网站模板之家免费下载,有哪些网站可以做设计比赛,网站怎样做优惠卷,智汇隆网站建设微软正在利用欺骗性策略来打击网络钓鱼行为者#xff0c;方法是通过访问 Azure 生成外形逼真的蜜罐租户#xff0c;引诱网络犯罪分子进入以收集有关他们的情报。
利用收集到的数据#xff0c;微软可以绘制恶意基础设施地图#xff0c;深入了解复杂的网络钓鱼操作#xff… 微软正在利用欺骗性策略来打击网络钓鱼行为者方法是通过访问 Azure 生成外形逼真的蜜罐租户引诱网络犯罪分子进入以收集有关他们的情报。
利用收集到的数据微软可以绘制恶意基础设施地图深入了解复杂的网络钓鱼操作大规模破坏网络钓鱼活动识别网络犯罪分子并显著降低其活动速度。
在 BSides Exeter 会议上Microsoft 首席安全软件工程师 Ross Bevington 描述了这种策略及其对网络钓鱼活动的破坏性影响他称自己为 Microsoft 的“欺骗主管”。
Bevington 在现已退役的 code.microsoft.com 上创建了一个“混合高交互蜜罐”以收集有关行为者的威胁情报这些行为者既有技能较低的网络犯罪分子也有针对Microsoft基础设施的民族国家团体。
网络钓鱼成功的假象
目前Bevington 和他的团队通过利用欺骗技术来打击网络钓鱼该技术使用整个 Microsoft 租户环境作为蜜罐具有自定义域名、数千个用户帐户以及内部通信和文件共享等活动。
公司或研究人员通常会设置一个蜜罐等待威胁者发现并采取行动。除了将攻击者从真实环境中转移出来“巢穴 ”还可以收集入侵系统所用方法的情报然后将其应用于合法网络。
虽然 Bevington 的概念大致相同但其不同之处在于它将游戏带到攻击者面前而不是等待威胁者找到入侵的方法。
这位研究人员在 BSides Exeter 的演讲中说主动方法包括访问 Defender 识别出的活动钓鱼网站并输入蜜罐租户的凭据。
由于凭据不受双因素身份验证的保护而且租户中充斥着逼真的信息攻击者很容易进入并开始浪费时间寻找陷阱的迹象。
微软表示它每天监控大约 2.5 万个钓鱼网站向其中约 20% 的网站提供蜜罐凭据其余网站则被验证码或其他反僵尸机制拦截。
一旦攻击者登录到假冒的租户5% 的情况下会发生它就会打开详细的日志记录跟踪他们的每一个动作从而了解威胁行为者的战术、技术和程序。收集到的情报包括 IP 地址、浏览器、位置、行为模式、是否使用 VPN 或 VPS 以及他们依赖的网络钓鱼工具包。此外当攻击者试图与环境中的虚假账户进行交互时微软会尽可能减慢响应速度。
一直以来微软都在收集可操作的数据这些数据可供其他安全团队用来创建更复杂的配置文件和更好的防御措施。
Bevington 提到他们以这种方式收集的 IP 地址中只有不到 10% 可以与其他已知威胁数据库中的数据相关联。
这种方法有助于收集足够的情报将攻击归因于有经济动机的团体甚至是国家支持的行为者如俄罗斯午夜暴雪Nobelium威胁组织。
尽管利用“欺骗”的方式来保护资产的这种原理并不新鲜许多公司也依靠蜜罐来检测入侵甚至追踪黑客但微软找到了一种利用其资源来大规模追捕威胁行为者的方法。
