Microsoft gebruikt misleidende tactieken tegen phishing-acteurs door realistisch ogende honeypot-tenants te creëren met toegang tot Azure om cybercriminelen aan te trekken en informatie over hen te verzamelen.

Met de verzamelde data kan Microsoft kwaadaardige infrastructuur in kaart brengen, een dieper inzicht krijgen in geavanceerde phishing-operaties, campagnes op grote schaal verstoren, cybercriminelen identificeren en hun activiteiten aanzienlijk vertragen.

De tactiek en het schadelijke effect ervan op phishing-activiteiten werd beschreven op de BSides Exeter-conferentie door Ross Bevington, een vooraanstaande beveiligingssoftware-ingenieur bij Microsoft, die zichzelf Microsoft’s “Hoofd van Misleiding” noemt.

Bevington creëerde een “hybride high-interaction honeypot” op het inmiddels gepensioneerde code.microsoft.com om dreigingsinformatie te verzamelen over actoren variërend van minder bekwame cybercriminelen tot staatsgroepen die zich richten op Microsoft-infrastructuur.

Illusie van phishing-succes

Momenteel bestrijden Bevington en zijn team phishing door misleidingstechnieken toe te passen met hele Microsoft-tenantomgevingen als honeypots met aangepaste domeinnamen, duizenden gebruikersaccounts en activiteiten zoals interne communicatie en bestandsdeling.

Bedrijven of onderzoekers zetten meestal een honeypot op en wachten tot bedreigingsactoren deze ontdekken en toeslaan. Naast het afleiden van aanvallers van de echte omgeving, stelt een honeypot hen ook in staat om informatie te verzamelen over de methoden die worden gebruikt om systemen te kraken, die vervolgens kunnen worden toegepast op het legitieme netwerk.

Hoewel het concept van Bevington grotendeels hetzelfde is, verschilt het doordat het de strijd naar de aanvallers brengt in plaats van te wachten tot bedreigingsactoren een weg naar binnen vinden.

In zijn presentatie op BSides Exeter zegt de onderzoeker dat de actieve aanpak bestaat uit het bezoeken van actieve phishing-sites die door Defender zijn geïdentificeerd en het invullen van de inloggegevens van de honeypot-tenants.

Aangezien de inloggegevens niet worden beschermd door twee-factor-authenticatie en de tenants zijn gevuld met realistisch ogende informatie, hebben aanvallers een gemakkelijke toegang en beginnen ze tijd te verspillen op zoek naar tekenen van een valstrik.

Microsoft zegt dat het ongeveer 25.000 phishing-sites per dag bewaakt, waarvan ongeveer 20% wordt voorzien van de honeypot-inloggegevens; de rest wordt geblokkeerd door CAPTCHA of andere anti-botmechanismen.

Zodra de aanvallers inloggen op de nep-tenants, wat in 5% van de gevallen gebeurt, worden gedetailleerde logs geactiveerd om elke actie die ze ondernemen bij te houden, waardoor Microsoft leert over de tactieken, technieken en procedures van de dreigingsactoren.

Verzamelde informatie omvat IP-adressen, browsers, locatie, gedragspatronen, of ze VPN’s of VPS’s gebruiken en welke phishing-kits ze gebruiken.

Bovendien, wanneer aanvallers proberen te communiceren met de nep-accounts in de omgeving, vertraagt Microsoft de reacties zoveel mogelijk.

De misleidingstechnologie verspilt momenteel een aanvaller 30 dagen voordat ze zich realiseren dat ze in een nep-omgeving zijn binnengedrongen. Ondertussen verzamelt Microsoft bruikbare gegevens die kunnen worden gebruikt door andere beveiligingsteams om complexere profielen en betere verdedigingen te creëren.

Bevington vermeldt dat minder dan 10% van de IP-adressen die ze op deze manier verzamelen, kunnen worden gecorreleerd met gegevens in andere bekende dreigingsdatabases.

De methode helpt genoeg intelligentie te verzamelen om aanvallen toe te schrijven aan financieel gemotiveerde groepen of zelfs door de staat gesteunde actoren, zoals de Russische Midnight Blizzard (Nobelium) dreigingsgroep.

Hoewel het principe van misleiding om activa te verdedigen niet nieuw is en veel bedrijven vertrouwen op honeypots en canary-objecten om indringers te detecteren en zelfs hackers te volgen, heeft Microsoft een manier gevonden om zijn middelen te gebruiken om bedreigingsactoren en hun methoden op grote schaal te jagen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----