Microsoft สร้าง Azure Tenants ปลอม เพื่อหลอกล่อ Hacker เข้าสู่ Honeypots

Microsoft กำลังใช้กลวิธีหลอกล่อกลุ่มผู้โจมตี Phishing โดยสร้าง Honeypot Tenants พร้อมสิทธิ์เข้าถึง Azure เพื่อรวบรวมข้อมูลเกี่ยวกับภัยคุกคามจากกลุ่ม Hacker ตั้งแต่ Hacker ที่มีทักษะน้อย ไปจนถึงกลุ่มประเทศที่กำหนดเป้าหมายไปที่โครงสร้างพื้นฐานของ Microsoft

ด้วยข้อมูลที่รวบรวมมาทำให้ Microsoft สามารถสร้างแผนที่โครงสร้างพื้นฐานที่เป็นอันตราย และเข้าใจ phishing operations ที่ลึกซึ้งยิ่งขึ้น ทำให้สามารถระบุกลุ่ม Hacker และขัดขวางการโจมตีของแคมเปญ Phishing ขนาดใหญ่

กลยุทธ์ดังกล่าวได้รับการเผยแพร่ในการบรรยายในงานประชุม BSides Exeter โดย Ross Bevington ซึ่งเป็น security software engineer ที่ Microsoft ซึ่งเรียกตัวเองว่า "Head of Deception" ของ Microsoft

ความสำเร็จในการสร้าง Honeypot tenants

ปัจจุบัน Bevington และทีมของเขากำลังใช้กลวิธีหลอกล่อกลุ่ม Phishing โดยสร้าง Azure Tenants ปลอมของ Microsoft โดยใช้ชื่อโดเมนที่กำหนดเอง, บัญชีผู้ใช้หลายพันบัญชี และกิจกรรมต่าง ๆ เช่น การสื่อสารภายใน และการแชร์ไฟล์

โดยทั่วไปแล้ว บริษัท หรือผู้วิจัยจะตั้งค่า Honeypot และรอให้ Hacker ค้นพบ และดำเนินการ นอกจากจะหลีกเลี่ยง Hacker ให้เข้าถึงระบบจริงแล้ว Honeypot ยังช่วยให้รวบรวมข้อมูลเกี่ยวกับวิธีการที่ใช้ในการเจาะระบบ ซึ่งสามารถนำไปใช้กับเครือข่ายของเป้าหมาย

แม้แนวคิดของ Bevington จะเหมือนกับวิธีส่วนใหญ่ แต่แตกต่างกันตรงที่แนวคิดนี้จะเป็นการหลอกล่อ Hacker แบบเชิงรุก แทนที่จะรอให้ Hacker หาทางเข้ามา

ในการนำเสนอของ Bsides Exeter นักวิจัยระบุว่าแนวทางเชิงรุกประกอบด้วยการเข้าใช้งานเว็บไซต์ฟิชชิ่งที่เปิดใช้งานอยู่ ซึ่งถูกระบุโดย Defender และกรอกข้อมูล credentials จาก honeypot tenants เนื่องจากข้อมูล credentials ไม่ได้มีการเปิดใช้งาน Two-Factor Authentication (2FA) รวมถึงข้อมูลดังกล่าวก็เต็มไปด้วยข้อมูลที่ดูสมจริง Hacker จึงสามารถเข้าไปได้อย่างง่ายดาย

Microsoft ระบุว่าได้ตรวจสอบเว็บไซต์ Phishing ประมาณ 25,000 เว็บทุกวัน โดยส่งข้อมูลที่เป็น Honeypot ให้ได้ประมาณ 20% ส่วนที่เหลือจะถูก block โดย CAPTCHA หรือกลไก anti-bot อื่น ๆ

เมื่อ Hacker เข้าสู่ระบบ Tenants ปลอม ซึ่งเกิดขึ้นราว ๆ 5% ของทั้งหมด ระบบจะเปิด detailed logging เพื่อติดตามทุกการกระทำที่พวกเขาทำ เพื่อเรียนรู้กลยุทธ์ เทคนิค และขั้นตอนของ Hacker

ข้อมูลที่เก็บรวบรวมประกอบไปด้วย IP address, browser, location, รูปแบบพฤติกรรม ไม่ว่าพวกเขาจะใช้ VPN หรือ VPS รวมถึง Phishing kit ที่ Hacker ใช้

ปัจจุบันวิธีการดังกล่าวทำให้ Hacker เสียเวลากว่า 30 วันก่อนที่จะรู้ว่าเป็น Honeypot Tenants ทำให้สามารถรวบรวมข้อมูลที่ทีมรักษาความปลอดภัยอื่น ๆ สามารถนำมาใช้เพื่อสร้างโปรไฟล์ที่ซับซ้อนยิ่งขึ้น และการป้องกันที่ดีขึ้น

Bevington ระบุว่า IP address น้อยกว่า 10% ที่เก็บรวบรวมข้อมูลด้วยวิธีดังกล่าว สามารถเชื่อมโยงกับข้อมูลในฐานข้อมูลภัยคุกคามที่ทราบจากแหล่งอื่น ๆ ได้

วิธีการนี้ช่วยรวบรวมข้อมูลที่เพียงพอเพื่อระบุการโจมตีว่ามาจากกลุ่มที่ได้รับแรงจูงใจทางการเงิน หรือแม้กระทั่งกลุ่มที่ได้รับการสนับสนุนจากรัฐบาล เช่น กลุ่ม Midnight Blizzard (Nobelium) ของรัสเซีย

แม้ว่าวิธีการสร้าง Honeypot เพื่อเก็บข้อมูลการโจมตี และป้องกันการโจมตี แต่ Microsoft ถือว่าเป็นบริษัทขนาดใหญ่ที่ใช้วิธีการดังกล่าว โดยใช้ทรัพยากรที่มีมหาศาลของตนในการเรียนรู้วิธีการโจมตี และตามล่า Hacker

ที่มา : bleepingcomputer