De experts van Group-IB onderzoeken zaken met betrekking tot phishing, botnets, frauduleuze transacties en criminele hackersgroepen en gebruiken al jaren grafiekanalyse om verschillende soorten verbindingen te identificeren. Verschillende gevallen hebben hun eigen data-arrays, hun eigen algoritmen voor het identificeren van verbindingen en interfaces die zijn afgestemd op specifieke taken. Al deze tools zijn intern ontwikkeld door Group-IB en waren alleen beschikbaar voor onze medewerkers.
Grafische analyse van netwerkinfrastructuur (netwerkgrafiek) werd de eerste interne tool die we in alle openbare producten van het bedrijf inbouwden. Voordat we onze netwerkgrafiek creëerden, analyseerden we veel vergelijkbare ontwikkelingen op de markt en vonden we geen enkel product dat aan onze eigen behoeften voldeed. In dit artikel vertellen we u hoe we de netwerkgrafiek hebben gemaakt, hoe we deze gebruiken en welke problemen we tegenkwamen.
Dmitri Volkov, CTO van Group-IB en hoofd van Cyber Intelligence
Wat kan een Group-IB-netwerkgrafiek doen?
onderzoeken
Sinds de oprichting van Group-IB in 2003 en tot op de dag van vandaag zijn het identificeren, de-anonimiseren en berechten van cybercriminelen onze topprioriteit. Geen enkel onderzoek naar een cyberaanval is compleet zonder analyse van de netwerkinfrastructuur van de aanvallers. Aan het begin van onze reis was dit behoorlijk moeizaam "handwerk" om verbanden te vinden die konden helpen bij het identificeren van de criminelen: informatie over domeinnamen, IP-adressen, digitale vingerafdrukken van servers, enzovoort.
De meeste aanvallers proberen online zo anoniem mogelijk te handelen. Maar net als iedereen maken ze fouten. Het belangrijkste doel van een dergelijke analyse is het vinden van 'witte' of 'grijze' historische projecten van aanvallers die verband houden met de kwaadaardige infrastructuur die wordt gebruikt in het huidige incident dat we onderzoeken. Als we erin slagen 'witte' projecten te vinden, wordt het vinden van de aanvaller in de regel een triviale taak. Bij 'grijze' projecten kost het zoeken meer tijd en moeite, omdat de eigenaren proberen registratiegegevens te anonimiseren of te verbergen, maar de kans daarop blijft vrij groot. Aan het begin van hun criminele activiteiten besteden aanvallers doorgaans minder aandacht aan hun eigen beveiliging en maken ze meer fouten. Hoe dieper we in de geschiedenis kunnen duiken, hoe groter de kans op een succesvol onderzoek. Daarom is een netwerkgrafiek met een goede historie een uiterst belangrijk onderdeel van een dergelijk onderzoek. Simpel gezegd: hoe meer historische gegevens een bedrijf heeft, hoe beter de grafiek. Stel dat met een geschiedenis van 5 jaar 1 à 2 van de 10 misdaden kunnen worden opgelost, en met een geschiedenis van 15 jaar de kans groot is dat alle XNUMX misdaden kunnen worden opgelost.
Phishing en fraude detecteren
Elke keer dat we een verdachte link naar een phishing-, frauduleuze of illegaal gekopieerde bron ontvangen, maken we automatisch een grafiek van gerelateerde netwerkbronnen en controleren we alle gevonden hosts op vergelijkbare content. Dit stelt ons in staat om zowel oude phishingsites te vinden die actief waren maar onbekend, als volledig nieuwe die voorbereid zijn op toekomstige aanvallen maar nog niet in gebruik zijn. Een eenvoudig voorbeeld dat vrij vaak voorkomt: we vonden een phishingsite op een server met slechts 5 sites. Door elk van deze sites te controleren, vinden we phishingcontent op de andere sites, wat betekent dat we er 5 kunnen blokkeren in plaats van 1.
Zoeken naar backends
Dit proces is nodig om vast te stellen waar de kwaadaardige server zich daadwerkelijk bevindt.
99% van de cardshops, hackerforums, veel phishingbronnen en andere kwaadaardige servers zijn verborgen achter zowel hun eigen proxyservers als proxyservers van legitieme diensten, zoals Cloudflare. Kennis van de werkelijke backend is erg belangrijk voor onderzoek: de hostingprovider waarvan de server kan worden overgenomen, wordt bekend en het wordt mogelijk om verbindingen te leggen met andere kwaadaardige projecten.
