Sicherheitsforscher von Microsoft haben Phishing-Scammer in die Falle gelockt. Dafür haben sie realistisch wirkende Honeypots entwickelt, die über einen vermeintlichen Zugang zu Microsofts Cloud-Dienst Azure verfügten. Wie mit Honeypots üblich sollten so Cyberkriminelle angelockt werden, um Informationen über ihre Vorgehensweise sammeln zu können. Doch bei Microsoft ging man noch einen Schritt weiter und wartete nicht darauf, dass der Honeypot von Kriminellen gefunden wurde. Vielmehr wurden die Daten der Honeypot-Profile aktiv auf bekannten Phishing-Seiten eingegeben. Selbstverständlich wurde dabei keine Zwei-Faktor-Authentifizierung verwendet, wodurch diese Profile den Hackern als leichte Beute erscheinen mussten.
Das Vorgehen und die Ergebnisse dieser Operation stellte Ross Bevington von Microsoft, der sich selbst „Head of Deception“ nennt, auf der BSides-Konferenz in Exeter vor. Auf der mittlerweile stillgelegten Website code.microsoft.com hatten Bevinton und sein Team einen „Hybrid high interaction Honeypot“ eingerichtet, um Daten über cyberkriminelle Akteure zu sammeln. Dazu wurden ganze Netzwerkumgebungen mit Tausenden von Nutzerkonten erstellt, die untereinander kommunizierten und Daten verschickten. Was für die Angreifer täuschend echt aussah, war jedoch eine Falle, denn sobald sie in den Honeypot eingedrungen waren, begann das Microsoft-Team damit, Daten zu sammeln, mit denen die Sicherheitsforscher sowohl die Vorgehensweise als auch die Ziele der Kriminellen untersuchen konnten.
Laut Microsoft überwacht das Unternehmen täglich etwa 25.000 Phishing-Seiten und füttert etwa 20 Prozent davon mit den Zugangsdaten für den Honeypot; der Rest wird durch CAPTCHA oder andere Anti-Bot-Mechanismen blockiert. Sobald sich die Angreifer bei den gefälschten Profilen anmelden, was in 5 Prozent der Fälle passiert, wird eine detaillierte Protokollierung aktiviert, um jede ihrer Aktionen zu verfolgen und so Informationen zu Taktiken, Techniken und Verfahren der Bedrohungsakteure zu sammeln. Dazu gehören IP-Adressen, Browser, Standort, Verhaltensmuster, die Verwendung von VPNs oder VPS und die von ihnen verwendeten Phishing-Kits.
Derzeit vergeuden Angreifer im Schnitt 30 Tage mit dem Ausspähen des Honeypots, bevor sie merken, dass sie in ein gefälschtes Netzwerk eingedrungen sind. Währenddessen sammelt Microsoft alle verwertbaren Daten, die von anderen Sicherheitsteams genutzt werden können, um komplexere Profile und bessere Verteidigungsmaßnahmen zu erstellen.
In seinem Vortrag wies Bevinton darüber hinaus darauf hin, dass weniger als zehn Prozent der auf diese Weise gesammelten IP-Adressen mit Daten in anderen bekannten Bedrohungsdatenbanken korreliert werden können. Seine Methode trägt außerdem dazu bei, Angriffe bestimmten Hackergruppen zuzuordnen. So verirrten sich neben diversen finanziell motivierten Gruppen auch staatlich gesponserte Akteure wie die russische Bedrohungsgruppe Midnight Blizzard, auch bekannt als Nobelium, in die Falle der Sicherheitsforscher.
Der Vortrag zeigt, wie effektiv Honeypots für die Weiterentwicklung von Sicherheitsstrategien sind, insbesondere wenn man wie Bevinton einen aktiven Ansatz wählt, statt passiv darauf zu warten, dass die Kriminellen in die Falle tappen.
Bild (c) Sonja Langford / Unsplash