Honeypots: Wenn der Jäger zum Gejagten wird

Sicherheitsforscher von Microsoft haben Phishing-Scammer in die Falle gelockt. Dafür haben sie realistisch wirkende Honeypots entwickelt, die über einen vermeintlichen Zugang zu Microsofts Cloud-Dienst Azure verfügten. Wie mit Honeypots üblich sollten so Cyberkriminelle angelockt werden, um Informationen über ihre Vorgehensweise sammeln zu können. Doch bei Microsoft ging man noch einen Schritt weiter und wartete nicht darauf, dass der Honeypot von Kriminellen gefunden wurde. Vielmehr wurden die Daten der Honeypot-Profile aktiv auf bekannten Phishing-Seiten eingegeben. Selbstverständlich wurde dabei keine Zwei-Faktor-Authentifizierung verwendet, wodurch diese Profile den Hackern als leichte Beute erscheinen mussten.

Das Vorgehen und die Ergebnisse dieser Operation stellte Ross Bevington von Microsoft, der sich selbst „Head of Deception“ nennt, auf der BSides-Konferenz in Exeter vor. Auf der mittlerweile stillgelegten Website code.microsoft.com hatten Bevington und sein Team einen „Hybrid high interaction Honeypot“ eingerichtet, um Daten über cyberkriminelle Akteure zu sammeln. Dazu wurden ganze Netzwerkumgebungen mit Tausenden von Nutzerkonten erstellt, die untereinander kommunizierten und Daten verschickten. Was für die Angreifer täuschend echt aussah, war jedoch eine Falle, denn sobald sie in den Honeypot eingedrungen waren, begann das Microsoft-Team damit, Daten zu sammeln, mit denen die Sicherheitsforscher sowohl die Vorgehensweise als auch die Ziele der Kriminellen untersuchen konnten.

Laut Microsoft überwacht das Unternehmen täglich etwa 25.000 Phishing-Seiten und füttert etwa 20 Prozent davon mit den Zugangsdaten für den Honeypot; der Rest wird durch CAPTCHA oder andere Anti-Bot-Mechanismen blockiert. Sobald sich die Angreifer bei den gefälschten Profilen anmelden, was in 5 Prozent der Fälle passiert, wird eine detaillierte Protokollierung aktiviert, um jede ihrer Aktionen zu verfolgen und so Informationen zu Taktiken, Techniken und Verfahren der Bedrohungsakteure zu sammeln. Dazu gehören IP-Adressen, Browser, Standort, Verhaltensmuster, die Verwendung von VPNs oder VPS und die von ihnen verwendeten Phishing-Kits.

Derzeit vergeuden Angreifer im Schnitt 30 Tage mit dem Ausspähen des Honeypots, bevor sie merken, dass sie in ein gefälschtes Netzwerk eingedrungen sind. Währenddessen sammelt Microsoft alle verwertbaren Daten, die von anderen Sicherheitsteams genutzt werden können, um komplexere Profile und bessere Verteidigungsmaßnahmen zu erstellen.

In seinem Vortrag wies Bevington darüber hinaus darauf hin, dass weniger als zehn Prozent der auf diese Weise gesammelten IP-Adressen mit Daten in anderen bekannten Bedrohungsdatenbanken korreliert werden können. Seine Methode trägt außerdem dazu bei, Angriffe bestimmten Hackergruppen zuzuordnen. So verirrten sich neben diversen finanziell motivierten Gruppen auch staatlich gesponserte Akteure wie die russische Bedrohungsgruppe Midnight Blizzard, auch bekannt als Nobelium, in die Falle der Sicherheitsforscher.

Der Vortrag zeigt, wie effektiv Honeypots für die Weiterentwicklung von Sicherheitsstrategien sind, insbesondere wenn man wie Bevington einen aktiven Ansatz wählt, statt passiv darauf zu warten, dass die Kriminellen in die Falle tappen.

Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Julia Olmscheid
Head of Communications
Telefon: +49 (6321) 484460
E-Mail: redaktion@8com.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel