Основы информационной безопасности в Microsoft Teams

размещено в: Без рубрики | 0

Microsoft Teams — краеугольный камень портфолио Office 365. Он предназначен для связи воедино остальных продуктов, помогая в совместной работе пользователей и предоставляя несколько видов связи (в том числе и между облачными продуктами Microsoft) в едином интерфейсе.

В данной статье мы опишем Teams, поговорим об основной функциональности и поясним, как можно обезопасить доступ и защитить данные организации, оставляя пользователям все возможности использования платформы для совместной работы.

Верхнеуровневое изложение

  • Teams — коммуникационная платформа полностью интегрированная в Office 365(хотя, более строго, с технической точки зрения — это, скорее, клиент, работающий со всеми продуктами облачного прдложения Microsoft);
  • Microsoft включает Teams в большинство предложений Office 365, и теперь разрешает гостевой доступ к каналам Teams для совместной работы между организациями;
  • Varonis осуществляет мониторинг Teams, Azure AD, SharePoint Online, Exchange Online и OneDrive для полной кросс-платформенной видимости прав доступа, понимания, какой именно контент хранится, и где, а также для отслеживания активности пользователей как в облаке, так и в гибридной среде. Это позволяет выявлять готовящиеся атаки и предотвращать утечки данных на ранних стадиях их подготовки.

Как использовать Microsoft Teams

Перед тем, как мы рассмотрим сценарии использования, есть несколько особенностей настройки Teams, о которых следует знать. При создании новой «команды» в Teams, также создаются соответствующие сайт SharePoint Online, раздел OneDrive, и группы безопасности Azure AD. Таким образом, можно воспринимать Teams как некий внешний интерфейс для всех этих систем за его спиной в Office 365. Это также поможет понять, как использовать Teams в качестве такого интерфейса.

  • Организовать взаимодействие между сотрудниками, с поддержкой всех функций современных мессенджеров, и использовать весь функционал платформы совместной работы;
  • Легко передавать и редактировать документы и календари;
  • Переключаться между голосовым, текстовым и видеообщением в интерфейсе Teams;
  • Коннекторы позволяют интегрироваться с Salesforce, SuccessFactors, Zendesk, Mailchimp, Evernote и другими сервисами;
  • У каждой Команды есть разные каналы, где они могут общаться с остальными её членами.

Например, наша команда Marketing содержит каналы General, Budget, Inbound, Not Work, и Reading List. Пользователи могут скрывать каналы, которые не хотят видеть в списке. Вы можете разрешить пользователям создавать новые каналы внутри команды, как мы поступили с каналом Not Work.

У каждого из каналов есть своя история взаимодействия. Можно использовать @%username% для того, чтобы выделить запись для конкретного пользователя, и тогда Teams использует встроенную систему оповещений Windows, чтобы отображать всплывающие оповещения, если они нужны.

У каждого канала есть ещё и вкладки:

Posts, где можно увидеть историю переписки, Files — сайт SharePoint, и также можно добавить свои:

Новые вкладки могут сделать Teams центральным коммуникационным хабом для всей организации. Можно подключать SalesForce, SuccessFactors, Zendesk, и другие более чем 180 сервисов, доступных к интеграции на данный момент.

Файлы на вкладке Files автоматически доступны всем членам команды. Во всём остальном это отображение работает как любая иная папка в окружении Windows. Вы можете создавать ссылки на данные файлы в этом интерфейсе, основываясь на правилах вашей организации по предоставлению доступа.

Если нажать на файл — откроется интерфейс редактирования прямо в окне Teams. Также можно открыть файл и в соответствующем редакторе, в данном случае — в Word.

Опция Chat слева позволяет перейти в групповые чаты или в переписку один на один:

В этом отображении можно переписываться, звонить по аудио-и видеосвязи или демонстрировать свой экран, а также добавлять других лиц к чату, делиться файлами внутри получившейся группы через вкладку Files. Все это почти полностью повторяет функционал Skype for Business, и готовит пользователей к переходу с него в будущем.

Инсталляция

Teams требует наличия УЗ Microsoft и лицензии Office 365. Однако, Microsoft добавила гостевой доступ к Teams в ноябре 2019. Теперь пользователи Teams с лицензиями Enterprise могут приглашать внешних пользователей в свои каналы.

