微软的一位首席安全软件工程师在信息安全会议BSides Exeter上发表演讲,描述了他们如何利用 Azure 云平台"大规模猎杀网络钓鱼者"。他自称是微软的"欺骗主管"。 罗斯-贝文顿描述了他们如何在现已退役的code.microsoft.com上创建一个"混合高交互蜜罐"。
BleepingComputer 的报告称,"收集针对微软基础架构的网络犯罪分子和民族国家组织的威胁情报":利用收集到的数据,微软可以绘制恶意基础架构的地图,深入了解复杂的网络钓鱼操作,大规模破坏活动,识别网络犯罪分子,并显著降低其活动速度。
贝文顿和他的团队利用欺骗技术打击网络钓鱼,他们把整个微软租户环境作为蜜罐,使用自定义域名、数千个用户账户以及内部通信和文件共享等活动。
这位研究人员在 BSides Exeter 的演讲中说,主动方法包括访问 Defender 识别的活动钓鱼网站,并输入蜜罐租户的凭据。 由于凭据不受双因素身份验证的保护,而且租户中充斥着逼真的信息,攻击者很容易就能进入,并开始浪费时间寻找陷阱的迹象。
微软表示,它每天监控大约 2.5 万个钓鱼网站,向其中约 20% 的网站提供蜜罐凭据;其余的网站则被验证码或其他反僵尸机制拦截。
一旦攻击者登录到假冒租户(5% 的情况下会发生),它就会打开详细的日志记录,跟踪他们采取的每一个行动,从而了解威胁行为者的战术、技术和程序。 收集到的情报包括 IP 地址、浏览器、位置、行为模式、是否使用 VPN 或 VPS,以及依赖哪些网络钓鱼工具包......
目前,这种欺骗技术会浪费攻击者 30 天的时间,然后他们才会意识到自己入侵了一个虚假环境。 自始至终,微软都在收集可操作的数据,这些数据可供其他安全团队用于创建更复杂的配置文件和更好的防御。
这种方法有助于收集足够的情报,将攻击归因于有经济动机的团体,甚至是国家支持的行为者,如俄罗斯午夜暴雪(Nobelium)威胁组织。