微软主动出击,“钓”出网络钓鱼者

微软正采取一种巧妙的策略来对抗网络钓鱼行为者,其手段是通过访问Azure平台创建高度仿真的蜜罐租户,以此作为诱饵,吸引网络犯罪分子进入,进而收集他们的相关信息。

凭借所收集的数据,微软能够绘制出恶意基础设施的地图,深入了解复杂的网络钓鱼操作,有效破坏大规模的网络钓鱼活动,识别出网络犯罪分子,并大幅度减缓他们的行动速度。

在BSides Exeter会议上,微软首席安全软件工程师Ross Bevington(自称微软的"欺骗主管")详细阐述了这一策略及其对网络钓鱼活动的巨大破坏性影响。

Bevington在已停止使用的code.microsoft.com上构建了一个"混合高交互蜜罐",旨在收集针对Microsoft基础设施的技能较低的网络犯罪分子和民族国家团体的威胁情报。

目前,Bevington及其团队正在利用欺骗技术打击网络钓鱼,该技术将整个Microsoft租户环境作为蜜罐,包括自定义域名、数千个用户账户以及内部通信和文件共享等活动。

通常,公司或研究人员会设置一个蜜罐,等待威胁者主动发现并攻击。除了将攻击者从真实环境中转移出来,蜜罐还可以收集入侵系统的方法情报,并将其应用于合法网络。然而,Bevington的方法有所不同,它是主动出击,将"游戏"带到攻击者面前,而不是被动等待威胁者找到入侵路径。

在BSides Exeter的演讲中,这位研究人员提到,主动方法包括访问由Defender识别的活跃钓鱼网站,并输入蜜罐租户的凭据。由于这些凭据未受双因素身份验证保护,且租户内充满逼真的信息,攻击者很容易上当,并在寻找陷阱迹象的过程中浪费时间。

微软表示,它每天监控约2.5万个钓鱼网站,并向其中约20%的网站提供蜜罐凭据;而其余网站则被验证码或其他反僵尸机制拦截。一旦攻击者成功登录到假冒的租户(约占5%的情况),系统就会启动详细的日志记录,跟踪他们的每一个动作,从而了解威胁行为者的战术、技术和程序。所收集的情报包括IP地址、浏览器、位置、行为模式、是否使用VPN或VPS以及他们所使用的网络钓鱼工具包等。此外,当攻击者试图与蜜罐环境中的虚假账户交互时,微软会故意减慢响应速度。

微软一直在收集可操作的数据,这些数据可供其他安全团队使用,以创建更复杂的配置文件和更强大的防御措施。Bevington提到,他们通过这种方式收集的IP地址中,仅有不到10%能与已知威胁数据库中的数据相匹配。

这种方法有助于收集足够的情报,将攻击归因于有经济动机的团体,甚至是国家支持的行为者,如俄罗斯的Nobelium威胁组织。尽管利用"欺骗"手段保护资产的概念并不新颖,许多公司也依赖蜜罐来检测入侵和追踪黑客,但微软找到了一种利用其资源大规模追捕威胁行为者的有效方法。

参考来源:

Microsoft creates fake Azure tenants to pull phishers into honeypots (bleepingcomputer.com)

相关推荐
爱码小白13 分钟前
网络编程(王铭东老师)笔记
服务器·网络·笔记
蜜獾云23 分钟前
linux firewalld 命令详解
linux·运维·服务器·网络·windows·网络安全·firewalld
柒烨带你飞34 分钟前
路由器转发数据报的封装过程
网络·智能路由器
东方隐侠安全团队-千里1 小时前
网安瞭望台第17期:Rockstar 2FA 故障催生 FlowerStorm 钓鱼即服务扩张现象剖析
网络·chrome·web安全
神一样的老师2 小时前
面向高精度网络的时间同步安全管理架构
网络·安全·架构
与海boy3 小时前
CentOS7网络配置,解决不能联网、ping不通外网、主机的问题
linux·网络·网卡
我叫czc3 小时前
【python高级】342-TCP服务器开发流程
服务器·网络·tcp/ip
a_weng084 小时前
CS 144 check6: buiding an IP router
网络·网络协议·计算机网络
終不似少年遊*4 小时前
华为云计算HCIE笔记04
网络·华为云·云计算·学习笔记·hcie·认证·数据中心
红米饭配南瓜汤4 小时前
WebRTC服务质量(09)- Pacer机制(01) 流程概述
网络·音视频·webrtc