Установить Teams можно на множество устройств с поддерживаемыми платформами — например Windows, MacOS, iOS, Android, дистрибутивы Linux, поддерживающие RPM или DEB пакеты.

Для корпоративных заказчиков, которым требуется распространить Teams по всем пользовательским устройствам организации, в Microsoft подготовили соответствующие инструкции.

Какова концепция совместной работы в Teams?

В целом, Teams работает одинаково на всех платформах. Приведённые ниже 5 разделов используются для навигации по интерфейсу, отображения сообщений и встреч:

  • Activity — отображает сообщения из всех подключенных каналов. Самые последние и непрочтённые — находятся вверху и выделены жирным шрифтом;
  • Chat — здесь находятся все диалоги и групповые чат-переписки;
  • Teams — здесь можно увидеть все подключенные каналы, и по щелчку мыши перейти в необходимый;
  • Calendar — если включена интеграция с Outlook Calendar — тут будет представлен ваш календарь;
  • Calls — в этом разделе находится история звонков и тут же можно прослушать голосовые сообщения.

Преимущества и риски использования Microsoft Teams

Microsoft Teams — за и против:

  • ЗА: Легко внедрить и настроить заказчикам Office 365;
  • ЗА: Интегрирован с Azure AD для обеспечения безопасности и лёгкости конфигурирования;
  • ЗА: Включён в большую часть предложений Office 365;
  • ЗА: Улучшает возможности совместной работы в организации.
  • ПРОТИВ: Не работает вне среды Microsoft с полностью развёрнутой необходимой функциональностью;
  • ПРОТИВ: Некоторый функционал медленно добавлялся (например — общий календарь для команд, безопасные частные каналы);
  • ПРОТИВ: Модель обеспечения безопасности Office 365 достаточно непроста, и не замеченная компрометация активов может произойти куда проще, чем в классической структуре;
  • ПРОТИВ: Возможно легко ограничить возможности совместной работы через изменение конфигурации или настройки безопасности.

Мы в Varonis развернули Officeи 365 и Teams. В основе нашей стратегии обеспечения безопасности данных — мониторинг активности и анализ угроз с помощью собственных решений.

Постоянный мониторинг и анализ происходящего в Teams и Officeи 365 — лучший выбор, чтобы быть уверенными в том, что не происходит никаких махинаций, подвергающих данные риску.

Лучшие практики обеспечения безопасности в Microsoft Teams

Общие:

  • Создавайте дополнительные каналы в Teams для прямых взаимодействий;
  • Разрешите пользователям создавать новые команды, но поддерживайте наблюдаемость и оперативно исправляйте некорректно предоставляемый доступ;
  • Получайте преимущества от интеграции Teams с другим ПО и сервисами;
  • Используйте чат-ботов, чтобы оповещать о событиях и задачах;
  • Используйте PowerShell для управления Teams.

Доступ к файлам и безопасность:

  • Внедрите и требуйте использования мультифакторной аутентификации;
  • Реализуйте и поддерживайте принцип минимальных привилегий в Teams и Office 365;
  • Классифицируйте критичные данные и используйте Varonis Data Classification Engine для дополнительной их защиты;
  • Запретите скачивание файлов на устройства, которые вы не контролируете;
  • Обеспечьте аудит обмена данными через ссылки со внешними пользователями.

Часто задаваемые вопросы о Microsoft Teams

В: Работает ли Teams вне организации?

О: Да и в то же время — нет. Microsoft предложила Гостевой доступ в Teams, так что, технически, вы можете приглашать людей извне организации к общению внутри ваших каналов. Однако, в силу того, что это было сделано недавно, пока сложно сказать, насколько удачно это будет работать на практике. По прошествии некоторого времени, уже можно сказать, что схожий со Skype for Business функционал работает идентично.

В: Как запретить Microsoft Teams автозапуск?

О: В меню Settings снимите галку с «Auto-Start application»

В: Как использовать Microsoft Team Meeting?

О: Можно начать частное собрание или запланировать собрание из вкладки Calendar в Teams. Этот функционал повторяет таковой в Skype for Business. Конец жизненного цикла ПО Skype for Business назначен на 2021, и эта функциональность, как все остальные, дублирующиеся в обоих клиентах, перейдёт полностью в Teams.

