Honeypots: Wenn der Jäger zum Gejagten wird, 8com GmbH & Co. KG, Story

Sicherheitsforscher de Microsoft haben Phishing-Scammer a Falle Gelockt. For this, they have developed realistically working Honeypots, which have vermeintlichen Zugang zu Microsofts Cloud-Dienst Azure verfügtten. Wie mit Honeypots übersicht sollten so Cyberkriminelle angelockt werden, um Informationen über ihre Vorgehensweise sammeln zu können. Doch bei Microsoft ging man noch einen Schritt weiter und waitete nicht darauf, dass der Honeypot von Kriminellen gefunden wurde. Vielmehr wurden die Daten der Honeypot-Profile aktiv auf bekannten Phishing-Seiten eingegeben. Selbstverständlich wurde dabei keine Zwei-Faktor-Authentifizierung verwendet, whäum die Profile den Hackern als leichte Beute must erscheinen.

Das Vorgehen und the Ergebnisse dieser Operation Stellte Ross Bevington of Microsoft, der sich selbst “Head of Deception” nennt, auf der BSides-Konferenz in Exeter. Auf der mittlerweile stillgelegten Website code.microsoft.com hatten Bevington und sein Team einen “Hybrid high interaction Honeypot” eingerichtung, um Daten über cyberkriminelle Akteure zu sammeln. Dazu wurden ganze Netzwerkumgebungen mit Thousands of User Konten erstellet, die untereinander kommunizierten und Daten verschickten. Was für die Angreifer täuschend echt aussah, war jedoch eine Falle, denn södert sie in den Honeypot eingedrungen waren, beggin das Microsoft-Team damit, Daten zu sammeln, mit denen die Sicherheitsforscher sowohl die Vorgehensweise als Zimmers de auch Krimine connneten un die Krimine.

According to Microsoft überwacht das Unternehmen täglich etwa 25,000 Phishing-Seiten und füttert etwa 20 Prozent davon mit den Zugangsdaten für den Honeypot; The rest is blocked by CAPTCHA or other Anti-Bot Mechanisms. As soon as sich die Angreifer bei den gefälsten Profilen anmelden, was in 5 Prozent der Fälle passer, wird eine detailed Protokollierung aktivitet, um jede ihrer Aktionen zu verchellen und so Informationen zu Tactiken, Techniken und Verfahren der Threats sammelnak. Give information on IP address, browser, standard, view, VPN or VPS information and available phishing kits.

Derzeit vergeuden Angreifer im Schnitt 30 Tage mit dem Ausspähen des Honeypots, bevor sie merken, dass sie in ein gefälschtes Netzwerk eingedrungen sind. Währdessen sammelt Microsoft all verwertbaren Daten, die von anderen Sicherheitsteams genutzt werden können, um kompleksere Profile und bessere Verteidigungsmaßnahmen zu erstellen.

In seinem Vortrag wies Bevington darüber hinaus darauf hin, dass weniger als zehn Prozent der auf diese Weise gesamleten IP-Adressen mit Daten in anderen bekannten Threatsdatenbanken können correliert werden. Seine Methode trägt außeren dazu bei, Angriffe bestimtumn Hackergruppen zuzuordnen. So verirrten sich neben diversen finanzial motivierten Gruppen auch staatlich gesponserte Aktere wie die russische Berthungsgruppe Midnight Blizzard, auch bekannt als Nobelium, in die Falle der Sicherheitsforscher.

Der Vortrag zeigt, wie effektif Honeypots für die Weiterentwicklung von Sicherheitsstrategien sind, in particular wenn man wie Bevington einen aktiven Ansatz wählt, statt passive darauf zu warten, dass die Kriminellen in die Falle tappen.

‍