Badając przypadki związane z phishingiem, botnetami, oszukańczymi transakcjami i przestępczymi grupami hakerskimi, eksperci Group-IB od wielu lat korzystają z analizy grafów w celu identyfikacji różnego rodzaju połączeń. Różne przypadki mają własne zbiory danych, własne algorytmy identyfikacji połączeń i interfejsy dostosowane do konkretnych zadań. Wszystkie te narzędzia zostały opracowane wewnętrznie przez Group-IB i były dostępne tylko dla naszych pracowników.
Analiza grafów infrastruktury sieciowej (wykres sieciowy) stało się pierwszym wewnętrznym narzędziem, które wbudowaliśmy we wszystkie publiczne produkty firmy. Przed stworzeniem naszego wykresu sieciowego przeanalizowaliśmy wiele podobnych zmian na rynku i nie znaleźliśmy ani jednego produktu, który odpowiadałby naszym potrzebom. W tym artykule porozmawiamy o tym, jak stworzyliśmy graf sieciowy, jak z niego korzystamy i jakie napotkaliśmy trudności.
Dmitrij Wołkow, CTO Group-IB i szef cyberwywiadu
Co potrafi wykres sieciowy Grupy-IB?
Dochodzenia
Od założenia Group-IB w 2003 roku do chwili obecnej identyfikacja, demaskowanie i stawianie cyberprzestępców przed sądem jest najwyższym priorytetem w naszej pracy. Żadne dochodzenie w sprawie cyberataku nie zostało zakończone bez analizy infrastruktury sieciowej atakujących. Na samym początku naszej podróży dość żmudną „pracą ręczną” było wyszukiwanie relacji, które mogłyby pomóc w identyfikacji przestępców: informacji o nazwach domen, adresach IP, cyfrowych odciskach palców serwerów itp.
Większość atakujących stara się działać w sieci jak najbardziej anonimowo. Jednakże, jak wszyscy ludzie, popełniają błędy. Głównym celem takiej analizy jest znalezienie „białych” lub „szarych” historycznych projektów atakujących, które mają skrzyżowania ze złośliwą infrastrukturą wykorzystywaną w bieżącym incydencie, który badamy. Jeśli możliwe jest wykrycie „białych projektów”, znalezienie atakującego z reguły staje się banalnym zadaniem. W przypadku „szarych” wyszukiwanie zajmuje więcej czasu i wysiłku, ponieważ ich właściciele starają się anonimizować lub ukrywać dane rejestracyjne, ale szanse pozostają dość duże. Z reguły na początku swojej działalności przestępczej napastnicy zwracają mniejszą uwagę na własne bezpieczeństwo i popełniają więcej błędów, dlatego im głębiej zagłębimy się w historię, tym większe są szanse na pomyślne zakończenie śledztwa. Dlatego niezwykle ważnym elementem takiego badania jest graf sieciowy z dobrą historią. Mówiąc najprościej, im głębsze dane historyczne posiada firma, tym lepszy jest jej wykres. Powiedzmy, że 5-letnia historia może pomóc rozwiązać, warunkowo, 1-2 z 10 przestępstw, a 15-letnia historia daje szansę na rozwiązanie wszystkich dziesięciu.
Wykrywanie phishingu i oszustw
Za każdym razem, gdy otrzymujemy podejrzany link do phishingu, fałszywego lub pirackiego zasobu, automatycznie tworzymy wykres powiązanych zasobów sieciowych i sprawdzamy wszystkie znalezione hosty pod kątem podobnych treści. Dzięki temu możesz znaleźć zarówno stare strony phishingowe, które były aktywne, ale nieznane, jak i zupełnie nowe, przygotowane na przyszłe ataki, ale jeszcze nie wykorzystane. Podstawowy przykład, który pojawia się dość często: znaleźliśmy witrynę phishingową na serwerze zawierającym tylko 5 witryn. Sprawdzając każdy z nich, znajdujemy treści phishingowe na innych stronach, co oznacza, że możemy zablokować 5 zamiast 1.
Wyszukaj backendy
Proces ten jest niezbędny do ustalenia, gdzie faktycznie znajduje się złośliwy serwer.
99% sklepów z kartami, forów hakerskich, wiele zasobów phishingowych i innych złośliwych serwerów jest ukrytych zarówno za ich własnymi serwerami proxy, jak i proxy legalnych usług, na przykład Cloudflare. Znajomość prawdziwego backendu jest bardzo ważna dla dochodzeń: dostawca usług hostingowych, od którego można przejąć serwer, staje się znany i możliwe staje się budowanie połączeń z innymi złośliwymi projektami.