Stel je voor dat je een phishingsite hebt die bankpasgegevens verzamelt en die verwijst naar het IP-adres 11.11.11.11, en een cardshop-adres dat verwijst naar het IP-adres 22.22.22.22. Tijdens de analyse kan blijken dat zowel de phishingsite als de cardshop een gemeenschappelijk backend IP-adres hebben, bijvoorbeeld 33.33.33.33. Deze kennis stelt je in staat een verband te leggen tussen phishingaanvallen en de cardshop, die mogelijk bankpasgegevens verkoopt.
Correlatie van gebeurtenissen
Wanneer je twee verschillende triggers hebt (bijvoorbeeld op een IDS) met verschillende malware en verschillende aanvalsbeheerservers, behandel je ze als twee onafhankelijke gebeurtenissen. Maar als er een goede verbinding is tussen de kwaadaardige infrastructuren, dan wordt het duidelijk dat dit geen verschillende aanvallen zijn, maar fasen van één, complexere aanval met meerdere fasen. En als een van de gebeurtenissen al aan een groep aanvallers is toegeschreven, dan kan de tweede ook aan dezelfde groep worden toegeschreven. Natuurlijk is het toeschrijvingsproces veel complexer, dus beschouw wat er staat als een eenvoudig voorbeeld.
Verrijking van indicatoren
We zullen hier niet uitgebreid op ingaan, omdat dit het meestvoorkomende scenario is waarbij grafieken worden gebruikt in cybersecurity: je geeft één indicator als invoer, en als uitvoer krijg je een reeks gerelateerde indicatoren.
Patronen identificeren
Patroondetectie is essentieel voor effectieve jacht. Grafieken stellen u niet alleen in staat om gerelateerde elementen te vinden, maar ook om gemeenschappelijke kenmerken te identificeren die inherent zijn aan een bepaalde groep hackers. Door dergelijke unieke kenmerken te kennen, kunt u de infrastructuur van de aanvallers herkennen in de voorbereidingsfase, zonder bewijs dat de aanval bevestigt, zoals phishingmails of malware.
Waarom hebben we onze eigen netwerkgrafiek gemaakt?
Ik herhaal dat we oplossingen van verschillende leveranciers hebben overwogen voordat we tot de conclusie kwamen dat we onze eigen tool moesten ontwikkelen die iets kon wat geen enkel bestaand product kon. Het duurde een aantal jaren om de tool te ontwikkelen, waarin we hem meer dan eens volledig hebben aangepast. Maar ondanks de lange ontwikkelperiode hebben we nog steeds geen enkele analoge tool gevonden die aan onze eisen voldeed. Met ons eigen product hebben we uiteindelijk bijna alle problemen die we in bestaande netwerkgrafieken tegenkwamen, kunnen oplossen. Hieronder bespreken we deze problemen in detail:
probleem
beslissing
Het ontbreken van een provider met verschillende dataverzamelingen: domeinen, passieve DNS, passieve SSL, DNS-records, open poorten, services die op poorten draaien, bestanden die interageren met domeinnamen en IP-adressen. Uitleg: Providers bieden meestal afzonderlijke soorten data aan en om een volledig beeld te krijgen, moet u bij al deze providers een abonnement afsluiten. Maar zelfs dan is het niet altijd mogelijk om alle data te verkrijgen: sommige aanbieders van passieve SSL-certificaten verstrekken alleen data over certificaten die zijn uitgegeven door vertrouwde CA's, en hun dekking van zelfondertekende certificaten is zeer beperkt. Andere verstrekken data over zelfondertekende certificaten, maar verzamelen deze alleen via standaardpoorten.
We hebben alle bovenstaande verzamelingen zelf verzameld. Om bijvoorbeeld gegevens over SSL-certificaten te verzamelen, hebben we onze eigen service geschreven die deze verzamelt van vertrouwde CA's en door de volledige IPv4-ruimte te scannen. Certificaten werden niet alleen verzameld van IP, maar ook van alle domeinen en subdomeinen uit onze database: als u een domein example.com en het bijbehorende subdomein hebt en ze verwijzen allemaal naar IP 1.1.1.1. Wanneer je vervolgens probeert een SSL-certificaat te verkrijgen via poort 443 op basis van IP, domein en subdomein, kun je drie verschillende resultaten krijgen. Om gegevens te verzamelen over open poorten en actieve services, moesten we ons eigen gedistribueerde scansysteem creëren, omdat andere services vaak IP-adressen van scanservers op "zwarte lijsten" hadden staan. Onze scanservers komen ook op "zwarte lijsten" terecht, maar het resultaat van het detecteren van de services die we nodig hebben, is beter dan dat van degenen die simpelweg zoveel mogelijk poorten scannen en toegang tot deze gegevens verkopen.