Для получения технической информации по обеспечению безопасности Teams и Office 365, предлагаем вам изучить англоязычный курс обучения общей длительностью 1 час от одного из признанных авторитетов в области SharePoint, Office 365 и гибридных решений, а также управления ими с помощью PowerShell: Office 365 Sharing Security Audit.

Автор оригинала: JEFF PETTERS.

Использование вредоносных приложений в Azure для получения доступа к тенантам Microsoft 365

размещено в: Без рубрики | 0

Фишинг остается одним из самых успешных способов проникновения в организацию. Мы видели огромное количество заражений вредоносным ПО, возникающих из-за того, что пользователи открывали зараженные вложения или переходили по ссылкам на вредоносные сайты, которые пытались скомпрометировать уязвимые браузеры или плагины.

Теперь, когда организации переходят на Microsoft 365 такими быстрыми темпами, мы видим новый вектор атаки — приложения Azure.

Как вы увидите ниже, злоумышленники могут создавать, маскировать и развертывать вредоносные приложения Azure для использования в своих фишинговых кампаниях. Приложения Azure не требуют одобрения со стороны Microsoft и, что более важно, они не требуют выполнения кода на компьютере пользователя, что позволяет легко обходить средства обнаружения и антивирусы на рабочих станциях.

После того, как злоумышленник убедит жертву установить вредоносное приложение Azure, он сможет выяснить, к какой организации принадлежит жертва, получить доступ к файлам жертвы, прочитать ее электронные письма, отправить электронные письма от имени жертвы (отлично подходит для внутренней фишинг-атаки) и в целом намного больше.

Что такое приложения Azure?

Microsoft создала службу приложений Azure, чтобы дать пользователям возможность создавать собственные облачные приложения, которые могут вызывать и использовать API-интерфейсы и ресурсы Azure. Это упрощает создание мощных настраиваемых программ, интегрируемых с экосистемой Microsoft 365.

Одним из наиболее распространенных API в Azure является MS Graph API. Этот API позволяет приложениям взаимодействовать с окружением пользователя, а именно: пользователями, группами, документами OneDrive, почтовыми ящиками Exchange Online и чатами.

Подобно тому, как ваш телефон под управлением iOS будет спрашивать вас, можно ли разрешить приложению доступ к вашим контактам или местоположению, Azure попросит предоставить приложению доступ к необходимым ресурсам. Очевидно, злоумышленник может использовать эту возможность, чтобы обманным путем дать приложению доступ к одному или нескольким конфиденциальным облачным ресурсам.

Как устроена атака

Чтобы выполнить эту атаку, у злоумышленника должно быть непосредственно само веб-приложение и тенант Azure для его размещения. После настройки магазина мы можем начинать фишинговую кампанию, используя ссылку для установки приложения Azure:

Ссылка в электронном письме направляет пользователя на контролируемый злоумышленниками веб-сайт (например, myapp.malicious.com), который, в свою очередь, перенаправляет жертву на страницу входа Microsoft. Процесс проверки подлинности полностью обрабатывается Microsoft, поэтому использование многофакторной проверки подлинности не является решением проблемы.

Как только пользователь входит в свой экземпляр O365, для вредоносного приложения будет создан токен, и пользователю будет предложено авторизоваться и предоставить приложению необходимые разрешения. Вот как это выглядит для конечного пользователя (и должно выглядеть очень знакомо, если пользователь ранее устанавливал приложения в SharePoint или Teams):

Вот разрешения MS Graph API, которые запрашиваются злоумышленником в коде нашего приложения:

Как видите, злоумышленник контролирует имя приложения («MicrosoftOffice») и ярлык (мы использовали ярлык OneNote). URL-адрес является действительным URL-адресом Microsoft, сертификат также действителен.

Однако, под именем приложения указывается имя тенанта злоумышленника и предупреждающее сообщение, причем ни то, ни другое не может быть скрыто. Надежда злоумышленника состоит в том, что пользователь будет спешить, увидит знакомый ярлык и пропустит эти сведения также быстро и бездумно, как и уведомления об условиях использования.

Нажав «Accept», жертва предоставляет нашему приложению разрешения от имени своей учетной записи, то есть приложение сможет читать электронные письма жертвы и получать доступ к любым файлам, к которым есть доступ у жертвы.