Na przykład masz witrynę phishingową do zbierania danych o kartach bankowych, która jest rozpoznawana jako adres IP 11.11.11.11 i adres sklepu z kartami, który jest rozpoznawany jako adres IP 22.22.22.22. Podczas analizy może się okazać, że zarówno strona phishingowa, jak i sklep z kartami mają wspólny backendowy adres IP, na przykład 33.33.33.33. Wiedza ta pozwala nam zbudować powiązanie pomiędzy atakami phishingowymi a sklepem z kartami, w którym mogą być sprzedawane dane kart bankowych.
Korelacja zdarzeń
Jeśli masz dwa różne wyzwalacze (powiedzmy w IDS) z różnymi złośliwymi programami i różnymi serwerami do kontrolowania ataku, potraktujesz je jako dwa niezależne zdarzenia. Jeśli jednak istnieje dobre połączenie między złośliwymi infrastrukturami, staje się oczywiste, że nie są to różne ataki, ale etapy jednego, bardziej złożonego, wieloetapowego ataku. A jeśli jedno ze zdarzeń zostało już przypisane jakiejś grupie napastników, to drugie również można przypisać tej samej grupie. Oczywiście proces atrybucji jest znacznie bardziej złożony, dlatego potraktuj to jako prosty przykład.
Wzbogacanie wskaźników
Nie będziemy zwracać na to dużej uwagi, ponieważ jest to najczęstszy scenariusz wykorzystania wykresów w cyberbezpieczeństwie: jako dane wejściowe podajesz jeden wskaźnik, a jako wynik otrzymujesz szereg powiązanych wskaźników.
Identyfikacja wzorców
Identyfikacja wzorców jest niezbędna do skutecznego polowania. Wykresy pozwalają nie tylko znaleźć powiązane elementy, ale także zidentyfikować wspólne cechy, które są charakterystyczne dla konkretnej grupy hakerów. Znajomość tak unikalnych cech pozwala rozpoznać infrastrukturę atakującego już na etapie przygotowania i bez dowodów potwierdzających atak, takich jak wiadomości phishingowe czy złośliwe oprogramowanie.
Dlaczego stworzyliśmy własny graf sieciowy?
Ponownie przyjrzeliśmy się rozwiązaniom różnych dostawców, zanim doszliśmy do wniosku, że musimy opracować własne narzędzie, które mogłoby zrobić coś, czego nie byłby w stanie zrobić żaden istniejący produkt. Jego stworzenie zajęło kilka lat, podczas których kilkukrotnie całkowicie go zmienialiśmy. Jednak pomimo długiego okresu rozwoju nie znaleźliśmy jeszcze ani jednego analogu, który spełniałby nasze wymagania. Korzystając z naszego własnego produktu, w końcu byliśmy w stanie rozwiązać prawie wszystkie problemy, które odkryliśmy w istniejących wykresach sieciowych. Poniżej szczegółowo rozważymy te problemy:
problem
decyzja
Brak dostawcy z różnymi zbiorami danych: domeny, pasywny DNS, pasywny SSL, rekordy DNS, otwarte porty, uruchamianie usług na portach, pliki współpracujące z nazwami domen i adresami IP. Wyjaśnienie. Zazwyczaj dostawcy udostępniają osobne typy danych i aby uzyskać pełny obraz, trzeba wykupić subskrypcje od każdego. Mimo to nie zawsze jest możliwe uzyskanie wszystkich danych: niektórzy pasywni dostawcy SSL dostarczają dane tylko o certyfikatach wydanych przez zaufane urzędy certyfikacji, a ich zasięg certyfikatów z podpisem własnym jest bardzo niski. Inni również dostarczają dane za pomocą certyfikatów z podpisem własnym, ale zbierają je tylko ze standardowych portów.