Gebrek aan toegang tot de volledige database met historische gegevens. Toelichting. Elke normale leverancier heeft een goede opgebouwde historie, maar om natuurlijke redenen konden wij als klant niet alle historische gegevens inzien. Dat wil zeggen, je kunt de volledige historie van een apart record opvragen, bijvoorbeeld per domein of IP-adres, maar je kunt niet de volledige historie inzien - en zonder deze historie kun je geen volledig beeld krijgen.
Om zoveel mogelijk historische gegevens over domeinen te verzamelen, hebben we verschillende databases gekocht, veel open bronnen met deze geschiedenis geanalyseerd (het is maar goed dat er veel waren) en onderhandeld met domeinnaamregistrars. Alle updates in onze eigen collecties worden uiteraard opgeslagen met een volledige geschiedenis van wijzigingen.
Alle bestaande oplossingen bieden de mogelijkheid om handmatig een grafiek te bouwen. Uitleg. Stel dat u een groot aantal abonnementen hebt gekocht van alle mogelijke dataproviders (meestal "enrichers" genoemd). Wanneer u een grafiek moet bouwen, geeft u "handmatig" de opdracht om de bouw te voltooien vanaf het vereiste verbindingselement. Vervolgens selecteert u de vereiste elementen uit de weergegeven elementen en geeft u de opdracht om de bouw van de verbindingen te voltooien, enzovoort. In dit geval ligt de verantwoordelijkheid voor hoe goed de grafiek wordt gebouwd volledig bij de persoon.
We hebben automatische grafiekconstructie ingebouwd. Dat wil zeggen, als u een grafiek moet bouwen, worden de verbindingen van het eerste element automatisch opgebouwd, en vervolgens ook van alle volgende elementen. De specialist geeft alleen de diepte aan waarmee de grafiek moet worden opgebouwd. Het proces van automatische grafiekaanvulling is op zich eenvoudig, maar andere leveranciers implementeren het niet omdat het een enorm aantal irrelevante resultaten oplevert en we ook met dit nadeel rekening moesten houden (zie hieronder).
Veel irrelevante resultaten vormen een probleem bij alle grafieken van netwerkelementen. Uitleg: Een "slecht domein" (deelgenomen aan een aanval) is bijvoorbeeld gekoppeld aan een server die de afgelopen 10 jaar met 500 andere domeinen is gekoppeld. Wanneer u handmatig een grafiek toevoegt of automatisch bouwt, zouden al deze 500 domeinen ook in de grafiek moeten verschijnen, ook al zijn ze niet gerelateerd aan de aanval. Of u controleert bijvoorbeeld een IP-indicator in een beveiligingsrapport van een leverancier. Dergelijke rapporten worden doorgaans met een aanzienlijke vertraging gepubliceerd en beslaan vaak een jaar of langer. Hoogstwaarschijnlijk is de server met dit IP-adres op het moment dat u het rapport leest al verhuurd aan anderen met andere verbindingen, en het bouwen van de grafiek zal ertoe leiden dat u opnieuw irrelevante resultaten krijgt.
