Microsoft folosește tactici deșelătoare împotriva actorilor de phishing prin crearea de tenant-uri honeypot realiste cu acces la Azure, pentru a atrage infractorii cibernetici și a colecta informații despre aceștia.
Cu datele colectate, Microsoft poate cartografia infrastructura malefică, obține o înțelegere mai profundă a operațiunilor sofisticate de phishing, perturba campanii la scară largă, identifica infractorii cibernetici și încetini semnificativ activitatea acestora.
Tactica și efectul său distructiv asupra activității de phishing au fost descrise la conferința BSides Exeter de către Ross Bevington, un inginer principal de securitate software la Microsoft care se autointitulează „Șeful Decepției” al Microsoft.
Bevington a creat un „honeypot de interacțiune înaltă hibrid” pe site-ul code.microsoft.com, acum retras, pentru a colecta informații despre amenințările la adresa actorilor de la infractori cibernetici mai puțin experimentați până la grupuri statale care vizează infrastructura Microsoft.
Momentan, Bevington și echipa sa luptă împotriva phishingului folosind tehnici de înșelăciune, folosind întregi medii tenant Microsoft ca honeypots cu nume de domeniu personalizate, mii de conturi de utilizator și activități precum comunicări interne și partajare de fișiere.
Companiile sau cercetătorii stabilesc în mod obișnuit un honeypot și așteaptă ca actorii amenințării să-l descopere și să acționeze. În afară de redirecționarea atacatorilor de la mediul real, un honeypot permite și colectarea de informații despre metodele folosite pentru a sparge sistemele, care pot apoi fi aplicate pe rețeaua legitimă.
Deși conceptul lui Bevington este în mare parte același, diferă în sensul că duce jocul la atacatori în loc să aștepte ca aceștia să găsească o cale de intrare.
În prezentarea sa BSides Exeter, cercetătorul spune că abordarea activă constă în vizitarea site-urilor de phishing identificate de Defender și introducerea informațiilor de autentificare din tenant-urile honeypot.
Deoarece informațiile de autentificare nu sunt protejate de autentificare în doi factori și tenant-urile sunt populate cu informații realiste, atacatorii au un mod simplu de a intra și încep să își piardă timpul căutând semne ale unei capcane.
Microsoft spune că monitorizează aproximativ 25.000 de site-uri de phishing în fiecare zi, hrănind cu informațiile honeypot aproximativ 20% dintre ele; celelalte sunt blocate de CAPTCHA sau alte mecanisme anti-bot.
Odată ce atacatorii se autentifică în tenant-urile false, ceea ce se întâmplă în 5% din cazuri, se activează jurnalizarea detaliată pentru a urmări fiecare acțiune pe care o întreprind, învățând astfel tactici, tehnici și proceduri ale actorilor amenințării.
Informațiile colectate includ adrese IP, browsere, locație, modele comportamentale, dacă folosesc VPN-uri sau VPS-uri și ce kituri de phishing se bazează.
În plus, atunci când atacatorii încearcă să interacționeze cu conturile false din mediu, Microsoft încetinește răspunsurile cât mai mult posibil.
Tehnologia de înșelăciune îi face în prezent pe atacatori să piardă 30 de zile înainte de a-și da seama că au spart un mediu fals. Pe tot parcursul acestui timp, Microsoft colectează date acționabile care pot fi utilizate de alte echipe de securitate pentru a crea profiluri mai complexe și apărări mai bune.
Bevington menționează că mai puțin de 10% din adresele IP pe care le colectează în acest fel pot fi corelate cu date din alte baze de date cunoscute cu amenințări.
Metoda ajută la colectarea unei cantități suficiente de informații pentru a atribui atacurile unor grupuri motivate financiar sau chiar actori sponsorizați de stat, cum ar fi grupul de amenințări Midnight Blizzard (Nobelium) din Rusia.
Deși principiul de înșelăciune pentru a-ți apăra activele nu este nou și multe companii se bazează pe honeypots și obiecte canary pentru a detecta intruziunile și chiar pentru a urmări hackerii, Microsoft a găsit o modalitate de a-și folosi resursele pentru a vâna actorii amenințării și metodele acestora la scară largă.
Leave a Reply