Этот шаг является единственным, требующим согласия жертвы, с этого момента злоумышленник имеет полный контроль над учетной записью и ресурсами пользователя.

После предоставления согласия приложению, жертва будет перенаправлена на выбранный нами веб-сайт. Хорошим трюком может стать сопоставление недавнего доступа пользователя к файлам и перенаправление его на один из недавно открытых внутренних документов SharePoint, чтобы вызвать минимум подозрений.

Полученные возможности

Эта атака идеальна для следующих активностей:

  • Разведка (получение списка учетных записей, групп, объектов в пользовательском тенанте);
  • Внутренний фишинг;
  • Кража данных с файловых ресурсов и электронной почты.

Чтобы проиллюстрировать мощь нашего приложения Azure, мы создали забавную консоль для отображения ресурсов, к которым мы получили доступ в рамках проверки нашего PoC (proof of Concept):

Раздел «Me» показывает детали попавшейся жертвы:

Раздел «Users» покажет нам вышеуказанные метаданные для каждого отдельного пользователя в организации, включая адрес электронной почты, номер мобильного телефона, должность и многое другое, в зависимости от атрибутов Active Directory организации. Один только этот вызов API может вызвать массовое нарушение политик защиты персональных данных, особенно в рамках GDPR и CCPA.

Раздел «Calendar» показывает нам события календаря жертвы. Мы также можем назначать встречи от её имени, просматривать существующие встречи и даже удалять будущие встречи.

Возможно, наиболее важным разделом в нашем консольном приложении является раздел «RecentFiles», который позволяет нам видеть любой файл, к которому пользователь обращался в OneDrive или SharePoint. Мы также можем загружать или изменять файлы (включая файлы с вредоносными макросами для развития атаки).

ВАЖНО: когда мы получаем доступ к файлу через этот API, Azure создает уникальную ссылку. Эта ссылка доступна любому человеку из любого места, даже если организация не разрешает анонимный обмен ссылками для рядовых пользователей 365.

Ссылки API особенные. Мы, честно говоря, не уверены, почему они не заблокированы политикой организации по обмену ссылками, возможно, Microsoft не хочет сломать существующие пользовательские приложения в случае изменения политики. Приложение может запросить ссылку для скачивания или ссылку для изменения файла — в нашем PoC мы запросили обе.

Раздел «Outlook» дает нам полный доступ к электронной почте жертвы. Мы можем видеть получателей любого сообщения, фильтровать их по приоритету, отправлять электронные письма (внутренний фишинг) и многое другое.

Читая электронные письма жертвы, мы можем выявлять круг её коммуникаций и наиболее уязвимые контакты из этого круга, отправлять внутренние фишинговые письма от имени нашей жертвы и таким образом развивать атаку внутри организации. Мы также можем использовать адреса электронной почты жертвы и контактов из её круга, чтобы отфильтровать данные, которые мы находим в 365.

Более того, у Microsoft есть API, предоставляющий информацию об актуальном круге общения жертвы:

Как мы упоминали выше, мы можем изменять файлы пользователя при наличии соответствующих прав. А что, если мы воспользуемся API для модификации файлов?

Один из вариантов — превратить наше вредоносное приложение Azure в программу-вымогатель, которая удаленно шифрует файлы, к которым у жертвы есть доступ на изменение в SharePoint и OneDrive:

Тем не менее этот метод шифрования файлов не является надежным (так как некоторые файлы могут быть восстановлены с помощью более строгих настроек резервного копирования), но тенанты с конфигурациями по умолчанию рискуют потерять данные навсегда. С другой стороны, мы всегда можем вывести наружу конфиденциальные данные и угрожать их публикацией, если только мы не получим выкуп.

Другие источники:

  • Кевин Митник представил аналогичный метод облачного шифрования, который применим к почтовым ящикам;
  • Krebs On Security также написал хороший пост о такой атаке в своем блоге.

Актуальность проблемы. Как насчет отключения всех сторонних приложений?

Microsoft не рекомендует настраивать запрет пользователям на предоставление разрешений приложениям:

«Вы можете отключить интегрированные приложения для своего тенанта. Это радикальный шаг, который глобально лишает конечных пользователей возможности предоставлять согласие на уровне тенанта. Это предотвращает непреднамеренное предоставление вашими пользователями доступа вредоносному приложению. Это не настоятельная рекомендация, так как это серьезно ухудшает способность ваших пользователей работать со сторонними приложениями».

