A Microsoft está utilizando táticas enganosas contra atores de phishing por meio da criação de locatários honeypot de aparência realista com acesso ao Azure para atrair cibercriminosos e coletar inteligência sobre eles.
Com os dados coletados, a Microsoft pode mapear a infraestrutura maliciosa, obter uma compreensão mais profunda das operações sofisticadas de phishing, interromper campanhas em grande escala, identificar cibercriminosos e desacelerar significativamente suas atividades.
A tática e seu efeito prejudicial na atividade de phishing foram descritos na conferência BSides Exeter por Ross Bevington, um engenheiro de software de segurança principal na Microsoft, que se autodenomina o "Chefe de Engano" da Microsoft.
Bevington criou um "honeypot de alta interação híbrida" na agora aposentada code.microsoft.com para coletar inteligência de ameaças de atores que variam desde cibercriminosos menos habilidosos até grupos de estados-nação visando a infraestrutura da Microsoft.
Atualmente, Bevington e sua equipe combatem o phishing, utilizando técnicas de engano usando ambientes de locatário da Microsoft inteiros como honeypots com nomes de domínio personalizados, milhares de contas de usuário e atividades como comunicações internas e compartilhamento de arquivos.
Empresas ou pesquisadores normalmente configuram um honeypot e esperam que os atores de ameaças o descubram e façam uma movimentação.
Além de desviar os atacantes do ambiente real, um honeypot também permite coletar inteligência sobre os métodos usados para violar os sistemas, que podem, então, ser aplicados na rede legítima.
Embora o conceito de Bevington seja em grande parte o mesmo, ele difere por levar o jogo aos atacantes, em vez de esperar que os atores de ameaças encontrem uma maneira de entrar.
Em sua apresentação no BSides Exeter, o pesquisador diz que a abordagem ativa consiste em visitar sites de phishing ativos identificados pelo Defender e digitar as credenciais dos locatários honeypot.
Já que as credenciais não são protegidas por autenticação de dois fatores e os locatários são povoados com informações de aparência realista, os atacantes têm um caminho fácil e começam a perder tempo procurando por sinais de uma armadilha.
A Microsoft diz que monitora cerca de 25.000 sites de phishing todos os dias, alimentando cerca de 20% deles com as credenciais do honeypot; o restante é bloqueado por CAPTCHA ou outros mecanismos anti-bot.
Uma vez que os atacantes fazem login nos locatários falsos, o que acontece em 5% dos casos, a Microsoft ativa um registro detalhado para rastrear cada ação que tomam, aprendendo assim as táticas, técnicas e procedimentos dos atores de ameaças.
A inteligência coletada inclui endereços IP, navegadores, localização, padrões comportamentais, se usam VPNs ou VPSs e em quais kits de phishing confiam.
Além disso, quando os atacantes tentam interagir com as contas falsas no ambiente, a Microsoft desacelera as respostas o máximo possível.
A tecnologia de engano atualmente faz com que um atacante perca 30 dias antes de perceber que violou um ambiente falso.
Durante todo o tempo, a Microsoft coleta dados acionáveis que podem ser usados por outras equipes de segurança para criar perfis mais complexos e melhores defesas.
Bevington menciona que menos de 10% dos endereços IP coletados dessa maneira podem ser correlacionados com dados em outras bases de dados de ameaças conhecidas.
O método ajuda a coletar inteligência suficiente para atribuir ataques a grupos motivados financeiramente ou mesmo a atores patrocinados pelo estado, como o grupo de ameaças Midnight Blizzard (Nobelium) da Rússia.
Embora o princípio do engano para defender ativos não seja novo e muitas empresas contem com honeypots e objetos canário para detectar intrusões e até rastrear os hackers, a Microsoft encontrou uma maneira de usar seus recursos para caçar atores de ameaças e seus métodos em grande escala.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...