We hebben het systeem getraind om irrelevante elementen te detecteren met dezelfde logica als onze experts handmatig deden. Stel, u controleert een foutief domein, example.com, dat nu wordt omgezet naar IP-adres 11.11.11.11, en een maand geleden naar IP-adres 22.22.22.22. IP-adres 11.11.11.11 is, naast het domein example.com, ook gekoppeld aan example.ru, en IP-adres 22.22.22.22 is gekoppeld aan 25 andere domeinen. Het systeem begrijpt, net als een mens, dat 11.11.11.11 hoogstwaarschijnlijk een dedicated server is, en aangezien het domein example.ru qua spelling vergelijkbaar is met example.com, zijn ze met een grote waarschijnlijkheid verbonden en zouden ze in de grafiek moeten staan; maar IP 22.22.22.22 behoort tot shared hosting, dus het is niet nodig om al zijn domeinen in de grafiek te plaatsen, tenzij er andere links zijn die aantonen dat een van deze 25 domeinen ook in de grafiek moet worden geplaatst (bijvoorbeeld example.net). Voordat het systeem begrijpt dat de links moeten worden verbroken en sommige elementen niet in de grafiek moeten worden geplaatst, houdt het rekening met veel eigenschappen van de elementen en clusters waarin deze elementen zijn verenigd, evenals de sterkte van de huidige links. Als we bijvoorbeeld een klein cluster (50 elementen) in de grafiek hebben, dat een slecht domein bevat, en een ander groot cluster (5 elementen), en beide clusters zijn verbonden door een link (lijn) met een zeer lage sterkte (gewicht), dan zal zo'n link worden verbroken en zullen elementen uit het grote cluster worden verwijderd. Maar als er veel links zijn tussen de kleine en grote clusters en hun sterkte geleidelijk toeneemt, dan zal in dit geval de link niet worden verbroken en zullen de benodigde elementen uit beide clusters in de grafiek blijven staan.
Er wordt geen rekening gehouden met de eigendomsinterval van de server of het domein. Uitleg. De registratieperiode van "slechte domeinen" verloopt vroeg of laat en ze worden opnieuw gekocht voor kwaadaardige of legitieme doeleinden. Zelfs bulletproof hostingdiensten verhuren servers aan verschillende hackers, dus het is cruciaal om de periode te kennen en er rekening mee te houden waarin een bepaald domein/server onder controle stond van één eigenaar. We komen vaak een situatie tegen waarin een server met IP-adres 11.11.11.11 nu wordt gebruikt als C&C voor een bankingbot, terwijl ransomware twee maanden geleden van daaruit werd aangestuurd. Als je een verbinding opbouwt zonder rekening te houden met de eigendomsintervallen, lijkt het alsof er een verband is tussen de eigenaren van het bankingbotnet en de afpersers, terwijl dat in werkelijkheid niet zo is. In ons werk is een dergelijke fout cruciaal.
We hebben het systeem geleerd om eigendomsintervallen te bepalen. Voor domeinen is dit relatief eenvoudig, omdat whois vaak de start- en vervaldatum van de registratie specificeert. Wanneer er een volledige geschiedenis van whois-wijzigingen is, is het eenvoudig om de intervallen te bepalen. Wanneer een domein niet is verlopen, maar het beheer ervan is overgedragen aan andere eigenaren, kan dit ook worden bijgehouden. Dit probleem doet zich niet voor bij SSL-certificaten, omdat deze eenmalig worden uitgegeven, niet worden verlengd en niet worden overgedragen. Maar bij zelfondertekende certificaten kunt u de data die in de geldigheidsperiodes van het certificaat zijn gespecificeerd, niet vertrouwen, omdat u vandaag een SSL-certificaat kunt genereren en de startdatum van het certificaat vanaf 2010 kunt opgeven. Het moeilijkste is om eigendomsintervallen voor servers te bepalen, omdat alleen hostingproviders leasedata en -periodes hebben. Om de eigendomsperiode van de server te bepalen, zijn we de resultaten van poortscans gaan gebruiken en vingerafdrukken gemaakt van actieve services op poorten. Op basis van deze informatie kunnen we met voldoende nauwkeurigheid aangeven wanneer de servereigenaar is gewijzigd.
Weinig connecties. Uitleg: Tegenwoordig is het geen probleem meer om zelfs maar een gratis lijst te krijgen van domeinen met een bepaald e-mailadres in hun whois, of om alle domeinen te achterhalen die aan een bepaald IP-adres zijn gekoppeld. Maar wanneer het gaat om hackers die er alles aan doen om zichzelf moeilijk traceerbaar te maken, zijn er extra "trucs" nodig om nieuwe domeinen te vinden en nieuwe connecties te leggen.
We hebben veel tijd besteed aan onderzoek naar hoe je gegevens kunt extraheren die niet op de gebruikelijke manier beschikbaar zijn. We kunnen hier om voor de hand liggende redenen niet beschrijven hoe het werkt, maar onder bepaalde omstandigheden maken hackers fouten bij het registreren van domeinen of het huren en opzetten van servers waarmee je e-mailadressen, hackeraliassen en backendadressen kunt achterhalen. Hoe meer verbindingen je extraheert, hoe nauwkeuriger je grafieken kunt maken.
