Przygotowanie się na naruszenie bezpieczeństwa jest kluczowe dla Twojego startupu, zwłaszcza gdy narzędzia do wykrywania reakcji nie zawsze wystarczają do identyfikacji, kto włamał się do Twoich systemów i jak to się stało. Czasami, aktorzy zagrożeń mogą poruszać się bocznie w Twoim systemie przez kilka miesięcy lub nawet lat, pozostając niezauważeni. Aby temu zapobiec, Twój startup może wykorzystać canary tokens do polowania na zagrożenia lub identyfikowania aktorów zagrożeń w systemach Twojego startupu, nawet jeśli są one poza radarami. Canary tokens to doskonałe uzupełnienie istniejących narzędzi wykrywania reakcji i sprytny sposób na zwiększenie bezpieczeństwa startupów.

Czym jest canary token?

Canary token to rodzaj pułapki (honeytoken), która przyjmuje różne formy, takie jak adresy e-mail, pliki PDF, URL, dokumenty Word, foldery w systemie Windows, obrazy, kody QR, klucze AWS itp. Są one strategicznie umieszczane w systemach w sieci w celu przyciągnięcia aktorów zagrożeń, pełniąc rolę pułapki mającej na celu ich śledzenie i zbieranie informacji na ich temat. Gdy aktorzy zagrożeń otworzą pliki i uzyskają do nich dostęp, canary tokeny zostaną aktywowane, a Ty otrzymasz powiadomienie.

Jak działają canary tokens?

Canary tokens korzystają z klasycznego pojęcia web beaconing do polowania na zagrożenia. Web beacons to przezroczyste pliki osadzane na stronach internetowych lub w e-mailach, które wywołują zapytanie HTTP GET, gdy użytkownik wchodzi w interakcję z nimi. Firmy zajmujące się marketingiem i analityką zazwyczaj umieszczają web beacons na stronach internetowych, aby śledzić aktywność użytkowników i dowiedzieć się, który plik był kliknięty lub użyty najczęściej, zbierając dane o zachowaniach użytkowników i klientach.

Aktywacja tokenów

Zamiast umieszczać web beacons na stronach internetowych lub w e-mailach w celach marketingowych i analitycznych, osadzony canary token, który wygląda jak zwykły dokument Word, plik PDF, obraz, folder itp., wyśle web beacon od aktora zagrożenia, gdy tylko go otworzy. Spowoduje to aktywację canary tokena i natychmiastowe powiadomienie drogą mailową o adresie IP źródłowym aktora zagrożenia, nazwie tokena oraz dacie/godzinie, w której uzyskał dostęp do pliku bez autoryzacji.

Canary tokens vs. honeypots

Więcej niż jeden canary token może zostać umieszczony na różnych urządzeniach w sieci Twojego startupu, takich jak komputer klienta, dysk NAS lub serwer www. Rozprzestrzeniając canary tokens po systemach w sieci, działają one jak pułapki na aktorów zagrożeń. Choć są podobne do honeypotów, nie są tym samym, ponieważ honeypoty to wirtualne systemy, które przyciągają aktorów zagrożeń do interakcji z fałszywym systemem produkcyjnym. Canary tokens z kolei są strategicznie umieszczane w rzeczywistych systemach w sieci.

Aby jednak canary tokens działały, musisz je najpierw wygenerować.

Jak wygenerować i używać canary token

Tworzenie canary token jest bardzo proste i łatwe do wykonania. Wystarczy wygenerować canary token na canarytokens.org, następnie podać adres e-mail lub URL webhook (tylko dla zaawansowanych użytkowników), na który będą wysyłane powiadomienia, oraz zapisać notatkę jako przypomnienie do przeczytania po otrzymaniu alertu, że osadzony canary token, który stworzyłeś, został otwarty i dostępny przez aktora zagrożenia.

Możesz wygenerować canary token w dowolnym z poniższych formatów:

• Unikalny adres e-mail
• Web bug / token URL
• Token DNS
• Klucze AWS
• PDF
• Dokument Word
• Dokument Excel
• Token Kubeconfig
• VPN WireGuard
• Skopiowana strona internetowa
• Kod QR
• Zrzut MySQL
• Folder Windows
• Log4Shell
• Szybki przekierowanie
• Wolne przekierowanie
• Niestandardowy obraz Web bug
• Niestandardowy plik exe / binarny
• SQL Server
• SVN

💡Wskazówka: Możesz wygenerować canary token i nadać mu kuszącą nazwę, np. „Hasła” lub „Sekret”, a następnie umieścić go w folderze w systemie, w miejscu, gdzie wiesz, że aktorzy zagrożeń mogą zechcieć przeprowadzić polowanie na „Easter egg”. Możesz także zmienić nazwę folderu na coś w rodzaju „Nazwy użytkowników”, aby zwabić aktorów zagrożeń. Albo po prostu bądź kreatywny, wcielając się w ich rolę i myśląc, jak oni by myśleli.