Как можно обнаружить злоупотребление приложениями Azure?

Простейший способ обнаружить незаконные разрешения — это отслеживать события предоставления доступа в Azure AD и регулярно просматривать ваши «Enterprise Applications» на портале Azure.

Всегда задавайте себе вопросы:

  • Знаю ли я это приложение?
  • Принадлежит ли оно организации, которую я знаю?

Для заказчиков Varonis: у модуля DatAlert есть модели угроз, которые обнаруживают злонамеренное предоставление разрешений. Также возможно создание собственных правил уведомления о предоставлении доступа приложению Azure.

Как удалить вредоносные приложения?

На портале Azure перейдите в раздел «Enterprise Applications» на вкладке «Azure Active Directory» и удалите приложения. Рядовой пользователь может удалить предоставленные ранее разрешения, перейдя по адресу myapps.microsoft.com, проверив перечисленные там приложения и отменив разрешения по мере необходимости.

Для получения подробных инструкций также смотрите официальные рекомендации Microsoft.

Автор оригинала: ERIC SARAGA.

И снова Qbot — новый штамм банковского трояна

размещено в: Без рубрики | 0

Мы обнаружили и провели реверс-инжиниринг ещё одного нового штамма Qbot — сложного, широко известного вредоносного ПО, которое собирает данные, позволяющие совершать финансовые мошенничества. Вот примеры данных, которые собирает Qbot: cookies браузера, информация сертификатов, нажатие клавиш клавиатуры, пары логин-пароль и иные учётные данные, а также данные открытых сессий в веб-приложениях.

Исследовательская группа по безопасности Varonis отреагировала на несколько случаев заражений Qbot в 2019 году, в основном в США. Похоже, что разработчики Qbot не сидели сложа руки: они создавали новые штаммы с новой функциональностью, попутно улучшая возможности предотвращения обнаружения командами, отвечающими за информационную безопасность.

Новый штамм отличается от предыдущего двумя главными деталями:

  • Вместо попыток подбора паролей доменного пользователя, этот штамм использует уже скомпрометированного пользователя, чтобы построить карту доступных сетевых папок;
  • Он отсылает данные жертвы на сервер FTP, вместо использования POST-запросов HTTP.

Обнаружение. Как он работает

Мы запустили заражённый файл в нашей лаборатории и обнаружили схожие показатели того, что он вредоносен с теми, что были в нашем предыдущем исследовании —внедрение в процесс «explorer.exe», подключение к тем же URL, те же механизмы обеспечения постоянного присутствия в реестре и на диске, и та же замена копии файла на «calc.exe».

Данный штамм содержал зашифрованный конфигурационный файл, с некорректным расширением «.dll». Используя динамический анализ процесса «explorer.exe», мы установили, что ключ для расшифровки зашифрованного RC4 конфигурационного файла — это хэш SHA1 уникальной строки, которую вредонос создаёт для каждого устройства (мы знаем, что это не случайный набор символов, поскольку предыдущая вариация Qbot создала ту же строку для того же устройства).

Вот расшифрованные нами конфигурационные данные для нашего устройства:

Эта конфигурация содержит следующие данные:

  • Время инсталляции;
  • Время последнего вызова со стороны C2;
  • Внешний IP жертвы;
  • Список сетевых папок в окружении жертвы.

Фаза I: загрузчик

Имена файлов: JVC_82633.vbs.

SHA1: f38ed9fec9fe4e6451645724852aa2da9fce1be9.

Так же как и предыдущая версия, эта вариация Qbot использовала файл VBS для загрузки основных вредоносных модулей.

Фаза II: обеспечение постоянства присутствия в системе и внедрение в процессы

Ровно как предшествующий образец, загрузчик запускает модули ядра вредоносного ПО и обеспечивает постоянство их присутствия в ОС. Эта версия копирует себя в %Appdata%\Roaming\Microsoft\{Произвольная строка} вместо %Appdata%\Roaming\{Произвольная строка}, но при этом значения ключей реестра и задачи, выполняемые по расписанию, остались идентичными.

Основная полезная нагрузка внедряется во все активные процессы, запущенные от имени пользователя.

