Microsoft creates fake Azure tenants to pull phishers into honeypots

マイクロソフトは、Azureにアクセスできるリアルな外観のハニーポット・テナントを作成し、サイバー犯罪者をおびき寄せ、彼らに関する情報を収集することで、フィッシング行為者に対して欺瞞的な戦術を使用している。

収集されたデータにより、マイクロソフトは悪意のあるインフラをマッピングし、洗練されたフィッシングオペレーションをより深く理解し、大規模なキャンペーンを妨害し、サイバー犯罪者を特定し、その活動を大幅に減速させることができる。

この戦術とフィッシング活動に対するその有害な効果は、BSides Exeterカンファレンスにおいて、マイクロソフトの “Head of Deception “を自称するマイクロソフトのプリンシパル・セキュリティ・ソフトウェア・エンジニア、ロス・ベヴィントンによって説明された。

Bevington氏は、マイクロソフトのインフラを標的とする、スキルの低いサイバー犯罪者から国家グループまで、様々な行為者の脅威インテリジェンスを収集するために、現在は引退したcode.microsoft.com上に「ハイブリッド高相互作用ハニーポット」を作成した。

フィッシング成功の幻想

現在、Bevington氏と彼のチームは、カスタムドメイン名、数千のユーザーアカウント、内部通信やファイル共有などのアクティビティを持つハニーポットとして、マイクロソフトのテナント環境全体を使用する欺瞞技術を活用してフィッシングと戦っている。

企業や研究者は通常、ハニーポットを設置し、脅威者がそれを発見して動き出すのを待つ。ハニーポットは攻撃者を実際の環境からそらすだけでなく、システム侵入に使われた手法に関するインテリジェンスを収集し、それを正規のネットワークに適用することもできる。

ベヴィントンのコンセプトはほぼ同じだが、脅威行為者が侵入経路を見つけるのを待つのではなく、攻撃者にゲームを仕掛ける点が異なる。

BSidesエクセターのプレゼンテーションの中で研究者は、アクティブ・アプローチはディフェンダーによって特定されたアクティブなフィッシング・サイトを訪問し、ハニーポットのテナントから認証情報を入力することで構成されると述べている。

認証情報は2ファクタ認証で保護されておらず、テナントには現実的な情報が入力されているため、攻撃者は簡単に侵入し、罠の兆候を探すために時間を浪費し始める。

マイクロソフトによると、毎日およそ25,000のフィッシング・サイトを監視し、そのうちの約20%にハニーポットの認証情報を与えている。

攻撃者が偽のテナントにログインすると(5%のケースで起こる)、攻撃者の行動をすべて追跡するために詳細なロギングを開始し、脅威行為者の戦術、テクニック、手順を学習する。

収集されるインテリジェンスには、IPアドレス、ブラウザ、場所、行動パターン、VPNやVPSを使用しているかどうか、どのようなフィッシングキットに依存しているかなどが含まれる。

さらに、攻撃者が環境内の偽アカウントとやり取りしようとすると、マイクロソフトは可能な限り応答を遅くする。

欺瞞テクノロジーは現在、攻撃者が偽の環境に侵入したことに気づくまでに30日間を浪費する。この間、マイクロソフトは、他のセキュリティ・チームがより複雑なプロファイルやより優れた防御を作成するために使用できる実用的なデータを収集している。

ベヴィントンは、この方法で収集したIPアドレスのうち、他の既知の脅威データベースのデータと関連付けることができるのは10%以下であると述べている。

この方法は、攻撃を金銭的な動機に基づくグループ、あるいはロシアン・ミッドナイト・ブリザード(Nobelium)脅威グループのような国家に支援されたアクターに帰属させるのに十分なインテリジェンスを収集するのに役立つ。

資産を防衛するための欺瞞の原理は新しいものではなく、多くの企業が侵入を検出し、ハッカーを追跡するためにハニーポットやカナリアオブジェクトに依存しているが、マイクロソフトは、脅威行為者とその手法を大規模に狩るために自社のリソースを使用する方法を発見した。