На конференции BSides Exeter представители Microsoft рассказали, что создают ханипоты, выглядящие как реальные тенанты с доступом к Azure, и заманивают в эти ловушки киберпреступников, чтобы собирать о них информацию.
В компании отмечают, что благодаря собранным данным специалисты получают возможность картографировать вредоносную инфраструктуру, получают более глубокое представление о сложных фишинговых операциях, пресекают масштабные вредоносные кампании, обнаруживают киберпреступников и значительно затрудняют их деятельность.
Как рассказывает Росс Бевингтон (Ross Bevington), главный инженер по безопасности в Microsoft, называющий себя «руководителем отдела обмана», на уже закрытом сайте code.microsoft.com работал «гибридный интерактивный ханипот» для сбора информации об угрозах, исходящих как от неопытных киберпреступников, так и «правительственных» хакеров, нацеленных на инфраструктуру Microsoft.
В настоящее время Бевингтон и его команда борются с фишингом с помощью различных обманных тактик, используя в качестве ханипотов целые среды с кастомными доменными именами, тысячами учетных записей и имитацией такой активности, как внутренние коммуникации и обмен файлами.
Хотя обычно компании и исследователи создают ханитопы и ждут действий преступников, Бевингтон и его команда действуют немного иначе. Так, специалисты Microsoft сами активно посещают фишинговые сайты, обнаруженные Defender, и специально вводят на вредоносных ресурсах учетные данные, связанные с ханипотами.
Для этого компания ежедневно отслеживает около 25 000 фишинговых сайтов и передает на 20% из них учетные данные для своих ханипотов (остальные блокируются CAPTCHA или другими механизмами защиты от ботов).
Поскольку учетные данные специально не защищены двухфакторной аутентификацией, а тенанты заполнены правдоподобной информацией, злоумышленникам легко проникнуть внутрь и начинают исследование.
Как только атакующие входят в систему (что происходит примерно в 5% случаев), включается логирование, позволяющее отслеживать каждое их действие и собрать информацию о тактиках и методах преступников.
Собранная в итоге информация включает IP-адреса, информацию о браузерах, местоположении, моделях поведения, использовании VPN или VPS, а также о том, какие фишинговые наборы применяют хакеры.
Кроме того, когда злоумышленники пытаются взаимодействовать с фальшивыми учетными записями, Microsoft умышленно максимально замедляет время отклика. Это позволяет занять злоумышленников на срок до 30 дней и попусту потратить их время, прежде чем они поймут, то имеют дело с фальшивкой.
Бевингтон отмечает, что только около 10% IP-адресов, собранных таким способом, удается соотнести с данными об известных угрозах из других баз данных. При этом метод позволяет собрать достаточно информации, чтобы связать атаки с финансово-мотивированными группировками или даже «правительственными» хакерами.
