melatih sistem untuk mengidentifikasi elemen yang tidak relevan menggunakan logika yang sama seperti yang dilakukan pakar kami secara manual. Misalnya, Anda memeriksa domain example.com yang buruk, yang sekarang ditetapkan menjadi IP 11.11.11.11, dan sebulan yang lalu - menjadi IP 22.22.22.22. Selain domain example.com, IP 11.11.11.11 juga dikaitkan dengan example.ru, dan IP 22.22.22.22 dikaitkan dengan 25 ribu domain lainnya. Sistem, seperti seseorang, memahami bahwa 11.11.11.11 kemungkinan besar adalah server khusus, dan karena domain example.ru memiliki ejaan yang mirip dengan example.com, maka, dengan kemungkinan besar, mereka terhubung dan seharusnya berada di grafik; tapi IP 22.22.22.22 milik shared hosting, jadi semua domainnya tidak perlu dicantumkan di grafik kecuali ada koneksi lain yang menunjukkan bahwa salah satu dari 25 ribu domain ini juga perlu dicantumkan (misalnya example.net) . Sebelum sistem memahami bahwa koneksi perlu diputus dan beberapa elemen tidak dipindahkan ke grafik, sistem memperhitungkan banyak properti elemen dan cluster tempat elemen-elemen ini digabungkan, serta kekuatan koneksi saat ini. Misalnya, jika kita memiliki cluster kecil (50 elemen) pada grafik, yang mencakup domain buruk, dan cluster besar lainnya (5 ribu elemen) dan kedua cluster dihubungkan oleh koneksi (garis) dengan kekuatan (bobot) yang sangat rendah. , maka koneksi tersebut akan terputus dan elemen dari cluster besar akan dihapus. Tetapi jika terdapat banyak hubungan antara cluster kecil dan besar dan kekuatannya meningkat secara bertahap, maka dalam hal ini hubungan tersebut tidak akan terputus dan elemen yang diperlukan dari kedua cluster akan tetap ada pada grafik.
Interval kepemilikan server dan domain tidak diperhitungkan. Penjelasan. “Domain buruk” cepat atau lambat akan kedaluwarsa dan dibeli lagi untuk tujuan jahat atau sah. Bahkan server hosting antipeluru disewakan kepada peretas yang berbeda, jadi penting untuk mengetahui dan memperhitungkan interval kapan domain/server tertentu berada di bawah kendali satu pemilik. Kita sering menjumpai situasi dimana server dengan IP 11.11.11.11 sekarang digunakan sebagai C&C untuk bot perbankan, dan 2 bulan yang lalu dikendalikan oleh Ransomware. Jika kita membangun koneksi tanpa memperhitungkan interval kepemilikan, maka akan terlihat seperti ada koneksi antara pemilik botnet perbankan dengan ransomware, padahal sebenarnya tidak ada. Dalam pekerjaan kami, kesalahan seperti itu sangatlah penting.
Kami mengajarkan sistem untuk menentukan interval kepemilikan. Untuk domain, hal ini relatif sederhana, karena whois sering kali berisi tanggal mulai dan habis masa berlaku pendaftaran, dan jika ada riwayat lengkap perubahan whois, intervalnya mudah ditentukan. Ketika pendaftaran domain belum habis masa berlakunya, namun pengelolaannya telah dialihkan ke pemilik lain, maka domain tersebut juga dapat dilacak. Tidak ada masalah untuk sertifikat SSL, karena sertifikat tersebut diterbitkan satu kali dan tidak diperpanjang atau ditransfer. Namun dengan sertifikat yang ditandatangani sendiri, Anda tidak dapat mempercayai tanggal yang ditentukan dalam masa berlaku sertifikat, karena Anda dapat membuat sertifikat SSL hari ini, dan menentukan tanggal mulai sertifikat dari tahun 2010. Yang paling sulit adalah menentukan interval kepemilikan server, karena hanya penyedia hosting yang memiliki tanggal dan periode sewa. Untuk menentukan jangka waktu kepemilikan server, kami mulai menggunakan hasil pemindaian port dan pembuatan sidik jari layanan yang berjalan pada port. Dengan menggunakan informasi ini, kami dapat mengetahui secara akurat kapan pemilik server berganti.
Sedikit koneksi. Penjelasan. Saat ini, tidak menjadi masalah untuk mendapatkan daftar domain gratis yang whoisnya berisi alamat email tertentu, atau untuk mengetahui semua domain yang dikaitkan dengan alamat IP tertentu. Namun jika menyangkut peretas yang berusaha sekuat tenaga agar sulit dilacak, kita memerlukan trik tambahan untuk menemukan properti baru dan membangun koneksi baru.
