[ad_1]
Η Microsoft χρησιμοποιεί παραπλανητικές τακτικές κατά των παραγόντων phishing, δημιουργώντας ρεαλιστικούς ενοικιαστές honeypot με πρόσβαση στο Azure και παρασύρει τους εγκληματίες του κυβερνοχώρου για να συλλέξουν πληροφορίες για αυτούς.
Με τα δεδομένα που συλλέγει, η Microsoft μπορεί να χαρτογραφήσει κακόβουλη υποδομή, να κατανοήσει βαθύτερα τις εξελιγμένες λειτουργίες phishing, να διακόψει τις καμπάνιες σε κλίμακα, να εντοπίσει εγκληματίες στον κυβερνοχώρο και να επιβραδύνει σημαντικά τη δραστηριότητά τους.
Η τακτική και η επιζήμια επίδρασή της στη δραστηριότητα phishing περιγράφηκε στο συνέδριο BSides Exeter από τον Ross Bevington, έναν κύριο μηχανικό λογισμικού ασφαλείας στη Microsoft που αποκαλεί τον εαυτό του “Head of Deception” της Microsoft.
Ο Bevington δημιούργησε ένα «υβριδικό honeypot υψηλής αλληλεπίδρασης» στους πλέον συνταξιούχους code.microsoft.com για τη συλλογή πληροφοριών σχετικά με τις απειλές για παράγοντες που κυμαίνονται από λιγότερο εξειδικευμένους εγκληματίες στον κυβερνοχώρο έως ομάδες εθνικών κρατών που στοχεύουν την υποδομή της Microsoft.
Ψευδαίσθηση επιτυχίας phishing
Επί του παρόντος, ο Bevington και η ομάδα του καταπολεμούν το phishing αξιοποιώντας τεχνικές εξαπάτησης χρησιμοποιώντας ολόκληρα περιβάλλοντα μισθωτών της Microsoft ως honeypots με προσαρμοσμένα ονόματα τομέα, χιλιάδες λογαριασμούς χρηστών και δραστηριότητες όπως εσωτερικές επικοινωνίες και κοινή χρήση αρχείων.
Οι εταιρείες ή οι ερευνητές συνήθως στήνουν ένα honeypot και περιμένουν τους παράγοντες της απειλής να το ανακαλύψουν και να κάνουν μια κίνηση. Εκτός από την εκτροπή των εισβολέων από το πραγματικό περιβάλλον, ένα honeypot επιτρέπει επίσης τη συλλογή πληροφοριών σχετικά με τις μεθόδους που χρησιμοποιούνται για την παραβίαση των συστημάτων, οι οποίες μπορούν στη συνέχεια να εφαρμοστούν στο νόμιμο δίκτυο.
Αν και η ιδέα του Bevington είναι σε μεγάλο βαθμό η ίδια, διαφέρει στο ότι πηγαίνει το παιχνίδι στους επιτιθέμενους αντί να περιμένουν τους παράγοντες της απειλής να βρουν τρόπο να μπουν μέσα.
Στην παρουσίασή του στο BSides Exeter, ο ερευνητής λέει ότι η ενεργή προσέγγιση συνίσταται στην επίσκεψη ενεργών τοποθεσιών phishing που προσδιορίζονται από το Defender και στην πληκτρολόγηση των διαπιστευτηρίων από τους ενοικιαστές honeypot.
Δεδομένου ότι τα διαπιστευτήρια δεν προστατεύονται από έλεγχο ταυτότητας δύο παραγόντων και οι ενοικιαστές είναι γεμάτες με πληροφορίες ρεαλιστικής εμφάνισης, οι εισβολείς έχουν έναν εύκολο τρόπο να εισέλθουν και αρχίζουν να χάνουν χρόνο αναζητώντας σημάδια παγίδας.
Η Microsoft λέει ότι παρακολουθεί περίπου 25.000 ιστότοπους phishing κάθε μέρα, τροφοδοτώντας περίπου το 20% από αυτούς με τα διαπιστευτήρια honeypot. τα υπόλοιπα μπλοκάρονται από το CAPTCHA ή άλλους μηχανισμούς anti-bot.
Μόλις οι εισβολείς συνδεθούν στους ψεύτικους ενοικιαστές, κάτι που συμβαίνει στο 5% των περιπτώσεων, ενεργοποιείται η λεπτομερής καταγραφή για να παρακολουθεί κάθε ενέργεια που κάνουν, μαθαίνοντας έτσι τις τακτικές, τις τεχνικές και τις διαδικασίες των παραγόντων απειλής.
Η νοημοσύνη που συλλέγεται περιλαμβάνει διευθύνσεις IP, προγράμματα περιήγησης, τοποθεσία, μοτίβα συμπεριφοράς, είτε χρησιμοποιούν VPN είτε VPS και σε ποια κιτ phishing βασίζονται.
Επιπλέον, όταν οι εισβολείς προσπαθούν να αλληλεπιδράσουν με τους ψεύτικους λογαριασμούς στο περιβάλλον, η Microsoft επιβραδύνει τις απαντήσεις όσο το δυνατόν περισσότερο.
Η τεχνολογία εξαπάτησης αυτή τη στιγμή σπαταλά έναν εισβολέα 30 ημέρες πριν συνειδητοποιήσει ότι παραβίασε ένα ψεύτικο περιβάλλον. Συνολικά, η Microsoft συλλέγει δεδομένα που μπορούν να χρησιμοποιηθούν από άλλες ομάδες ασφαλείας για τη δημιουργία πιο περίπλοκων προφίλ και καλύτερης άμυνας.
Ο Bevington αναφέρει ότι λιγότερο από το 10% των διευθύνσεων IP που συλλέγουν με αυτόν τον τρόπο μπορούν να συσχετιστούν με δεδομένα σε άλλες γνωστές βάσεις δεδομένων απειλών.
Η μέθοδος βοηθά στη συλλογή αρκετών πληροφοριών για να αποδοθούν επιθέσεις σε ομάδες με οικονομικά κίνητρα ή ακόμη και κρατικούς φορείς, όπως η ομάδα απειλών Russian Midnight Blizzard (Nobelium).
Αν και η αρχή της εξαπάτησης για την υπεράσπιση περιουσιακών στοιχείων δεν είναι νέα και πολλές εταιρείες βασίζονται σε honeypots και αντικείμενα καναρίνι για να ανιχνεύουν εισβολές και ακόμη και να παρακολουθούν τους χάκερ, η Microsoft βρήκε έναν τρόπο να χρησιμοποιεί τους πόρους της για να αναζητήσει τους παράγοντες απειλών και τις μεθόδους τους σε κλίμακα.
[ad_1]
VIA: bleepingcomputer.com
[ad_2]
