L’uso ricercato di un sottodominio vulnerabile ha permesso a Microsoft di ottenere un prezioso flusso di informazioni sui gruppi di minacce attive. Scopriamo come è avvenuto.
Nel vasto universo della sicurezza informatica, c’è una storia particolare che coinvolge il dominio code.microsoft.com di Microsoft. Anche se oggi il dominio non è più attivo, la sua storia rappresenta uno dei più riusciti esempi di honeypot (trappola) usato da Microsoft per raccolta di intelligence sulle minacce.
Anteriormente, il dominio code.microsoft.com ospitava l’IDE Visual Studio Code e della documentazione di supporto. Tuttavia, attorno al 2021, queste risorse furono trasferite in un nuovo home, lasciando così il dominio preda di possibili attacchi. Questa situazione viene definita “dangling subdomain”, un sottodominio appeso che una volta puntava a una risorsa valida, ma che ora rimane in sospeso. Da ciò deriva la sua vulnerabilità, che può essere sfruttata da un attore minaccioso per dirottare il traffico verso le sue risorse.
Esattamente questo è accaduto nel 2021, quando il dominio è stato brevemente utilizzato per ospitare un servizio di C2 malware. Grazie a molteplici segnalazioni della community, l’attività illecita è stata immediatamente rilevata e neutralizzata. A partire da questi eventi, Microsoft ha messo in atto strumenti più robusti per prevenire minacce simili.
Da dominio vulnerabile a honeypot
Oggi, è prassi comune per Microsoft Security Threat Intelligence Center (MSTIC) prendere il controllo delle risorse gestite dagli aggressori e riutilizzarle per la raccolta di intelligence sulle minacce. Nel caso del sottodominio code.microsoft.com, invece di rimuoverlo, MSTIC decise di indirizzarlo verso un nodo all’interno della loro rete di sensori honeypot.
Un honeypot è un sistema esca progettato per attirare e monitorare le attività dannose. Può essere utilizzato per raccogliere informazioni sugli attacchi, sui loro strumenti, sulle tecniche utilizzate e sulle loro intenzioni. Tra i vantaggi degli honeypot vi è anche il fatto che possono distogliere gli aggressori dai reali obiettivi, facendoli perdere tempo e risorse.
Da quando è iniziato il suo sviluppo nel 2018, la rete di sensori honeypot di Microsoft ha raccolto preziose informazioni sulle minacce emergenti. Le informazioni raccolte non solo aumentano la nostra consapevolezza delle nuove vulnerabilità, ma danno anche un quadro retrospettivo di come, quando e dove vengono dispiegati gli exploit. Questi dati, arricchiti con gli strumenti di cyber security di Microsoft, si trasformano da semplici dati sulle minacce in intelligence sulle minacce, che viene integrata in vari prodotti di sicurezza di Microsoft.
L’honeypot di Microsoft è un framework personalizzato scritto in C#. Permette ai ricercatori di cyber security di implementare rapidamente sia semplici gestori di exploit HTTP che protocolli complessi come SSH e VNC. Presenta un ambiente simulato altamente interattivo in cui il codice malevolo non viene eseguito, ma vengono utilizzate tecniche di inganno per far rivelare agli aggressori le loro intenzioni.
Cosa abbiamo imparato dall’honeypot?
La rete di sensori honeypot di Microsoft ha contribuito a numerosi successi nel campo della cyber security. A titolo esemplificativo, durante l’incidente Log4Shell, la rete di sensori ha consentito di tracciare ogni iterazione della vulnerabilità sottostante e del relativo concetto di prova, risalendo fino a GitHub. Questo ci ha permesso di capire i gruppi coinvolti nella produzione dello exploit e dove veniva mirato. Le informazioni raccolte hanno permesso ai team interni di essere meglio preparati alla correzione della vulnerabilità e alle esclusioni (patches) necessarie.
L’intelligenza raccolta dal dominio code.microsoft.com si è rivelata spesso fondamentale per il successo di questa iniziativa. Quando vengono annunciati nuovi exploit, gli attori minacciosi sono spesso più concentrati sulla velocità di utilizzo della vulnerabilità che sulla verifica dell’infrastruttura di inganno come un honeypot. Di conseguenza, code.microsoft.com era spesso il primo a vedere gli exploit, molti dei quali erano attribuiti a gruppi di minacce già monitorati da MSTIC.
Quale sarà il futuro per code.microsoft.com?
Il sottodominio code.microsoft.com era noto ai ricercatori di bug bounty da diversi anni. Alla ricezione dei rapporti per questo dominio, questi venivano chiusi per informarli che avevano individuato un honeypot. Tuttavia, era chiaro da tempo che questo sottodominio avrebbe dovuto essere ritirato una volta divenuto noto cosa c’era dietro di esso. Quel momento è arrivato ed è stato definitivamente ritirato il 25 aprile, segnando la fine di una significativa trappola di raccolta delle informazioni sugli attacchi.