微軟正在利用欺騙性策略來打擊網(wǎng)絡釣魚行為者，方法是通過訪問 Azure 生成外形逼真的蜜罐租戶，引誘網(wǎng)絡犯罪分子進入以收集有關他們的情報。

利用收集到的數(shù)據(jù)，微軟可以繪制惡意基礎設施地圖，深入了解復雜的網(wǎng)絡釣魚操作，大規(guī)模破壞網(wǎng)絡釣魚活動，識別網(wǎng)絡犯罪分子，并顯著降低其活動速度。

在 BSides Exeter 會議上，Microsoft 首席安全軟件工程師 Ross Bevington 描述了這種策略及其對網(wǎng)絡釣魚活動的破壞性影響，他稱自己為 Microsoft 的“欺騙主管”。

Bevington 在現(xiàn)已退役的 code.microsoft.com 上創(chuàng)建了一個“混合高交互蜜罐”，以收集有關行為者的威脅情報，這些行為者既有技能較低的網(wǎng)絡犯罪分子，也有針對Microsoft基礎設施的民族國家團體。

網(wǎng)絡釣魚成功的假象

目前，Bevington 和他的團隊通過利用欺騙技術來打擊網(wǎng)絡釣魚，該技術使用整個 Microsoft 租戶環(huán)境作為蜜罐，具有自定義域名、數(shù)千個用戶帳戶以及內(nèi)部通信和文件共享等活動。

公司或研究人員通常會設置一個蜜罐，等待威脅者發(fā)現(xiàn)并采取行動。除了將攻擊者從真實環(huán)境中轉(zhuǎn)移出來，“巢穴 ”還可以收集入侵系統(tǒng)所用方法的情報，然后將其應用于合法網(wǎng)絡。

雖然 Bevington 的概念大致相同，但其不同之處在于，它將游戲帶到攻擊者面前，而不是等待威脅者找到入侵的方法。

這位研究人員在 BSides Exeter 的演講中說，主動方法包括訪問 Defender 識別出的活動釣魚網(wǎng)站，并輸入蜜罐租戶的憑據(jù)。

由于憑據(jù)不受雙因素身份驗證的保護，而且租戶中充斥著逼真的信息，攻擊者很容易進入，并開始浪費時間尋找陷阱的跡象。

微軟表示，它每天監(jiān)控大約 2.5 萬個釣魚網(wǎng)站，向其中約 20% 的網(wǎng)站提供蜜罐憑據(jù)；其余網(wǎng)站則被驗證碼或其他反僵尸機制攔截。

一旦攻擊者登錄到假冒的租戶（5% 的情況下會發(fā)生），它就會打開詳細的日志記錄，跟蹤他們的每一個動作，從而了解威脅行為者的戰(zhàn)術、技術和程序。收集到的情報包括 IP 地址、瀏覽器、位置、行為模式、是否使用 VPN 或 VPS 以及他們依賴的網(wǎng)絡釣魚工具包。此外，當攻擊者試圖與環(huán)境中的虛假賬戶進行交互時，微軟會盡可能減慢響應速度。

一直以來，微軟都在收集可操作的數(shù)據(jù)，這些數(shù)據(jù)可供其他安全團隊用來創(chuàng)建更復雜的配置文件和更好的防御措施。

Bevington 提到，他們以這種方式收集的 IP 地址中，只有不到 10% 可以與其他已知威脅數(shù)據(jù)庫中的數(shù)據(jù)相關聯(lián)。

這種方法有助于收集足夠的情報，將攻擊歸因于有經(jīng)濟動機的團體，甚至是國家支持的行為者，如俄羅斯午夜暴雪（Nobelium）威脅組織。

盡管利用“欺騙”的方式來保護資產(chǎn)的這種原理并不新鮮，許多公司也依靠蜜罐來檢測入侵，甚至追蹤黑客，但微軟找到了一種利用其資源來大規(guī)模追捕威脅行為者的方法。