微软主动出击,“钓”出网络钓鱼者

微软正采取一种巧妙的策略来对抗网络钓鱼行为者,其手段是通过访问Azure平台创建高度仿真的蜜罐租户,以此作为诱饵,吸引网络犯罪分子进入,进而收集他们的相关信息。

凭借所收集的数据,微软能够绘制出恶意基础设施的地图,深入了解复杂的网络钓鱼操作,有效破坏大规模的网络钓鱼活动,识别出网络犯罪分子,并大幅度减缓他们的行动速度。

在BSides Exeter会议上,微软首席安全软件工程师Ross Bevington(自称微软的"欺骗主管")详细阐述了这一策略及其对网络钓鱼活动的巨大破坏性影响。

Bevington在已停止使用的code.microsoft.com上构建了一个"混合高交互蜜罐",旨在收集针对Microsoft基础设施的技能较低的网络犯罪分子和民族国家团体的威胁情报。

目前,Bevington及其团队正在利用欺骗技术打击网络钓鱼,该技术将整个Microsoft租户环境作为蜜罐,包括自定义域名、数千个用户账户以及内部通信和文件共享等活动。

通常,公司或研究人员会设置一个蜜罐,等待威胁者主动发现并攻击。除了将攻击者从真实环境中转移出来,蜜罐还可以收集入侵系统的方法情报,并将其应用于合法网络。然而,Bevington的方法有所不同,它是主动出击,将"游戏"带到攻击者面前,而不是被动等待威胁者找到入侵路径。

在BSides Exeter的演讲中,这位研究人员提到,主动方法包括访问由Defender识别的活跃钓鱼网站,并输入蜜罐租户的凭据。由于这些凭据未受双因素身份验证保护,且租户内充满逼真的信息,攻击者很容易上当,并在寻找陷阱迹象的过程中浪费时间。

微软表示,它每天监控约2.5万个钓鱼网站,并向其中约20%的网站提供蜜罐凭据;而其余网站则被验证码或其他反僵尸机制拦截。一旦攻击者成功登录到假冒的租户(约占5%的情况),系统就会启动详细的日志记录,跟踪他们的每一个动作,从而了解威胁行为者的战术、技术和程序。所收集的情报包括IP地址、浏览器、位置、行为模式、是否使用VPN或VPS以及他们所使用的网络钓鱼工具包等。此外,当攻击者试图与蜜罐环境中的虚假账户交互时,微软会故意减慢响应速度。

微软一直在收集可操作的数据,这些数据可供其他安全团队使用,以创建更复杂的配置文件和更强大的防御措施。Bevington提到,他们通过这种方式收集的IP地址中,仅有不到10%能与已知威胁数据库中的数据相匹配。

这种方法有助于收集足够的情报,将攻击归因于有经济动机的团体,甚至是国家支持的行为者,如俄罗斯的Nobelium威胁组织。尽管利用"欺骗"手段保护资产的概念并不新颖,许多公司也依赖蜜罐来检测入侵和追踪黑客,但微软找到了一种利用其资源大规模追捕威胁行为者的有效方法。

参考来源:

Microsoft creates fake Azure tenants to pull phishers into honeypots (bleepingcomputer.com)

相关推荐
hehelm1 小时前
Linux网络编程—TCP字典翻译系统
linux·开发语言·网络·c++·tcp/ip
持力行2 小时前
D-BUS会话总线
运维·网络
pt10432 小时前
思科网络自动化-API常用数据编码格式(JSON/XML/YAML)课程与实践
linux·服务器·网络
Keepingrun3 小时前
HTTP基础
网络·网络协议·http
rcms152702692183 小时前
AMAT 350-00010-001 PCB 板
网络
蓝田~4 小时前
AI 图片与视频处理 — 从原理到实践
网络·人工智能·音视频
apihz4 小时前
全球域名 WHOIS 信息实时查询免费 API 接口教程,支持1000+后缀
android·网络·网络协议·tcp/ip·apache·域名·whois
乐橙开放平台5 小时前
巡店系统笔记:乐橙 listDeviceDetailsByPage 台账 + bindDeviceLive 辅码流最小闭环
网络·笔记·物联网·自动化·音视频·智能家居
酣大智5 小时前
OSPF 虚链路实验
网络·ospf
珠海西格电力6 小时前
西格电力零碳园区管理系统:核心功能全解析,赋能园区低碳智能化落地
大数据·运维·网络·人工智能·信息可视化·能源