Вот так всегда ....

МЛ, интеллект .. а под капотом регулярки  :)

Надо разбираться что там за сплав регулярок и ML )))

Интересно узнать зачем такие технологии для условно бесполезных "threat data" без контекста😬

Так это и есть попытка получения контекста

Название малвали, адрес ее с2 и хэш ее  бинаря считается контекстом?

Да, еще + ссылка на результат работы песочницы

Считается, но зачем тут ML? Это же чистая регулярка. ML мог бы понадобится на бэкенде для аналитики вытащенных индикаторов

Я пока не знаю ;), надо их код читать.

Итого: Проект состоит из 2х частей.
1. ioc_extract - вытаскивалка индикаторов из твиттов на базе регулярок. Ребята учли очень много особенностей в экранировании и формах представления индикаторов. Из того, что успел потестить, кажется - это пока лучший экстрактор.
Еще он умеет переходить по линкам из твитта и вытаскивать индикаторы в пастбине, VT, гибриданализис.
2. classifier - на корпус из 80 000 твиттов они сделали Bert-base NER модель для домена cybersec твиттов. Классификатор. на основе этой модели, с хорошей точностью (есть табличка с реколами и пресиженами) определяет наличие индикатора, вендора, уязвимости, названия малвари (ранее известной).

и, естественно, саму модель они не опубликовали )

З.ы. из проекта можно подрезать словарик из 50К стоп-слов

https://www.intrusion.com/reports/2021-discovery-report/ lol

Все уже добавили mc.yandex.ru в IOC ?

Ну а чо? 8.8.8.8 или 1.1.1.1 рассылать в фидах можно, а яндекс нельзя?

возможно кибер-гении написали репорт

жестко расправились

russian hackers