Wszystkie powyższe kolekcje zebraliśmy sami. Przykładowo, do zbierania danych o certyfikatach SSL napisaliśmy własną usługę, która zbiera je zarówno z zaufanych urzędów certyfikacji, jak i skanując całą przestrzeń IPv4. Certyfikaty zostały pobrane nie tylko z adresu IP, ale także ze wszystkich domen i subdomen z naszej bazy: jeśli posiadasz domenę example.com i jej subdomenę i wszystkie odpowiadają IP 1.1.1.1, wtedy próbując uzyskać certyfikat SSL z portu 443 dla adresu IP, domeny i jej subdomeny, możesz uzyskać trzy różne wyniki. Aby zebrać dane o otwartych portach i uruchomionych usługach, musieliśmy stworzyć własny rozproszony system skanowania, ponieważ inne usługi często miały adresy IP swoich serwerów skanujących na „czarnych listach”. Nasze serwery skanujące również trafiają na czarne listy, ale wynik wykrycia potrzebnych nam usług jest wyższy niż w przypadku tych, które po prostu skanują jak najwięcej portów i sprzedają dostęp do tych danych.
Brak dostępu do całej bazy danych historycznych. Wyjaśnienie. Każdy normalny dostawca ma dobrą skumulowaną historię, ale z naturalnych powodów my, jako klient, nie mogliśmy uzyskać dostępu do wszystkich danych historycznych. Te. Można uzyskać całą historię dla pojedynczego rekordu, np. według domeny czy adresu IP, ale nie można zobaczyć historii wszystkiego – a bez tego nie można zobaczyć pełnego obrazu.
Aby zebrać jak najwięcej historycznych rekordów dotyczących domen, kupiliśmy różne bazy danych, przeanalizowaliśmy wiele otwartych zasobów, które miały taką historię (dobrze, że było ich wiele) i negocjowaliśmy z rejestratorami nazw domen. Wszystkie aktualizacje naszych własnych kolekcji są oczywiście przechowywane z pełną historią zmian.
Wszystkie istniejące rozwiązania pozwalają na ręczne zbudowanie wykresu. Wyjaśnienie. Załóżmy, że kupiłeś wiele subskrypcji od wszystkich możliwych dostawców danych (zwykle nazywanych „wzbogacającymi”). Kiedy musisz zbudować wykres, „ręce” wydają polecenie zbudowania z żądanego elementu połączenia, następnie wybierają niezbędne elementy z pojawiających się elementów i wydają polecenie dokończenia z nich połączeń i tak dalej. W tym przypadku odpowiedzialność za to, jak dobrze zostanie skonstruowany wykres, leży wyłącznie po stronie osoby.
Dokonaliśmy automatycznej budowy wykresów. Te. jeśli chcesz zbudować graf, to automatycznie budowane są połączenia z pierwszego elementu, a następnie ze wszystkich kolejnych. Specjalista wskazuje jedynie głębokość, na jakiej należy zbudować wykres. Proces automatycznego uzupełniania wykresów jest prosty, jednak inni dostawcy go nie wdrażają, ponieważ generuje ogromną liczbę nieistotnych wyników i tę wadę również musieliśmy wziąć pod uwagę (patrz poniżej).
Wiele nieistotnych wyników stanowi problem w przypadku wszystkich wykresów elementów sieci. Wyjaśnienie. Na przykład „zła domena” (uczestniczyła w ataku) jest powiązana z serwerem, z którym w ciągu ostatnich 10 lat było powiązanych 500 innych domen. Podczas ręcznego dodawania lub automatycznego konstruowania wykresu wszystkie te 500 domen również powinny pojawić się na wykresie, choć nie są one powiązane z atakiem. Lub na przykład sprawdzasz wskaźnik IP w raporcie bezpieczeństwa dostawcy. Zazwyczaj takie raporty są publikowane ze znacznym opóźnieniem i często obejmują rok lub dłużej. Najprawdopodobniej w chwili, gdy czytasz raport, serwer o tym adresie IP jest już wynajęty innym osobom z innymi połączeniami i zbudowanie wykresu ponownie będzie skutkować uzyskaniem nieistotnych wyników.