Kami menghabiskan banyak waktu untuk meneliti bagaimana kami dapat mengekstrak data yang tidak tersedia dengan cara konvensional. Kami tidak dapat menjelaskan di sini cara kerjanya karena alasan yang jelas, tetapi dalam keadaan tertentu, peretas, saat mendaftarkan domain atau menyewa dan menyiapkan server, membuat kesalahan yang memungkinkan mereka mengetahui alamat email, alias peretas, dan alamat backend. Semakin banyak koneksi yang Anda ekstrak, semakin akurat grafik yang dapat Anda buat.
Cara kerja grafik kami
Untuk mulai menggunakan grafik jaringan, Anda perlu memasukkan domain, alamat IP, email, atau sidik jari sertifikat SSL ke dalam bilah pencarian. Ada tiga kondisi yang dapat dikontrol oleh analis: waktu, kedalaman langkah, dan jarak bebas.
Waktu
Waktu – tanggal atau interval ketika elemen yang dicari digunakan untuk tujuan jahat. Jika Anda tidak menentukan parameter ini, sistem itu sendiri akan menentukan interval kepemilikan terakhir untuk sumber daya ini. Misalnya, pada 11 Juli, Eset menerbitkannya tentang bagaimana Buhtrap menggunakan eksploitasi 0 hari untuk spionase dunia maya. Ada 6 indikator di akhir laporan. Salah satunya, secure-telemetry[.]net, telah didaftarkan ulang pada 16 Juli. Oleh karena itu, jika Anda membuat grafik setelah 16 Juli, Anda akan mendapatkan hasil yang tidak relevan. Namun jika Anda menunjukkan bahwa domain ini digunakan sebelum tanggal ini, maka grafik tersebut mencakup 126 domain baru, 69 alamat IP yang tidak tercantum dalam laporan Eset:
- ukrfreshnews[.]com
- unian-pencarian[.]com
- vesti-dunia[.]info
- runnewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- dan lain-lain
Selain indikator jaringan, kami segera menemukan koneksi dengan file berbahaya yang memiliki koneksi dengan infrastruktur ini dan tag yang memberi tahu kami bahwa Meterpreter dan AZORult telah digunakan.
Hal hebatnya adalah Anda mendapatkan hasil ini dalam satu detik dan Anda tidak perlu lagi menghabiskan waktu berhari-hari untuk menganalisis data. Tentu saja, pendekatan ini kadang-kadang secara signifikan mengurangi waktu investigasi, yang seringkali sangat penting.
Jumlah langkah atau kedalaman rekursi yang akan digunakan untuk membuat grafik
Secara default, kedalamannya adalah 3. Artinya semua elemen yang berhubungan langsung akan ditemukan dari elemen yang diinginkan, kemudian koneksi baru akan dibangun dari setiap elemen baru ke elemen lainnya, dan elemen baru akan dibuat dari elemen baru dari elemen terakhir. melangkah.
Mari kita ambil contoh yang tidak terkait dengan APT dan eksploitasi 0 hari. Baru-baru ini, sebuah kasus penipuan menarik terkait cryptocurrency dijelaskan di Habré. Laporan tersebut menyebutkan domain themcx[.]co, yang digunakan oleh penipu untuk meng-host situs web yang mengaku sebagai Penambang Koin Exchange dan pencarian telepon[.]xyz untuk menarik lalu lintas.
Jelas dari uraiannya bahwa skema tersebut memerlukan infrastruktur yang cukup besar untuk menarik lalu lintas ke sumber daya palsu. Kami memutuskan untuk melihat infrastruktur ini dengan membuat grafik dalam 4 langkah. Outputnya berupa grafik dengan 230 domain dan 39 alamat IP. Selanjutnya, kami membagi domain menjadi 2 kategori: domain yang serupa dengan layanan untuk bekerja dengan mata uang kripto dan domain yang dimaksudkan untuk mengarahkan lalu lintas melalui layanan verifikasi telepon:
Terkait dengan mata uang kripto
Terkait dengan layanan pelubangan telepon
pemegang koin[.]cc
situs catatan penelepon[.]
mcxwallet[.]co
catatan telepon[.]ruang
btcnoise[.]com
dr.fone-mengungkap[.]xyz
penambang kripto[.]tonton
nomor-mengungkap[.]info
Очистка
Secara default, opsi “Pembersihan Grafik” diaktifkan dan semua elemen yang tidak relevan akan dihapus dari grafik. Omong-omong, ini digunakan di semua contoh sebelumnya. Saya memperkirakan sebuah pertanyaan wajar: bagaimana kita dapat memastikan bahwa sesuatu yang penting tidak terhapus? Saya akan menjawab: bagi analis yang suka membuat grafik dengan tangan, pembersihan otomatis dapat dinonaktifkan dan jumlah langkah yang dapat dipilih = 1. Selanjutnya, analis akan dapat melengkapi grafik dari elemen yang diperlukan dan menghapus elemen dari grafik yang tidak relevan dengan tugas.
Sudah ada di grafik, riwayat perubahan whois, DNS, serta port terbuka dan layanan yang berjalan di dalamnya menjadi tersedia untuk analis.