Фаза III: кража данных — путь на сервер хакера

После обеспечения присутствия в системе, зловред пытается подключиться к своему C2-серверу по URI content.bigflimz.com. Эта версия собирает важные для своих целей данные с компьютера жертвы и отправляет их по FTP, используя жёстко заданные, прописанные в коде, логин и пароль.

Этот сервер содержал собранные от жертв зашифрованные данные, со следующим принципом именования:"artic1e-*6 символов и после них ещё 6 цифр*-*POSIX-время*.zip".

Мы открыли указанный FTP-сервер и обнаружили эту папку со следующим содержимым:

Мы ещё не смогли расшифровать zip-файлы, чтобы определить, какие данные были украдены.

Устранение последствий и восстановление

Поскольку мы обнаружили лишь одно заражённое устройство, нашими рекомендациями были:

  1. Отключить заражённое устройство от сети и стереть данные на диске, после чего настроить окружение в соответствии с тем, что было до заражения;
  2. Добавить к функционалу используемых средств ИБ отслеживание сетевых соединений, чтобы быть уверенными, что другие устройства не будут подключаться к IP-адресам, замеченным во вредоносной активности;
  3. Обращать пристальное внимание на оповещения от Varonis, особенно относящиеся к поведенческим аномалиям.

Автор оригинала: DOLEV TALER и BEN ZION LAVI.

Перевод: Varonis (https://www.varonis.com/ru/).

Как ханипоты деанонимизируют хакеров и онлайн-мошенников

размещено в: Без рубрики | 0

Ханипот — это утилита, которая служит в качестве приманки, и представляет с виду соблазнительную цель для атакующего и искушает его к раскрытию самого себя. В то время как продвинутые ханипоты спроектированы для более простого обнаружения и изучения типов атак, используемых хакерами в естественных условиях, современные ханипоты на основе URL-отслеживания развились до гибкого и удобного для пользователя инструмента, который часто используют обычные люди для выявления онлайн-мошенников.

Как работает ханипот

Ханипот — это утилита, созданная для привлечения внимания атакующего, позволяя защищающемуся узнать больше о личности нападающего и его тактику взлома. Ханипоты могут принимать различные формы: они часто замаскированы под важные файлы, почтовые сообщения, ссылки, данные учётных записей или устройства, которые наиболее вероятно привлекут интерес злоумышленника. Идеальный ханипот выглядит максимально правдоподобным, в попытке компрометации атакующего через собственное раскрытие защищающейся стороне.

Существует множество креативных и полезных способов, которые придумали защищающиеся, для обнаружения и демаскировки незваных гостей с использованием ханипотов. Например, классическая приманка «Kippo» знаменита своей манерой маскироваться под уязвимую службу SSH, доступную из интернета со слабой учётной записью. Kippo выманивает атакующего своей легкодоступностью, при этом скрытно записывает всю происходящую внутри активность.

Такие ханипоты раскрывают атакующих, которые проникли внутрь незащищённой сети, и позволяют исследователям проанализировать полезную нагрузку, используемую автоматизированными ботами для атаки на уязвимые цели. Они также поспособствовали развитию жанра YouTube-видео со скрипт-горемыками, отчаянно пытающихся взломать Kippo-ханипоты.

Некоторые ханипоты способны даже ввести хакеров в заблуждение, что они якобы уже подключились обратно к своей собственной системе, при этом продолжая записывать все их действия в терминальном окне, выводя степень хитрости на новый уровень. Это позволяет узнать больше о личности атакующего и других системах, к которым он имеет доступ.

Современные ханипоты могут быть где угодно

Ханипоты эволюционировали до состояния, когда их достаточно сложно обнаружить, так как атакующие уже приноровились и стараются избегать целей, которые выглядят слишком хорошо, чтобы быть правдой.

С помощью бесплатного трекера CanaryToken, защищающийся может встроить отслеживающую ссылку на основе DNS протокола или веб-ссылки, которые запускаются как только открывается PDF-файл. CanaryToken собирает IP-адреса любого, кто пытается открыть отслеживаемый файл, который может содержать конфиденциальную информацию.

Для поимки злоумышленников, применяющих тактику фишинга, защищающаяся сторона может воспользоваться ханипот-ссылками, встроенными в код веб-сайта. Это позволит выявлять случаи клонирования веб-сайта, заранее предупреждая защищающихся о возможной атаке.