Przeszkoliliśmy system w zakresie identyfikowania nieistotnych elementów, stosując tę samą logikę, którą nasi eksperci zrobili ręcznie. Na przykład sprawdzasz złą domenę example.com, która teraz ma adres IP 11.11.11.11, a miesiąc temu - adres IP 22.22.22.22. Oprócz domeny example.com, IP 11.11.11.11 jest również powiązany z example.ru, a IP 22.22.22.22 jest powiązany z 25 tysiącami innych domen. System, podobnie jak osoba, rozumie, że 11.11.11.11 jest najprawdopodobniej serwerem dedykowanym, a ponieważ domena example.ru ma podobną pisownię do example.com, to z dużym prawdopodobieństwem są one połączone i powinny znajdować się na wykres; ale IP 22.22.22.22 należy do hostingu współdzielonego, więc nie trzeba uwzględniać na wykresie wszystkich jego domen, chyba że istnieją inne połączenia wskazujące, że jedna z tych 25 tysięcy domen również musi zostać uwzględniona (np. example.net) . Zanim system zrozumie, że należy zerwać połączenia i nie przenosić niektórych elementów na graf, bierze pod uwagę wiele właściwości elementów i skupień, w które te elementy są łączone, a także siłę obecnych połączeń. Przykładowo, jeśli mamy na grafie mały klaster (50 elementów), który zawiera złą domenę, oraz inny duży klaster (5 tys. elementów) i oba klastry są połączone połączeniem (linią) o bardzo małej sile (wagi) , wówczas takie połączenie zostanie zerwane i elementy z dużego klastra zostaną usunięte. Jeżeli jednak pomiędzy małymi i dużymi skupieniami istnieje wiele połączeń i ich siła stopniowo wzrasta, to w tym przypadku połączenie nie zostanie zerwane i na wykresie pozostaną niezbędne elementy z obu skupień.
Okres własności serwera i domeny nie jest brany pod uwagę. Wyjaśnienie. „Złe domeny” prędzej czy później wygasną i zostaną zakupione ponownie w złośliwych lub zgodnych z prawem celach. Nawet kuloodporne serwery hostingowe są wynajmowane różnym hakerom, dlatego bardzo ważne jest, aby znać i brać pod uwagę okres, w którym dana domena/serwer była pod kontrolą jednego właściciela. Często spotykamy się z sytuacją, w której serwer o adresie IP 11.11.11.11 jest obecnie używany jako C&C dla bota bankowego, a 2 miesiące temu był kontrolowany przez Ransomware. Jeśli zbudujemy połączenie bez uwzględnienia odstępów między właścicielami, będzie to wyglądało na to, że pomiędzy właścicielami botnetu bankowego a oprogramowaniem ransomware istnieje połączenie, chociaż w rzeczywistości go nie ma. W naszej pracy taki błąd jest krytyczny.
Nauczyliśmy system określania odstępów między właścicielami. W przypadku domen jest to stosunkowo proste, ponieważ whois często zawiera daty rozpoczęcia i wygaśnięcia rejestracji, a gdy istnieje pełna historia zmian w whois, łatwo jest określić odstępy czasu. Jeśli rejestracja domeny nie wygasła, ale zarządzanie nią zostało przekazane innym właścicielom, można ją również śledzić. W przypadku certyfikatów SSL nie ma takiego problemu, ponieważ są one wydawane jednorazowo i nie są odnawiane ani przenoszone. Jednak w przypadku certyfikatów z podpisem własnym nie można ufać datom określonym w okresie ważności certyfikatu, ponieważ certyfikat SSL można wygenerować już dziś i podać datę początkową certyfikatu od 2010 roku. Najtrudniej jest określić okresy własności serwerów, ponieważ tylko dostawcy hostingu mają daty i okresy wynajmu. Aby określić okres własności serwera, zaczęliśmy wykorzystywać wyniki skanowania portów i tworzenia „odcisków palców” uruchomionych usług na portach. Korzystając z tych informacji, możemy dość dokładnie określić, kiedy zmienił się właściciel serwera.
Niewiele połączeń. Wyjaśnienie. W dzisiejszych czasach nie jest nawet problemem uzyskanie darmowej listy domen, których whois zawiera konkretny adres e-mail, czy też sprawdzenie wszystkich domen, które były powiązane z konkretnym adresem IP. Ale jeśli chodzi o hakerów, którzy robią wszystko, co w ich mocy, aby trudno było ich wyśledzić, potrzebujemy dodatkowych sztuczek, aby znaleźć nowe właściwości i zbudować nowe połączenia.
Spędziliśmy dużo czasu na badaniu, w jaki sposób możemy wyodrębnić dane, które nie były dostępne w konwencjonalny sposób. Z oczywistych powodów nie możemy tutaj opisać, jak to działa, ale w pewnych okolicznościach hakerzy podczas rejestracji domen lub wynajmu i konfiguracji serwerów popełniają błędy, które pozwalają im poznać adresy e-mail, aliasy hakerów i adresy backendu. Im więcej połączeń wyodrębnisz, tym dokładniejsze wykresy możesz zbudować.
