网站重构工程师,深圳创业补贴,建设资格注册管理中心网站,电子政务网站建设的挑战微软正采取一种巧妙的策略来对抗网络钓鱼行为者#xff0c;其手段是通过访问Azure平台创建高度仿真的蜜罐租户#xff0c;以此作为诱饵#xff0c;吸引网络犯罪分子进入#xff0c;进而收集他们的相关信息。
凭借所收集的数据#xff0c;微软能够绘制出恶意基础设施的地图…微软正采取一种巧妙的策略来对抗网络钓鱼行为者其手段是通过访问Azure平台创建高度仿真的蜜罐租户以此作为诱饵吸引网络犯罪分子进入进而收集他们的相关信息。
凭借所收集的数据微软能够绘制出恶意基础设施的地图深入了解复杂的网络钓鱼操作有效破坏大规模的网络钓鱼活动识别出网络犯罪分子并大幅度减缓他们的行动速度。 在BSides Exeter会议上微软首席安全软件工程师Ross Bevington自称微软的“欺骗主管”详细阐述了这一策略及其对网络钓鱼活动的巨大破坏性影响。
Bevington在已停止使用的code.microsoft.com上构建了一个“混合高交互蜜罐”旨在收集针对Microsoft基础设施的技能较低的网络犯罪分子和民族国家团体的威胁情报。
目前Bevington及其团队正在利用欺骗技术打击网络钓鱼该技术将整个Microsoft租户环境作为蜜罐包括自定义域名、数千个用户账户以及内部通信和文件共享等活动。
通常公司或研究人员会设置一个蜜罐等待威胁者主动发现并攻击。除了将攻击者从真实环境中转移出来蜜罐还可以收集入侵系统的方法情报并将其应用于合法网络。然而Bevington的方法有所不同它是主动出击将“游戏”带到攻击者面前而不是被动等待威胁者找到入侵路径。
在BSides Exeter的演讲中这位研究人员提到主动方法包括访问由Defender识别的活跃钓鱼网站并输入蜜罐租户的凭据。由于这些凭据未受双因素身份验证保护且租户内充满逼真的信息攻击者很容易上当并在寻找陷阱迹象的过程中浪费时间。
微软表示它每天监控约2.5万个钓鱼网站并向其中约20%的网站提供蜜罐凭据而其余网站则被验证码或其他反僵尸机制拦截。一旦攻击者成功登录到假冒的租户约占5%的情况系统就会启动详细的日志记录跟踪他们的每一个动作从而了解威胁行为者的战术、技术和程序。所收集的情报包括IP地址、浏览器、位置、行为模式、是否使用VPN或VPS以及他们所使用的网络钓鱼工具包等。此外当攻击者试图与蜜罐环境中的虚假账户交互时微软会故意减慢响应速度。
微软一直在收集可操作的数据这些数据可供其他安全团队使用以创建更复杂的配置文件和更强大的防御措施。Bevington提到他们通过这种方式收集的IP地址中仅有不到10%能与已知威胁数据库中的数据相匹配。
这种方法有助于收集足够的情报将攻击归因于有经济动机的团体甚至是国家支持的行为者如俄罗斯的Nobelium威胁组织。尽管利用“欺骗”手段保护资产的概念并不新颖许多公司也依赖蜜罐来检测入侵和追踪黑客但微软找到了一种利用其资源大规模追捕威胁行为者的有效方法。 参考来源
Microsoft creates fake Azure tenants to pull phishers into honeypots (bleepingcomputer.com)
