Новости Цифровой мираж – стратегия Microsoft по шпионажу за хакерами

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Как фейковые компании помогают в поимке злоумышленников.


qcm2upxvy9ff0c3xc8o2ml0z7dtdpl41.jpg


Microsoft применяет новую стратегию для борьбы с фишингом, создавая правдоподобные ханипоты в виде поддельных арендаторов Azure , чтобы привлекать киберпреступников и собирать данные об их деятельности. Используя собранные сведения, корпорация может строить карты вредоносной инфраструктуры, глубже понимать фишинговые операции и значительно замедлять их активность.

Технологию и её влияние на снижение активности фишеров на конференции BSides Exeter представил Росс Бевингтон, ведущий инженер по безопасности Microsoft. Бевингтон Для просмотра ссылки Войди или Зарегистрируйся метод как «гибридную ловушку с высоким уровнем взаимодействия», Для просмотра ссылки Войди или Зарегистрируйся для сбора разведывательной информации о кибератаках. С помощью приманки были выявлены как малоопытные злоумышленники, так и группировки, поддерживаемые государствами.

Суть метода заключается в том, что Microsoft создаёт фальшивые тенант-среды, содержащие доменные имена, тысячи аккаунтов и имитацию активности пользователей, что делает их похожими на реальные корпоративные системы. В отличие от традиционных методов, когда ловушка просто ждёт, пока злоумышленники её обнаружат, Microsoft активно вводит в действие такие учётные данные на фишинговых сайтах, выявленных с помощью Defender.

Так как данные не защищены двухфакторной аутентификацией ( 2FA ) и выглядят правдоподобно, злоумышленники быстро получают к ним доступ. Однако на самом деле хакеры просто тратят своё время, исследуя фальшивую среду, не подозревая, что попали в ловушку.

Microsoft ежедневно отслеживает около 25 000 фишинговых сайтов, причём на 20% из них вводятся поддельные учётные данные. Когда киберпреступники входят в ловушки, начинается детальное логирование действий, что позволяет Microsoft изучать методы хакеров, а также собирать информацию об IP-адресах, браузерах, местоположении и особенностях поведения.

Один из ключевых элементов метода — замедление откликов системы, чтобы хакеры тратили как можно больше времени на анализ фальшивой среды. В среднем злоумышленники тратят около 30 дней, прежде чем осознают, что работали в ложной среде. За это время Microsoft получает ценные данные, которые могут быть использованы для улучшения защиты и создания более точных профилей угроз.

Бевингтон отметил, что лишь около 10% IP-адресов, собранных таким образом, можно соотнести с уже известными базами данных угроз. Однако накопленная информация уже позволяет связывать атаки с конкретными группировками, в том числе с финансово мотивированными преступниками и правительственными хакерами.
 
Источник новости
www.securitylab.ru

Похожие темы