微软正采取一种巧妙的策略来对抗网络钓鱼行为者,其手段是通过访问Azure平台创建高度仿真的蜜罐租户,以此作为诱饵,吸引网络犯罪分子进入,进而收集他们的相关信息。
凭借所收集的数据,微软能够绘制出恶意基础设施的地图,深入了解复杂的网络钓鱼操作,有效破坏大规模的网络钓鱼活动,识别出网络犯罪分子,并大幅度减缓他们的行动速度。
在BSides Exeter会议上,微软首席安全软件工程师Ross Bevington(自称微软的"欺骗主管")详细阐述了这一策略及其对网络钓鱼活动的巨大破坏性影响。
Bevington在已停止使用的code.microsoft.com上构建了一个"混合高交互蜜罐",旨在收集针对Microsoft基础设施的技能较低的网络犯罪分子和民族国家团体的威胁情报。
目前,Bevington及其团队正在利用欺骗技术打击网络钓鱼,该技术将整个Microsoft租户环境作为蜜罐,包括自定义域名、数千个用户账户以及内部通信和文件共享等活动。
通常,公司或研究人员会设置一个蜜罐,等待威胁者主动发现并攻击。除了将攻击者从真实环境中转移出来,蜜罐还可以收集入侵系统的方法情报,并将其应用于合法网络。然而,Bevington的方法有所不同,它是主动出击,将"游戏"带到攻击者面前,而不是被动等待威胁者找到入侵路径。
在BSides Exeter的演讲中,这位研究人员提到,主动方法包括访问由Defender识别的活跃钓鱼网站,并输入蜜罐租户的凭据。由于这些凭据未受双因素身份验证保护,且租户内充满逼真的信息,攻击者很容易上当,并在寻找陷阱迹象的过程中浪费时间。
微软表示,它每天监控约2.5万个钓鱼网站,并向其中约20%的网站提供蜜罐凭据;而其余网站则被验证码或其他反僵尸机制拦截。一旦攻击者成功登录到假冒的租户(约占5%的情况),系统就会启动详细的日志记录,跟踪他们的每一个动作,从而了解威胁行为者的战术、技术和程序。所收集的情报包括IP地址、浏览器、位置、行为模式、是否使用VPN或VPS以及他们所使用的网络钓鱼工具包等。此外,当攻击者试图与蜜罐环境中的虚假账户交互时,微软会故意减慢响应速度。
微软一直在收集可操作的数据,这些数据可供其他安全团队使用,以创建更复杂的配置文件和更强大的防御措施。Bevington提到,他们通过这种方式收集的IP地址中,仅有不到10%能与已知威胁数据库中的数据相匹配。
这种方法有助于收集足够的情报,将攻击归因于有经济动机的团体,甚至是国家支持的行为者,如俄罗斯的Nobelium威胁组织。尽管利用"欺骗"手段保护资产的概念并不新颖,许多公司也依赖蜜罐来检测入侵和追踪黑客,但微软找到了一种利用其资源大规模追捕威胁行为者的有效方法。
参考来源:
Microsoft creates fake Azure tenants to pull phishers into honeypots (bleepingcomputer.com)