Jak działa nasz wykres
Aby rozpocząć korzystanie z wykresu sieciowego, należy w pasku wyszukiwania wpisać domenę, adres IP, adres e-mail lub odcisk palca certyfikatu SSL. Analityk może kontrolować trzy warunki: czas, głębokość kroku i oczyszczanie.
czas
Czas – data lub interwał, w którym przeszukiwany element został wykorzystany do szkodliwych celów. Jeśli nie określisz tego parametru, system sam określi ostatni okres własności dla tego zasobu. Na przykład 11 lipca Eset opublikował o tym, jak Buhtrap wykorzystuje exploita 0-day do cyberszpiegostwa. Na końcu raportu znajduje się 6 wskaźników. Jeden z nich, secure-telemetry[.]net, został ponownie zarejestrowany 16 lipca. Dlatego jeśli zbudujesz wykres po 16 lipca, otrzymasz nieistotne wyniki. Jeśli jednak wskażesz, że domena ta była używana przed tą datą, wówczas na wykresie pojawi się 126 nowych domen i 69 adresów IP, których nie ma w raporcie Eset:
- ukrfreshnews[.]com
- unian-search[.]com
- westi-world[.]info
- runesmeta[.]com
- Foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- et al.
Oprócz wskaźników sieciowych, natychmiast znajdujemy powiązania ze złośliwymi plikami, które miały powiązania z tą infrastrukturą oraz znaczniki, które informują nas, że wykorzystano Meterpreter i AZORult.
Wspaniałą rzeczą jest to, że wynik otrzymujesz w ciągu jednej sekundy i nie musisz już spędzać dni na analizowaniu danych. Oczywiście takie podejście czasami znacznie skraca czas dochodzeń, co często ma kluczowe znaczenie.
Liczba kroków lub głębokość rekurencji, z jaką zostanie zbudowany wykres
Domyślnie głębokość wynosi 3. Oznacza to, że wszystkie bezpośrednio powiązane elementy zostaną znalezione z żądanego elementu, następnie z każdego nowego elementu zostaną zbudowane nowe połączenia z innymi elementami, a nowe elementy zostaną utworzone z nowych elementów z ostatniego krok.
Weźmy przykład niezwiązany z exploitami APT i 0-day. Niedawno na Habré opisano ciekawy przypadek oszustwa związanego z kryptowalutami. W raporcie wspomniano o domenie themcx[.]co, wykorzystywanej przez oszustów do hostowania witryny internetowej podszywającej się pod giełdę Miner Coin Exchange i wyszukiwania telefonów[.]xyz w celu przyciągnięcia ruchu.
Z opisu jasno wynika, że program wymaga dość dużej infrastruktury, aby przyciągnąć ruch do fałszywych zasobów. Postanowiliśmy przyjrzeć się tej infrastrukturze, budując wykres w 4 krokach. Wynikiem był wykres przedstawiający 230 domen i 39 adresów IP. Następnie dzielimy domeny na 2 kategorie: te, które przypominają usługi do pracy z kryptowalutami oraz te, które mają na celu generowanie ruchu poprzez usługi weryfikacji telefonicznej:
Związane z kryptowalutą
Powiązane z usługami dziurkowania telefonów
monetarz[.]cc
strona z zapisami rozmówców[.]
mcxwallet[.]co
zapisy rozmów telefonicznych[.]space
btcnoise[.]com
fone-odkryj[.]xyz
górnik kryptowalut[.]zegarek
numer-odkryj[.]info
Czyszczenie
Domyślnie opcja „Oczyszczanie wykresu” jest włączona i wszystkie nieistotne elementy zostaną usunięte z wykresu. Nawiasem mówiąc, był on używany we wszystkich poprzednich przykładach. Przewiduję naturalne pytanie: w jaki sposób możemy mieć pewność, że coś ważnego nie zostanie usunięte? Odpowiem: dla analityków, którzy lubią budować wykresy ręcznie, można wyłączyć automatyczne czyszczenie i wybrać liczbę kroków = 1. Następnie analityk będzie mógł uzupełnić wykres z potrzebnych mu elementów i usunąć elementy z wykresy, które nie mają związku z zadaniem.
Już na wykresie analityk staje się dostępny dla historii zmian w whois, DNS, a także otwartych portach i działających na nich usługach.
