Das Vorgehen und die Ergebnisse dieser Operation stellte Ross Bevington von Microsoft, der sich selbst „Head of Deception“ nennt, auf der BSides-Konferenz in Exeter vor. Auf der mittlerweile stillgelegten Website code.microsoft.com hatten Bevington und sein Team einen „Hybrid high interaction Honeypot“ eingerichtet, um Daten über cyberkriminelle Akteure zu sammeln. Dazu wurden ganze Netzwerkumgebungen mit Tausenden von Nutzerkonten erstellt, die untereinander kommunizierten und Daten verschickten. Was für die Angreifer täuschend echt aussah, war jedoch eine Falle, denn sobald sie in den Honeypot eingedrungen waren, begann das Microsoft-Team damit, Daten zu sammeln, mit denen die Sicherheitsforscher sowohl die Vorgehensweise als auch die Ziele der Kriminellen untersuchen konnten.
Laut Microsoft überwacht das Unternehmen täglich etwa 25.000 Phishing-Seiten und füttert etwa 20 Prozent davon mit den Zugangsdaten für den Honeypot; der Rest wird durch CAPTCHA oder andere Anti-Bot-Mechanismen blockiert. Sobald sich die Angreifer bei den gefälschten Profilen anmelden, was in 5 Prozent der Fälle passiert, wird eine detaillierte Protokollierung aktiviert, um jede ihrer Aktionen zu verfolgen und so Informationen zu Taktiken, Techniken und Verfahren der Bedrohungsakteure zu sammeln. Dazu gehören IP-Adressen, Browser, Standort, Verhaltensmuster, die Verwendung von VPNs oder VPS und die von ihnen verwendeten Phishing-Kits.
Derzeit vergeuden Angreifer im Schnitt 30 Tage mit dem Ausspähen des Honeypots, bevor sie merken, dass sie in ein gefälschtes Netzwerk eingedrungen sind. Währenddessen sammelt Microsoft alle verwertbaren Daten, die von anderen Sicherheitsteams genutzt werden können, um komplexere Profile und bessere Verteidigungsmaßnahmen zu erstellen.
In seinem Vortrag wies Bevington darüber hinaus darauf hin, dass weniger als zehn Prozent der auf diese Weise gesammelten IP-Adressen mit Daten in anderen bekannten Bedrohungsdatenbanken korreliert werden können. Seine Methode trägt außerdem dazu bei, Angriffe bestimmten Hackergruppen zuzuordnen. So verirrten sich neben diversen finanziell motivierten Gruppen auch staatlich gesponserte Akteure wie die russische Bedrohungsgruppe Midnight Blizzard, auch bekannt als Nobelium, in die Falle der Sicherheitsforscher.
Der Vortrag zeigt, wie effektiv Honeypots für die Weiterentwicklung von Sicherheitsstrategien sind, insbesondere wenn man wie Bevington einen aktiven Ansatz wählt, statt passiv darauf zu warten, dass die Kriminellen in die Falle tappen.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 (6321) 484460
E-Mail: redaktion@8com.de