株洲专业建设网站事业单位网站备案流程

微软正采取一种巧妙的策略来对抗网络钓鱼行为者，其手段是通过访问Azure平台创建高度仿真的蜜罐租户，以此作为诱饵，吸引网络犯罪分子进入，进而收集他们的相关信息。

凭借所收集的数据，微软能够绘制出恶意基础设施的地图，深入了解复杂的网络钓鱼操作，有效破坏大规模的网络钓鱼活动，识别出网络犯罪分子，并大幅度减缓他们的行动速度。

在BSides Exeter会议上，微软首席安全软件工程师Ross Bevington（自称微软的“欺骗主管”）详细阐述了这一策略及其对网络钓鱼活动的巨大破坏性影响。

Bevington在已停止使用的code.microsoft.com上构建了一个“混合高交互蜜罐”，旨在收集针对Microsoft基础设施的技能较低的网络犯罪分子和民族国家团体的威胁情报。

目前，Bevington及其团队正在利用欺骗技术打击网络钓鱼，该技术将整个Microsoft租户环境作为蜜罐，包括自定义域名、数千个用户账户以及内部通信和文件共享等活动。

通常，公司或研究人员会设置一个蜜罐，等待威胁者主动发现并攻击。除了将攻击者从真实环境中转移出来，蜜罐还可以收集入侵系统的方法情报，并将其应用于合法网络。然而，Bevington的方法有所不同，它是主动出击，将“游戏”带到攻击者面前，而不是被动等待威胁者找到入侵路径。

在BSides Exeter的演讲中，这位研究人员提到，主动方法包括访问由Defender识别的活跃钓鱼网站，并输入蜜罐租户的凭据。由于这些凭据未受双因素身份验证保护，且租户内充满逼真的信息，攻击者很容易上当，并在寻找陷阱迹象的过程中浪费时间。

微软表示，它每天监控约2.5万个钓鱼网站，并向其中约20%的网站提供蜜罐凭据；而其余网站则被验证码或其他反僵尸机制拦截。一旦攻击者成功登录到假冒的租户（约占5%的情况），系统就会启动详细的日志记录，跟踪他们的每一个动作，从而了解威胁行为者的战术、技术和程序。所收集的情报包括IP地址、浏览器、位置、行为模式、是否使用VPN或VPS以及他们所使用的网络钓鱼工具包等。此外，当攻击者试图与蜜罐环境中的虚假账户交互时，微软会故意减慢响应速度。

微软一直在收集可操作的数据，这些数据可供其他安全团队使用，以创建更复杂的配置文件和更强大的防御措施。Bevington提到，他们通过这种方式收集的IP地址中，仅有不到10%能与已知威胁数据库中的数据相匹配。

这种方法有助于收集足够的情报，将攻击归因于有经济动机的团体，甚至是国家支持的行为者，如俄罗斯的Nobelium威胁组织。尽管利用“欺骗”手段保护资产的概念并不新颖，许多公司也依赖蜜罐来检测入侵和追踪黑客，但微软找到了一种利用其资源大规模追捕威胁行为者的有效方法。

参考来源：

Microsoft creates fake Azure tenants to pull phishers into honeypots (bleepingcomputer.com)