Microsoft geht jetzt unter die Phish-Fänger

Shuttertstock – inspiring.team

Die Anzahl, Arten und Qualität von Cyberangriffen nehmen beständig zu – soweit ein alter Hut. Neu ist aber, dass immer mehr gesetzestreue Cyberakteure in die IT-Offensive gehen. So stieg zuletzt etwa das FBI in den Krypto-Markt ein.

Die Täuscher austricksen

Microsoft hat sich jetzt vorgenommen, Phishing-Akteure in die Falle zu locken. Hierfür richtet der Konzern aus Redmond realistisch aussehende Honeypot-Tenants mit Zugang zu Azure ein. Diese sollen Cyberkriminelle anlocken, sodass das Unternehmen dann Informationen über sie sammeln kann.

Ziel ist es, mit den gesammelten Daten

• die bösartige Infrastruktur abzubilden,
• ein tieferes Verständnis für ausgeklügelte Phishing-Operationen zu erlangen,
• Kampagnen in großem Umfang zu unterbrechen,
• Cyberkriminelle zu identifizieren und
• ihre Aktivitäten deutlich zu verlangsamen.

Wie eine solche Phishing-Jagd aussehen kann, beschreibt Ross Bevington, ein leitender Sicherheitssoftware-Ingenieur bei Microsoft. Er richtete unter anderem auf der inzwischen stillgelegten Website code.microsoft.com einen „hybriden Honeypot mit hoher Interaktion“ ein.

Täuschend echte Umgebungen

Hiermit sollten Bedrohungsdaten über bösartige Hacker gesammelt werden, die von weniger qualifizierten Cyberkriminellen bis hin zu nationalen Gruppen reichen, die es auf die Microsoft-Infrastruktur abgesehen haben.

Konkret legten Bevington und sein Team ganze Microsoft-Tenant-Umgebungen als Honeypots an. Diese Lockfallen bestehen aus benutzerdefinierten Domänennamen, Tausenden von Benutzerkonten und simulierten Aktivitäten wie Kommunikation und Dateifreigabe.

Den Honig aktiv einsetzen

Im Gegensatz zu herkömmlichen Honeypots, die darauf warten, entdeckt zu werden, verfolgt Bevingtons Ansatz das Ziel, den Kampf direkt zu den Angreifern zu tragen. So kann er deren Methoden verstehen und die gewonnen Informationen auf echte Netzwerke anwenden.

Hierfür besuchen die Experten aktive Phishing-Seiten, die von Microsoft Defender identifiziert wurden, und geben die Anmeldeinformationen der Honeypot-Tenants ein.

Da die Anmeldedaten nicht durch eine Zwei-Faktor-Authentifizierung geschützt sind und die Tenants mit realistisch aussehenden Informationen gefüllt sind, können Angreifer leicht zugreifen und verschwenden Zeit damit, nach Anzeichen für eine Falle zu suchen.

Über 1.000 Fallen pro Tag werden gelegt

Microsoft überwacht täglich etwa 25.000 Phishing-Websites. In einem Fünftel der Fälle kommen Honeypots zum Einsatz, indem gefälschte Zugangsdaten bereitstellt werden. In fünf Prozent der Fälle loggen sich die Angreifer ein, woraufhin ihre Aktivitäten detailliert überwacht werden. So kann Microsoft ihre Taktiken und Techniken analysieren.

Dabei gesammelte Daten umfassen

• IP-Adressen,
• Browser,
• Standort,
• Verhaltensmuster sowie
• den Einsatz von VPNs oder Phishing-Kits.

Zusätzlich verlangsamt Microsoft die Reaktionen in den gefälschten Umgebungen, um die Interaktionen der Angreifer zu beobachten.

Kriminelle in ihrer „natürlichen“ Umgebung beobachten

Dank dieser List vergeudet ein Angreifer 30 Tage, bevor er merkt, dass er in eine gefälschte Umgebung eingedrungen ist. Währenddessen sammelt Microsoft verwertbare Daten, die von anderen Sicherheitsteams genutzt werden können. So erstellen die Jäger komplexere Profile und bessere Verteidigungsmaßnahmen von den Angreifern.

Auf diese Weise gesammelte IP-Adressen lassen sich laut Bevington aber nur in zehn Prozent der Fälle mit Daten in anderen bekannten Bedrohungsdatenbanken korrelieren. Dennoch helfe diese Methode dabei, genügend Informationen zu sammeln, um Angriffe finanziell motivierten Gruppen oder sogar staatlich gesponserten Akteuren wie der russischen Bedrohungsgruppe Midnight Blizzard (Nobelium) zuzuordnen.