Phishing finansial
Kami menyelidiki aktivitas salah satu kelompok APT yang selama beberapa tahun melakukan serangan phishing terhadap klien dari berbagai bank di berbagai wilayah. Ciri khas grup ini adalah pendaftaran domain yang sangat mirip dengan nama bank sebenarnya, dan sebagian besar situs phishing memiliki desain yang sama, satu-satunya perbedaan adalah nama bank dan logonya.
Dalam hal ini, analisis grafik otomatis banyak membantu kami. Mengambil salah satu domain mereka - lloydsbnk-uk[.]com, dalam beberapa detik kami membuat grafik dengan kedalaman 3 langkah, yang mengidentifikasi lebih dari 250 domain berbahaya yang telah digunakan oleh grup ini sejak 2015 dan terus digunakan . Beberapa dari domain ini telah dibeli oleh bank, namun catatan sejarah menunjukkan bahwa domain tersebut sebelumnya didaftarkan kepada penyerang.
Untuk lebih jelasnya, gambar menunjukkan grafik dengan kedalaman 2 langkah.
Patut dicatat bahwa pada tahun 2019, para penyerang mengubah taktik mereka dan mulai mendaftarkan tidak hanya domain bank untuk hosting web phishing, tetapi juga domain berbagai perusahaan konsultan untuk mengirim email phishing. Misalnya domain swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Geng kobalt
Pada bulan Desember 2018, kelompok peretas Cobalt, yang berspesialisasi dalam serangan yang ditargetkan terhadap bank, mengirimkan kampanye surat atas nama Bank Nasional Kazakhstan.
Surat-surat tersebut berisi tautan ke hXXps://nationalbank.bz/Doc/Prikaz.doc. Dokumen yang diunduh berisi makro yang meluncurkan Powershell, yang akan mencoba memuat dan mengeksekusi file dari hXXp://wateroilclub.com/file/dwm.exe di %Temp%einmrmdmy.exe. File %Temp%einmrmdmy.exe alias dwm.exe adalah stager CobInt yang dikonfigurasi untuk berinteraksi dengan server hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Bayangkan tidak dapat menerima email phishing ini dan melakukan analisis lengkap terhadap file berbahaya. Grafik untuk domain berbahaya nationalbank[.]bz segera menunjukkan koneksi dengan domain jahat lainnya, mengaitkannya ke grup, dan menunjukkan file mana yang digunakan dalam serangan tersebut.
Mari kita ambil alamat IP 46.173.219[.]152 dari grafik ini dan buat grafik dari grafik tersebut dalam sekali jalan dan matikan pembersihan. Ada 40 domain yang terkait dengannya, misalnya bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Dilihat dari nama domainnya, tampaknya nama domain tersebut digunakan dalam skema penipuan, namun algoritme pembersihan menyadari bahwa nama domain tersebut tidak terkait dengan serangan ini dan tidak memasukkannya ke dalam grafik, yang sangat menyederhanakan proses analisis dan atribusi.
Jika Anda membuat ulang grafik menggunakan nationalbank[.]bz, tetapi menonaktifkan algoritma pembersihan grafik, maka grafik tersebut akan berisi lebih dari 500 elemen, yang sebagian besar tidak ada hubungannya dengan kelompok Cobalt atau serangan mereka. Contoh tampilan grafik diberikan di bawah ini:
Kesimpulan
Setelah beberapa tahun melakukan penyesuaian, pengujian dalam investigasi nyata, penelitian ancaman, dan perburuan penyerang, kami tidak hanya berhasil menciptakan alat yang unik, namun juga mengubah sikap para pakar dalam perusahaan terhadap alat tersebut. Awalnya, pakar teknis menginginkan kendali penuh atas proses pembuatan grafik. Meyakinkan mereka bahwa konstruksi grafik otomatis dapat melakukan hal ini lebih baik daripada orang yang memiliki pengalaman bertahun-tahun sangatlah sulit. Semuanya ditentukan oleh waktu dan beberapa pemeriksaan “manual” terhadap hasil yang dihasilkan grafik. Kini para ahli kami tidak hanya mempercayai sistem tersebut, namun juga menggunakan hasil yang diperolehnya dalam pekerjaan mereka sehari-hari. Teknologi ini bekerja di dalam setiap sistem kami dan memungkinkan kami mengidentifikasi segala jenis ancaman dengan lebih baik. Antarmuka untuk analisis grafik manual dibangun di semua produk Group-IB dan secara signifikan memperluas kemampuan untuk berburu kejahatan dunia maya. Hal ini dikonfirmasi oleh ulasan analis dari klien kami. Dan kami, pada gilirannya, terus memperkaya grafik dengan data dan mengerjakan algoritme baru menggunakan kecerdasan buatan untuk membuat grafik jaringan paling akurat.
Sumber: www.habr.com