Gráf neurális hálózatok felderítésre
A Palo Alto Networks Unit 42 bemutatják, hogyan használják a gráf neurális hálózatokat (GNN) a rosszindulatú infrastruktúrák automatikus felderítésére.
A támadók gyakran újrahasznosítják vagy megosztják infrastruktúrájuk bizonyos elemeit, mint például domain neveket vagy IP-címeket. A védelmi szakemberek ezt kihasználva, ismert indikátorok alapján újabb rosszindulatú elemeket azonosíthatnak. A kutatók egy hálózati feltérképező eszközt használtak, amely a domainek közötti kapcsolatokat vizsgálta. Ezeket az adatokat felhasználva egy GNN modellt képeztek ki, amely képes további rosszindulatú domainek felismerésére.
A kutatók több ezer domaint azonosítottak, amelyek különböző országok postai szolgáltatásait imitálták, mint például az Egyesült Államok, Kanada, Izrael és mások. Ezek a domainek gyakran rövid ideig voltak aktívak, majd újabbakra váltottak, hogy elkerüljék a felderítést. A támadók hitelkártya-adatlopó kódokat helyeztek el valós weboldalakon. A GNN modell segítségével sikerült azonosítani a kapcsolódó rosszindulatú domaineket és IP-címeket. A kutatók olyan domaineket fedeztek fel, amelyek pénzügyi intézmények ügyfeleit célozták meg hamis bejelentkezési oldalakkal, hogy ellopják a felhasználói hitelesítő adatokat.
A gráf neurális hálózatok alkalmazása lehetővé teszi a védelmi szakemberek számára, hogy proaktívan azonosítsák a támadók új infrastruktúráit, még mielőtt azok aktívan kihasználnák azokat. Ez a megközelítés jelentősen növeli a kiberbiztonsági védelem hatékonyságát azáltal, hogy automatizált módon tárja fel a rejtett kapcsolatokat a rosszindulatú elemek között.