Microsoft, Azure'a erişim ve onlar hakkında istihbarat toplamak için siber suçluları cezbederek gerçekçi görünümlü Honeypot kiracılarını ortaya çıkararak kimlik avı aktörlerine karşı aldatıcı taktikler kullanıyor.
Toplanan verilerle Microsoft, kötü niyetli altyapıyı haritalayabilir, sofistike kimlik avı operasyonlarını daha derin bir anlayış kazanabilir, kampanyaları ölçeklendirebilir, siber suçluları tanımlayabilir ve faaliyetlerini önemli ölçüde yavaşlatabilir.
Taktik ve kimlik avı faaliyeti üzerindeki zarar verici etkisi, Microsoft'un ana güvenlik yazılımı mühendisi Ross Bevington tarafından Microsoft'un "Aldatma Başkanı" adını veriyor.
Bevington, daha az yetenekli siber suçlulardan Microsoft altyapısını hedefleyen ulus devlet gruplarına kadar değişen aktörler üzerinde tehdit istihbaratı toplamak için şu anda emekli kod.microsoft.com'da bir "hibrid yüksek etkileşim honeypot" oluşturdu.
Şu anda, Bevington ve ekibi, tüm Microsoft Kiracı ortamlarını özel alan adları, binlerce kullanıcı hesabı ve dahili iletişim ve dosya paylaşımı gibi etkinlikler olarak kullanarak aldatma tekniklerinden yararlanarak kimlik avı ile mücadele ediyor.
Şirketler veya araştırmacılar tipik olarak bir balkon kurar ve tehdit aktörlerinin onu keşfetmesini ve hareket ettirmesini beklerler. Saldırganları gerçek ortamdan yönlendirmenin yanı sıra, bir honeypot, sistemleri ihlal etmek için kullanılan yöntemler üzerinde istihbarat toplamaya izin verir, bu da daha sonra meşru ağa uygulanabilir.
Bevington'un konsepti büyük ölçüde aynı olsa da, tehdit aktörlerinin bir yol bulmasını beklemek yerine oyunu saldırganlara götürmesi farklıdır.
Araştırmacı, Bsides Exeter sunumunda, aktif yaklaşımın savunucu tarafından tanımlanan ve Honeypot kiracılarından kimlik bilgilerini yazan aktif kimlik avı sitelerini ziyaret etmekten ibaret olduğunu söylüyor.
Kimlik bilgileri iki faktörlü kimlik doğrulama ile korunmadığından ve kiracılar gerçekçi görünümlü bilgilerle doldurulduğundan, saldırganların kolay bir yolu vardır ve bir tuzak belirtileri ararken zaman harcarlar.
Microsoft, her gün yaklaşık% 20'si Honeypot kimlik bilgileriyle beslediğini ve her gün yaklaşık 25.000 kimlik avı sitesini izlediğini söylüyor; Geri kalanı Captcha veya diğer bot karşıtı mekanizmalar tarafından engellenir.
Saldırganlar, vakaların% 5'inde gerçekleşen sahte kiracılara giriş yaptıktan sonra, yaptıkları her eylemi izlemek için ayrıntılı bir günlüğe girer, böylece tehdit aktörlerinin taktiklerini, tekniklerini ve prosedürlerini öğrenir.
Toplanan istihbarat, IP adreslerini, tarayıcıları, konumları, davranışsal kalıpları, ister VPN'leri veya VPS'yi kullanmalarını ve hangi kimlik avı kitlerine güvendiklerini içerir.
Ayrıca, saldırganlar ortamdaki sahte hesaplarla etkileşime girmeye çalıştıklarında, Microsoft yanıtları mümkün olduğunca yavaşlatır.
"Microsoft ayda bu kiracıların yaklaşık 2'sini oluşturuyor, her biri 20 bin kullanıcı hesabı ile dolduruluyor. Microsoft, tehlikeye atıldıkları günde yaklaşık 400 kullanıcı uyarıyor. Bunların hepsi Microsoft Tehdit İstihbarat Merkezi'nin araştırma çabaları altında ve “Microsoft Aldatma Ağı” veya “Sensör Ağı” olarak, Microsoft'un en alakalı olanlardan biri daha iyi ve daha sağlam bir yetenek oluşturmasına izin verir. Bu zeka ile Microsoft kaynaklarına erişmekten 40 bin bağlantıyı engelledik. Tehdit Oyuncu Etkinliği
Aldatma teknolojisi şu anda sahte bir ortamın ihlal ettiğini fark etmeden 30 gün önce bir saldırganı israf ediyor. Microsoft, diğer güvenlik ekipleri tarafından daha karmaşık profiller ve daha iyi savunmalar oluşturmak için kullanılabilecek eyleme geçirilebilir veriler toplar.
Bevington, bu şekilde topladıkları IP adreslerinin% 10'undan daha azının bilinen diğer tehdit veritabanlarındaki verilerle ilişkili olabileceğini belirtiyor.
Yöntem, finansal olarak motive edilen gruplara veya hatta Rus gece yarısı Blizzard (Nobelium) tehdit grubu gibi devlet destekli aktörlere atfetmek için yeterli zeka toplamaya yardımcı olur.
Her ne kadar varlıkları savunmak için aldatma ilkesi yeni olmasa da ve birçok şirket, müdahaleleri tespit etmek ve hatta bilgisayar korsanlarını izlemek için balkonlara ve kanarya nesnelerine güvense de, Microsoft, kaynaklarını tehdit aktörleri ve yöntemlerini ölçeklendirme için avlamak için bir yol buldu.
GÜNCELLEME 10/21 - Microsoft ifadesi eklendi.
Microsoft ve DOJ Rus FSB Hacker'ların Saldırı Altyapısı
Microsoft Sway, Perswayion Mızrak-Akılış Operasyonunda İstismar
Windows 10 KB5045594 Güncelleme Düzeltiyor Çok fonksiyonlu yazıcı hataları
Yeni Windows Server "Winreg" NTLM Röle Saldırısı için yayınlanan istismar
Bumblebee kötü amaçlı yazılım, son kolluk kuvvetlerinden sonra geri döner
Kaynak: Bleeping Computer