Hoe onze grafiek werkt
Om de netwerkgrafiek te gebruiken, moet u een domein, IP-adres, e-mailadres of SSL-certificaatvingerafdruk in de zoekbalk invoeren. Er zijn drie voorwaarden die de analist kan bepalen: tijd, stapdiepte en opschoning.
tijd
Tijd – de datum of het interval waarop het betreffende element voor kwaadaardige doeleinden is gebruikt. Als u deze parameter niet opgeeft, bepaalt het systeem automatisch het laatste interval van eigendom van deze resource. Zo publiceerde Eset op 11 juli over hoe Buhtrap een 0-day-exploit gebruikt voor cyberspionage. Aan het einde van het rapport staan zes indicatoren. Eén daarvan, secure-telemetry[.]net, werd op 6 juli opnieuw geregistreerd. Dus als u na 16 juli een grafiek maakt, krijgt u irrelevante resultaten. Maar als u specificeert dat dit domein vóór deze datum werd gebruikt, bevat de grafiek 16 nieuwe domeinen en 126 IP-adressen die niet in het Eset-rapport staan:
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-world[.]info
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- и др.
Naast netwerkindicatoren vinden we direct links naar schadelijke bestanden die linken naar deze infrastructuur en tags die aangeven dat Meterpreter en AZORult zijn gebruikt.
Het mooiste is dat je dit resultaat binnen één seconde krijgt en niet langer dagenlang de data hoeft te analyseren. Deze aanpak verkort de onderzoekstijd soms wel een paar keer, wat vaak cruciaal is.
Het aantal stappen of de recursiediepte waarmee de grafiek wordt opgebouwd
Standaard is de diepte 3. Dit betekent dat alle direct gerelateerde elementen worden gevonden in het element waarnaar wordt gezocht. Vervolgens worden voor elk nieuw element nieuwe koppelingen naar andere elementen gemaakt en worden nieuwe elementen gemaakt op basis van de nieuwe elementen uit de vorige stap.
Laten we een voorbeeld nemen dat niets te maken heeft met APT en 0-day-exploits. Habr beschreef onlangs een interessant geval van fraude met cryptovaluta. Het rapport vermeldt een domein — themcx[.]co — dat door oplichters wordt gebruikt om de site van de vermeende exchange Miner Coin Exchange en phone-lookup[.]xyz te hosten om verkeer aan te trekken.
Uit de beschrijving blijkt duidelijk dat de regeling een vrij grote infrastructuur vereist om verkeer naar frauduleuze bronnen aan te trekken. We besloten deze infrastructuur te bekijken door een grafiek in vier stappen te maken. De uitkomst was een grafiek met 4 domeinen en 230 IP-adressen. Vervolgens verdelen we de domeinen in twee categorieën: domeinen die lijken op cryptovalutadiensten en domeinen die ontworpen zijn om verkeer te genereren via telefonische verificatiediensten.
Gerelateerd aan cryptocurrency
Geassocieerd met telefooncontrolediensten
muntmeester[.]cc
beller-record[.]site.
mcxwallet[.]co
telefoon-opnames[.]ruimte
btcnoise[.]com
fone-ontdekken[.]xyz
cryptominer[.]horloge
nummer-ontdekken[.]info
Очистка
Standaard is de optie "Grafiek opschonen" ingeschakeld en worden alle irrelevante elementen uit de grafiek verwijderd. Deze optie werd overigens in alle voorgaande voorbeelden gebruikt. Ik verwacht een logische vraag: hoe kan ik ervoor zorgen dat er niets belangrijks wordt verwijderd? Ik zal antwoorden: voor analisten die graag handmatig grafieken bouwen, kan de automatische opschoning worden uitgeschakeld en kan het aantal stappen worden ingesteld op 1. Vervolgens kan de analist de grafiek voltooien met de elementen die hij nodig heeft en elementen verwijderen die niet relevant zijn voor de taak.
De analist heeft al in de grafiek toegang tot de geschiedenis van wijzigingen in whois, DNS, open poorten en services die daarop draaien.
Financiële phishing
We onderzochten de acties van een APT-groep die al jaren phishingaanvallen uitvoerde op klanten van diverse banken in verschillende regio's. Kenmerkend voor deze groep was de registratie van domeinen die sterk leken op de namen van echte banken. De meeste phishingsites hadden hetzelfde ontwerp; de enige verschillen zaten in de namen van de banken en hun logo's.