Phishing finansowy
Zbadaliśmy działalność jednej grupy APT, która przez kilka lat przeprowadzała ataki phishingowe na klientów różnych banków w różnych regionach. Cechą charakterystyczną tej grupy była rejestracja domen bardzo podobnych do nazw prawdziwych banków, a większość witryn phishingowych miała ten sam design, różniąc się jedynie nazwami banków i ich logo.
W tym przypadku bardzo pomogła nam automatyczna analiza wykresów. Biorąc jedną z ich domen – lloydsbnk-uk[.]com, w kilka sekund zbudowaliśmy wykres składający się z 3 kroków, który zidentyfikował ponad 250 złośliwych domen, które były używane przez tę grupę od 2015 roku i nadal są używane . Część z tych domen została już zakupiona przez banki, jednak zapisy historyczne wskazują, że były one już wcześniej rejestrowane dla atakujących.
Dla przejrzystości rysunek pokazuje wykres o głębokości 2 kroków.
Warto zauważyć, że już w 2019 roku napastnicy zmienili nieco taktykę i zaczęli rejestrować nie tylko domeny banków do hostowania web phishingu, ale także domeny różnych firm konsultingowych do wysyłania wiadomości phishingowych. Na przykład domeny Swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Kobaltowa banda
W grudniu 2018 r. grupa hakerska Cobalt, specjalizująca się w atakach ukierunkowanych na banki, rozesłała kampanię mailingową w imieniu Narodowego Banku Kazachstanu.
W pismach znajdowały się linki do strony hXXps://nationalbank.bz/Doc/Prikaz.doc. Pobrany dokument zawierał makro uruchamiające PowerShell, które próbowało załadować i uruchomić plik z hXXp://wateroilclub.com/file/dwm.exe w %Temp%einmrmdmy.exe. Plik %Temp%einmrmdmy.exe, znany również jako dwm.exe, to stager CobInt skonfigurowany do interakcji z serwerem hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Wyobraź sobie, że nie możesz odbierać takich e-maili phishingowych i nie możesz przeprowadzić pełnej analizy złośliwych plików. Wykres szkodliwej domeny Nationalbank[.]bz natychmiast pokazuje powiązania z innymi złośliwymi domenami, przypisuje ją do grupy i pokazuje, które pliki zostały wykorzystane w ataku.
Weźmy adres IP 46.173.219[.]152 z tego wykresu i zbudujmy z niego wykres w jednym przebiegu i wyłączmy czyszczenie. Jest z nim powiązanych 40 domen, na przykład bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Sądząc po nazwach domen, wydaje się, że są one wykorzystywane w oszukańczych schematach, jednak algorytm czyszczący zorientował się, że nie mają one związku z tym atakiem i nie umieścił ich na wykresie, co znacznie upraszcza proces analizy i atrybucji.
Jeśli odbudujesz wykres za pomocą Nationalbank[.]bz, ale wyłączysz algorytm czyszczenia wykresu, wówczas będzie on zawierał ponad 500 elementów, z których większość nie ma nic wspólnego z grupą Cobalt ani jej atakami. Przykładowy wygląd takiego wykresu podano poniżej:
wniosek
Po kilku latach dostrajania, testowania w rzeczywistych dochodzeniach, badania zagrożeń i polowania na atakujących udało nam się nie tylko stworzyć unikalne narzędzie, ale także zmienić nastawienie do niego ekspertów w firmie. Początkowo eksperci techniczni chcą mieć pełną kontrolę nad procesem budowy wykresu. Przekonanie ich, że automatyczna konstrukcja grafów poradzi sobie z tym lepiej niż osoba z wieloletnim doświadczeniem, było niezwykle trudne. O wszystkim zadecydował czas i wielokrotne „ręczne” sprawdzenie wyników tego, co wygenerował wykres. Teraz nasi eksperci nie tylko ufają systemowi, ale także wykorzystują uzyskane przez niego wyniki w swojej codziennej pracy. Technologia ta działa wewnątrz każdego z naszych systemów i pozwala nam lepiej identyfikować zagrożenia dowolnego typu. Interfejs do ręcznej analizy wykresów jest wbudowany we wszystkie produkty Group-IB i znacznie rozszerza możliwości polowania na cyberprzestępczość. Potwierdzają to opinie analityków naszych klientów. A my z kolei stale wzbogacamy graf o dane i pracujemy nad nowymi algorytmami wykorzystującymi sztuczną inteligencję, aby stworzyć jak najdokładniejszy graf sieciowy.
Źródło: www.habr.com