Другие ханипоты отслеживают украденные учётные данные, принимая форму поддельного логина и пароля (т.н. «Honeycredentials»), хранящихся в файле с «важным» названием в относительно легкодоступном для атакующего месте внутри сети. Если злоумышленник пытается воспользоваться этими учётными данными, защищающейся стороне сразу же приходит уведомление о попытке использовать украденную информацию для получения доступа к аккаунту.

Еще одним применением ханипотов является использование отслеживающих ссылок, чтобы знать, когда атакующий публикует ваши ссылки в Skype, WhatsApp или другом мессенджере. Это возможно благодаря тому, что большинство чат-приложений автоматически переходят по ссылкам, чтобы сгенерировать URL-превью. Несмотря на то, что логируемый IP-адрес принадлежит приложению-мессенджеру, а не атакующему, такая тактика позволяет узнать, передаются ли отслеживаемые ханипот-ссылки кому-то другому или нет, даже если атакующий достаточно умён, чтобы никогда по ним не нажимать.

Ханипотом может воспользоваться кто угодно

В «диком западе» сайтов по продаже вещей, онлайн-знакомств и аренды жилья легко представить, что нет никакого способа проверить, с кем ты по факту разговариваешь. Мошенники и боты, пользующиеся данной ситуацией, могут звучать крайне убедительно, но их реальную подноготную часто можно узнать, если удастся их хитростью вынудить раскрыть информацию об их месторасположении, раскладке клавиатуры или языковых настройках, которые не совпадают с их рассказами. Благодаря этому ханипоты взыскали популярность среди обычных людей, которые используют отслеживающие ссылки, чтобы изменить ход игры, во время которой злоумышленники пользуются преимуществом анонимности в интернете.

Трекинговые веб-ссылки легко встраиваются в веб-страницы, запускаемые скрипты или почтовые сообщения и являются бесплатными для всех. Если атакующий открывает ссылку напрямую или через открытие файла, вызывающего URL, защищающийся может узнать информацию об аппаратных, программных и сетевых данных злоумышленника. Даже если атакующий пытается скрыть свой реальный IP-адрес с помощью VPN, информация о его реальной личности всё равно может утечь. Grabify может выявлять такие отличия, как несовпадение часовых поясов или раскладки клавиатуры, несоответствующих месторасположению IP-адреса, или даже обнаруживать использование атакующим VPN или Tor для сокрытия своей информации.

Отслеживающие ссылки ханипотов могут уровнять шансы людям, которые обычно находятся в невыгодном положении при общении с различными подозрительными личностями онлайн, путём выявления деталей, которые другим способом очень сложно проверить. При использовании трекинговых ссылок, ведущих на сайты, которыми логично делиться при общении с потенциальным арендодателем, арендуемый может держаться подальше от «слишком хороших, чтобы быть правдой» предложений путём выявления злоумышленников, обманывающих о своем месторасположении. Например, это может позволить выявить кого-то из Индии, представляющимся арендодателем в Лос-Анджелесе.

Ханипоты генерируют оперативные предупреждения

Ханипоты недороги и легки в развёртывании. Они являются одним из лучших способов обнаружения, когда что-то происходит не так. Например, отслеживаемый через DNS почтовый ящик CanaryToken со списком важных контактов способен сразу же сообщить об утечке учётных данных из этого списка, информируя о ситуации, обнаружить которую иначе заняло бы месяцы.

Исследователь в области информационной безопасности Кевин Бюмонт (Kevin Beaumont) развернул RDP ханипот-сеть под названием «BluePot» для выявления в «диких условиях» эксплоитов BlueKeep, чтобы своевременно предупреждать об эксплоитах-червях и предотвращать широкомасштабные атаки наподобие NotPetya и WannaCry.

Современные ханипоты расширяют границы понимания того, насколько легко их можно развернуть и насколько убедительными они кажутся для атакующего. Тогда как впечатляющие ханипоты нового поколения могут виртуализовать целые сети в попытке поймать более продвинутых злоумышленников, способных заметить обычную приманку, большинство компаний выиграют даже от использования простых и бесплатных ханипот тактик, первым узнав о проникновении атакующего.

Источник: https://www.varonis.com/ru/