当前位置：首页 > news >正文

微软运用欺骗性策略大规模打击网络钓鱼活动

news 2025/10/31 3:07:51

1729474900_6715b154c131aeda5a09f.png!small

微软正在利用欺骗性策略来打击网络钓鱼行为者，方法是通过访问 Azure 生成外形逼真的蜜罐租户，引诱网络犯罪分子进入以收集有关他们的情报。

利用收集到的数据，微软可以绘制恶意基础设施地图，深入了解复杂的网络钓鱼操作，大规模破坏网络钓鱼活动，识别网络犯罪分子，并显著降低其活动速度。

在 BSides Exeter 会议上，Microsoft 首席安全软件工程师 Ross Bevington 描述了这种策略及其对网络钓鱼活动的破坏性影响，他称自己为 Microsoft 的“欺骗主管”。

Bevington 在现已退役的 code.microsoft.com 上创建了一个“混合高交互蜜罐”，以收集有关行为者的威胁情报，这些行为者既有技能较低的网络犯罪分子，也有针对Microsoft基础设施的民族国家团体。

网络钓鱼成功的假象

目前，Bevington 和他的团队通过利用欺骗技术来打击网络钓鱼，该技术使用整个 Microsoft 租户环境作为蜜罐，具有自定义域名、数千个用户帐户以及内部通信和文件共享等活动。

公司或研究人员通常会设置一个蜜罐，等待威胁者发现并采取行动。除了将攻击者从真实环境中转移出来，“巢穴 ”还可以收集入侵系统所用方法的情报，然后将其应用于合法网络。

虽然 Bevington 的概念大致相同，但其不同之处在于，它将游戏带到攻击者面前，而不是等待威胁者找到入侵的方法。

这位研究人员在 BSides Exeter 的演讲中说，主动方法包括访问 Defender 识别出的活动钓鱼网站，并输入蜜罐租户的凭据。

由于凭据不受双因素身份验证的保护，而且租户中充斥着逼真的信息，攻击者很容易进入，并开始浪费时间寻找陷阱的迹象。

微软表示，它每天监控大约 2.5 万个钓鱼网站，向其中约 20% 的网站提供蜜罐凭据；其余网站则被验证码或其他反僵尸机制拦截。

一旦攻击者登录到假冒的租户（5% 的情况下会发生），它就会打开详细的日志记录，跟踪他们的每一个动作，从而了解威胁行为者的战术、技术和程序。收集到的情报包括 IP 地址、浏览器、位置、行为模式、是否使用 VPN 或 VPS 以及他们依赖的网络钓鱼工具包。此外，当攻击者试图与环境中的虚假账户进行交互时，微软会尽可能减慢响应速度。

一直以来，微软都在收集可操作的数据，这些数据可供其他安全团队用来创建更复杂的配置文件和更好的防御措施。

Bevington 提到，他们以这种方式收集的 IP 地址中，只有不到 10% 可以与其他已知威胁数据库中的数据相关联。

这种方法有助于收集足够的情报，将攻击归因于有经济动机的团体，甚至是国家支持的行为者，如俄罗斯午夜暴雪（Nobelium）威胁组织。

尽管利用“欺骗”的方式来保护资产的这种原理并不新鲜，许多公司也依靠蜜罐来检测入侵，甚至追踪黑客，但微软找到了一种利用其资源来大规模追捕威胁行为者的方法。

微软运用欺骗性策略大规模打击网络钓鱼活动

网络钓鱼成功的假象

相关文章：

微软运用欺骗性策略大规模打击网络钓鱼活动

小程序无法获取头像昵称以及手机号码的深度剖析与解决方案

从0到1，搭建vue3项目

Mybatis mapper文件 resultType和resultMap的区别

文件下载漏洞

【Flutter】状态管理：Provider状态管理

来个Oracle一键检查

C语言中的分支与循环(中 1)

Git_GitLab

如何自定义一个自己的 Spring Boot Starter 组件（从入门到实践）

CSS伪元素以及伪类和CSS特性

【论文笔记】Instantaneous Perception of Moving Objects in 3D

Segugio：一款针对恶意软件的进程执行跟踪与安全分析工具

互联网系统的微观与宏观架构

数据库、数据仓库、数据湖和数据中台有什么区别

vscode配色主题与图标库推荐

深度学习模型入门教程：从基础到应用

数据结构软考

colcon构建ros2功能包时，出现exited with code 2报错的解决方案(bug)

【大模型LLM面试合集】大语言模型架构_位置编码

Unity3D中Gfx.WaitForPresent优化方案

el-switch文字内置

1.3 VSCode安装与环境配置

屋顶变身“发电站” ，中天合创屋面分布式光伏发电项目顺利并网！

MySQL中【正则表达式】用法

根据万维钢·精英日课6的内容，使用AI（2025）可以参考以下方法：

10-Oracle 23 ai Vector Search 概述和参数

作为测试我们应该关注redis哪些方面

根目录0xa0属性对应的Ntfs!_SCB中的FileObject是什么时候被建立的----NTFS源代码分析--重要

在 Spring Boot 项目里，MYSQL中json类型字段使用