In dit geval was geautomatiseerde grafiekanalyse erg nuttig. Met één van hun domeinen, lloydsbnk-uk[.]com, maakten we binnen enkele seconden een grafiek met een diepte van 3 stappen. Deze onthulde meer dan 250 kwaadaardige domeinen die deze groep sinds 2015 heeft gebruikt en nog steeds gebruikt. Sommige van deze domeinen zijn al door banken opgekocht, maar historische gegevens tonen aan dat ze eerder op naam van de aanvallers stonden.
Voor de duidelijkheid: de afbeelding toont een grafiek met een diepte van 2 stappen.
Het is opmerkelijk dat de aanvallers hun tactiek al in 2019 enigszins veranderden en niet alleen bankdomeinen registreerden voor het hosten van webphishing, maar ook domeinen van diverse adviesbureaus voor het versturen van phishingmails. Bijvoorbeeld de domeinen swift-department.com, saudconsultancy.com en vbgrigoryanpartners.com.
Cobalt bende
In december 2018 verstuurde de hackersgroep Cobalt, gespecialiseerd in gerichte aanvallen op banken, namens de Nationale Bank van Kazachstan een mailing.
De e-mails bevatten links naar hXXps://nationalbank.bz/Doc/Prikaz.doc. Het gedownloade document bevatte een macro die PowerShell opstartte, waarmee een bestand van hXXp://wateroilclub.com/file/dwm.exe naar %Temp%einmrmdmy.exe werd gedownload en uitgevoerd. Het bestand %Temp%einmrmdmy.exe, ook wel dwm.exe genoemd, is een CobInt-stager die is geconfigureerd om te communiceren met de server hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Stel je voor dat je deze phishingmails niet kunt ontvangen en voer een volledige analyse uit van de schadelijke bestanden. De grafiek voor het schadelijke domein nationalbank[.]bz toont direct verbindingen met andere schadelijke domeinen, wijst deze toe aan een groep en laat zien welke bestanden in de aanval zijn gebruikt.
Laten we IP-adres 46.173.219[.]152 uit deze grafiek nemen en er in één keer een grafiek op bouwen en het opschonen uitschakelen. Er zijn 40 domeinen aan gekoppeld, bijvoorbeeld bl0ckchain[.]ug.
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Het lijkt erop dat de domeinnamen worden gebruikt voor oplichting, maar het opschoonalgoritme realiseerde zich dat ze niets met deze aanval te maken hadden en nam ze daarom niet op in de grafiek. Dit maakt het analyse- en toeschrijvingsproces een stuk eenvoudiger.
Als we de grafiek herbouwen op basis van nationalbank[.]bz, maar het algoritme voor het opschonen van de grafiek uitschakelen, bevat deze meer dan 500 elementen, waarvan de meeste niets te maken hebben met de Cobalt-groep of hun aanvallen. Hieronder vindt u een voorbeeld van hoe zo'n grafiek eruitziet:
Conclusie
Na jaren van finetuning, testen in echte onderzoeken, onderzoek naar bedreigingen en het opsporen van aanvallers, zijn we er niet alleen in geslaagd een unieke tool te creëren, maar ook de houding van experts binnen het bedrijf ten opzichte hiervan te veranderen. Aanvankelijk wilden technische experts volledige controle over het proces van het maken van grafieken. Hen ervan overtuigen dat automatische grafiekconstructie dit beter kon dan iemand met jarenlange ervaring, was extreem moeilijk. Tijd en meerdere "handmatige" controles van de resultaten van de grafiek waren doorslaggevend. Nu vertrouwen onze experts niet alleen op het systeem, maar gebruiken ze de resultaten ervan ook in hun dagelijkse werk. Deze technologie werkt in elk van onze systemen en stelt ons in staat om bedreigingen van elk type beter te identificeren. De interface voor handmatige grafiekanalyse is ingebouwd in alle Group-IB-producten en breidt de mogelijkheden voor het opsporen van cybercriminaliteit aanzienlijk uit. Dit wordt bevestigd door de feedback van analisten van onze klanten. En wij blijven de grafiek op onze beurt verrijken met data en werken aan nieuwe algoritmen met behulp van kunstmatige intelligentie voor de meest nauwkeurige netwerkgrafiek.
Bron: www.habr.com
