Microsoft, Azure’a erişimi olan gerçekçi görünümlü bal küpü kiracıları oluşturarak ve siber suçluları onlar hakkında istihbarat toplamaları için cezbederek kimlik avı aktörlerine karşı aldatıcı taktikler kullanıyor.
Microsoft, toplanan verilerle kötü amaçlı altyapının haritasını çıkarabilir, karmaşık kimlik avı operasyonları hakkında daha derin bir anlayış kazanabilir, kampanyaları geniş ölçekte kesintiye uğratabilir, siber suçluları tespit edebilir ve etkinliklerini önemli ölçüde yavaşlatabilir.
Taktik ve bunun kimlik avı faaliyetleri üzerindeki zararlı etkisi, Microsoft’un baş güvenlik yazılımı mühendisi Ross Bevington tarafından BSides Exeter konferansında kendisine Microsoft’un “Aldatma Başkanı” adını veren Ross Bevington tarafından anlatıldı.
Bevington, artık kullanımdan kaldırılanlar üzerinde “hibrit yüksek etkileşimli bir bal küpü” yarattı code.microsoft.com Daha az vasıflı siber suçlulardan Microsoft altyapısını hedef alan ulus devlet gruplarına kadar çeşitli aktörler hakkında tehdit istihbaratı toplamak.
Kimlik avının başarılı olduğu yanılsaması
Şu anda Bevington ve ekibi, özel alan adlarına, binlerce kullanıcı hesabına ve dahili iletişim ve dosya paylaşımı gibi etkinliklere sahip bal küpleri olarak tüm Microsoft kiracı ortamlarını kullanarak aldatma tekniklerinden yararlanarak kimlik avına karşı mücadele ediyor.
Şirketler veya araştırmacılar genellikle bir balküpü kurar ve tehdit aktörlerinin bunu keşfedip harekete geçmesini bekler. Balküpü, saldırganları gerçek ortamdan uzaklaştırmanın yanı sıra, sistemleri ihlal etmek için kullanılan yöntemler hakkında istihbarat toplanmasına da olanak tanır ve bu bilgiler daha sonra meşru ağ üzerinde uygulanabilir.
Bevington’un konsepti büyük ölçüde aynı olsa da, tehdit aktörlerinin içeri girmenin bir yolunu bulmasını beklemek yerine oyunu saldırganlara götürmesi bakımından farklılık gösteriyor.
BSides Exeter sunumunda araştırmacı, aktif yaklaşımın Defender tarafından belirlenen aktif kimlik avı sitelerini ziyaret etmekten ve bal küpü kiracılarından gelen kimlik bilgilerini yazmaktan oluştuğunu söylüyor.
Kimlik bilgileri iki faktörlü kimlik doğrulamayla korunmadığından ve kiracılar gerçekçi görünen bilgilerle doldurulduğundan, saldırganlar kolayca içeri girebilir ve tuzak işaretleri arayarak zaman kaybetmeye başlar.
Microsoft, her gün yaklaşık 25.000 kimlik avı sitesini izlediğini ve bunların yaklaşık %20’sini bal küpü kimlik bilgileriyle beslediğini söylüyor; geri kalanı CAPTCHA veya diğer anti-bot mekanizmaları tarafından engelleniyor.
Saldırganlar, vakaların %5’inde görülen sahte kiracılarda oturum açtıktan sonra, yaptıkları her eylemi takip etmek için ayrıntılı günlük kaydını etkinleştiriyor ve böylece tehdit aktörlerinin taktiklerini, tekniklerini ve prosedürlerini öğreniyor.
Toplanan istihbarat; IP adreslerini, tarayıcıları, konumu, davranış kalıplarını, VPN veya VPS kullanıp kullanmadıklarını ve hangi kimlik avı kitlerine güvendiklerini içerir.
Ayrıca saldırganlar ortamdaki sahte hesaplarla etkileşime girmeye çalıştığında Microsoft, yanıtları mümkün olduğunca yavaşlatıyor.
Aldatma teknolojisi şu anda bir saldırganın sahte bir ortamın ihlal edildiğini fark etmesinden 30 gün öncesini boşa harcıyor. Microsoft, daha karmaşık profiller ve daha iyi savunmalar oluşturmak için diğer güvenlik ekipleri tarafından kullanılabilecek eyleme geçirilebilir verileri toplar.
Bevington, bu şekilde topladıkları IP adreslerinin yüzde 10’undan daha azının bilinen diğer tehdit veritabanlarındaki verilerle ilişkilendirilebileceğini belirtiyor.
Yöntem, saldırıların mali motivasyonlu gruplara ve hatta Rusya Gece Yarısı Blizzard (Nobelium) tehdit grubu gibi devlet destekli aktörlere atfedilmesi için yeterli istihbaratın toplanmasına yardımcı oluyor.
Varlıkları korumaya yönelik aldatma ilkesi yeni olmasa da ve birçok şirket izinsiz girişleri tespit etmek ve hatta bilgisayar korsanlarını takip etmek için bal küplerine ve kanarya nesnelerine güveniyor olsa da Microsoft, tehdit aktörlerini ve yöntemlerini geniş ölçekte avlamak için kaynaklarını kullanmanın bir yolunu buldu.