微軟正在利用欺騙性策略來打擊網(wǎng)絡(luò)釣魚行為者，方法是通過訪問 Azure 生成外形逼真的蜜罐租戶，引誘網(wǎng)絡(luò)犯罪分子進(jìn)入以收集有關(guān)他們的情報(bào)。

利用收集到的數(shù)據(jù)，微軟可以繪制惡意基礎(chǔ)設(shè)施地圖，深入了解復(fù)雜的網(wǎng)絡(luò)釣魚操作，大規(guī)模破壞網(wǎng)絡(luò)釣魚活動(dòng)，識(shí)別網(wǎng)絡(luò)犯罪分子，并顯著降低其活動(dòng)速度。

在 BSides Exeter 會(huì)議上，Microsoft 首席安全軟件工程師 Ross Bevington 描述了這種策略及其對(duì)網(wǎng)絡(luò)釣魚活動(dòng)的破壞性影響，他稱自己為 Microsoft 的“欺騙主管”。

Bevington 在現(xiàn)已退役的 code.microsoft.com 上創(chuàng)建了一個(gè)“混合高交互蜜罐”，以收集有關(guān)行為者的威脅情報(bào)，這些行為者既有技能較低的網(wǎng)絡(luò)犯罪分子，也有針對(duì)Microsoft基礎(chǔ)設(shè)施的民族國(guó)家團(tuán)體。

網(wǎng)絡(luò)釣魚成功的假象

目前，Bevington 和他的團(tuán)隊(duì)通過利用欺騙技術(shù)來打擊網(wǎng)絡(luò)釣魚，該技術(shù)使用整個(gè) Microsoft 租戶環(huán)境作為蜜罐，具有自定義域名、數(shù)千個(gè)用戶帳戶以及內(nèi)部通信和文件共享等活動(dòng)。

公司或研究人員通常會(huì)設(shè)置一個(gè)蜜罐，等待威脅者發(fā)現(xiàn)并采取行動(dòng)。除了將攻擊者從真實(shí)環(huán)境中轉(zhuǎn)移出來，“巢穴 ”還可以收集入侵系統(tǒng)所用方法的情報(bào)，然后將其應(yīng)用于合法網(wǎng)絡(luò)。

雖然 Bevington 的概念大致相同，但其不同之處在于，它將游戲帶到攻擊者面前，而不是等待威脅者找到入侵的方法。

這位研究人員在 BSides Exeter 的演講中說，主動(dòng)方法包括訪問 Defender 識(shí)別出的活動(dòng)釣魚網(wǎng)站，并輸入蜜罐租戶的憑據(jù)。

由于憑據(jù)不受雙因素身份驗(yàn)證的保護(hù)，而且租戶中充斥著逼真的信息，攻擊者很容易進(jìn)入，并開始浪費(fèi)時(shí)間尋找陷阱的跡象。

微軟表示，它每天監(jiān)控大約 2.5 萬個(gè)釣魚網(wǎng)站，向其中約 20% 的網(wǎng)站提供蜜罐憑據(jù)；其余網(wǎng)站則被驗(yàn)證碼或其他反僵尸機(jī)制攔截。

一旦攻擊者登錄到假冒的租戶（5% 的情況下會(huì)發(fā)生），它就會(huì)打開詳細(xì)的日志記錄，跟蹤他們的每一個(gè)動(dòng)作，從而了解威脅行為者的戰(zhàn)術(shù)、技術(shù)和程序。收集到的情報(bào)包括 IP 地址、瀏覽器、位置、行為模式、是否使用 VPN 或 VPS 以及他們依賴的網(wǎng)絡(luò)釣魚工具包。此外，當(dāng)攻擊者試圖與環(huán)境中的虛假賬戶進(jìn)行交互時(shí)，微軟會(huì)盡可能減慢響應(yīng)速度。

一直以來，微軟都在收集可操作的數(shù)據(jù)，這些數(shù)據(jù)可供其他安全團(tuán)隊(duì)用來創(chuàng)建更復(fù)雜的配置文件和更好的防御措施。

Bevington 提到，他們以這種方式收集的 IP 地址中，只有不到 10% 可以與其他已知威脅數(shù)據(jù)庫中的數(shù)據(jù)相關(guān)聯(lián)。

這種方法有助于收集足夠的情報(bào)，將攻擊歸因于有經(jīng)濟(jì)動(dòng)機(jī)的團(tuán)體，甚至是國(guó)家支持的行為者，如俄羅斯午夜暴雪（Nobelium）威脅組織。

盡管利用“欺騙”的方式來保護(hù)資產(chǎn)的這種原理并不新鮮，許多公司也依靠蜜罐來檢測(cè)入侵，甚至追蹤黑客，但微軟找到了一種利用其資源來大規(guī)模追捕威脅行為者的方法。