Oto kroki, jak wygenerować canary token, którego chcesz używać:

Krok 1. Wejdź na canarytokens.org tutaj. Wybierz swój token.

Krok 2. Podaj adres e-mail lub URL webhook, na który mają być wysyłane powiadomienia. Dla zaawansowanych użytkowników, webhook jest używany do generowania wywołania API. Wskazówka: Używaj adresu e-mail, który jest przeznaczony tylko do powiadomień. W ten sposób powiadomienia nie zostaną przeoczone.

Krok 3. Napisz notatkę przypomnienia, którą przeczytasz, gdy alert zostanie wyzwolony. Może to być coś w rodzaju „ten canary token został zapisany w moim ukrytym folderze pod użytkownikiem ABC” na przykład.

Powinno to wyglądać podobnie do rysunku powyżej.

Krok 4. Po wybraniu „Stwórz mój canary token” możesz pobrać swój plik i zmienić jego nazwę na dowolną, w tym umieścić go na komputerze klienta, dysku NAS lub serwerze www.

Pamiętaj, aby wybierać nazwy plików, które będą kuszące dla aktorów zagrożeń. Bądź kreatywny!

Narzędzia do canary tokens:

• Canary Tokens (darmowy generator canary token)
• Canary.Tools by Thinkst (do użytku komercyjnego)
• Open Canary by Thinkst (GitHub) (Pozwala otrzymywać powiadomienia e-mail, gdy tylko potencjalne zagrożenia zostaną wykryte, wskazując źródłowy adres IP zagrożenia i miejsce, gdzie mogło dojść do naruszenia.)
• Canary Utils by Thinkst (GitHub) (Pomocne skrypty stworzone dla klientów Thinkst Canary)

Canary tokens w akcji

Istnieje wiele scenariuszy, w których można wykorzystać canary tokens jako pułapki na aktorów zagrożeń. Kilka popularnych punktów wejścia to komputery stacjonarne lub laptopy klientów oraz urządzenia wystawione na internet, takie jak serwery www czy bazy danych SQL. Można nawet wykazać się kreatywnością, umieszczając canary token jako osadzony plik graficzny na portalu administracyjnym.

Oto kilka sposobów, w jaki możesz wykorzystać te popularne punkty wejścia do zwabienia aktorów zagrożeń.

Komputery stacjonarne lub laptopy klientów

Aktorzy zagrożeń, którzy uzyskają dostęp do komputerów stacjonarnych lub laptopów klientów, zazwyczaj szukają plików i folderów, które mogą zawierać przydatne informacje, takie jak konta, hasła, nazwy użytkowników i inne dane, które mogą wykorzystać do uzyskania większej przewagi. Częstym scenariuszem jest, że aktor zagrożenia pobiera pliki lub foldery z maszyny ofiary. Pliki lub foldery te mogą zawierać canary tokens o kuszących nazwach, takich jak „Hasła” czy „Tajne” oraz inne nazwy, które przyciągną uwagę aktorów zagrożeń.

Serwery WWW lub bazy danych SQL

Ponieważ aktorzy zagrożeń przeglądają katalogi plików, katalog główny serwera WWW jest doskonałym miejscem na umieszczenie canary tokena, zwłaszcza jeśli jest oznaczony jako „Hasła”. Podobnie, umieszczając canary token jako plik o nazwie „Pracownicy” lub „Użytkownicy” na serwerze SQL, może to być bardzo kuszące dla aktorów zagrożeń. Gdy aktor zagrożenia wykona zapytanie SQL na bazie danych SQL, w której umieszczono canary token, otrzymasz powiadomienie.

Portal administracyjny

Możesz zwabić aktorów zagrożeń, aby kliknęli na osadzony plik graficzny na swoim portalu administracyjnym, gdy tylko uzyskają do niego dostęp. Nie będą świadomi, że to tak naprawdę canary token, który powiadomi Cię w czasie rzeczywistym za pomocą e-maila, że ktoś inny, niż Ty, uzyskał dostęp do portalu administracyjnego.

Inne przypadki użycia

Canary tokens to doskonałe narzędzie dla startupów, ponieważ istnieje wiele sposobów ich wykorzystania, a także możliwość wykazania się kreatywnością. Inne przypadki ich użycia to URL-e oraz klucze AWS. Można również ustawić pułapki w interesujących miejscach, takich jak Slack lub pod baterią telefonu z kodem QR.

URL-e

Wykorzystanie canary token jako URL-a może zwrócić uwagę użytkownika, który odwiedził określony URL, co pozwala na osadzenie canary tokens w różnych częściach serwera WWW Twojego startupu. Możesz nawet umieścić canary token jako URL w swoim Slacku i poszukać rozmowy sprzed kilku miesięcy, w której napisałeś „Dzień dobry, zespół”, a potem zmienić rozmowę na „Oto link do pliku z hasłami”, i kiedy ten Slack zostanie skompromitowany, a aktor zagrożenia wyszuka słowo „hasło” w wyszukiwarce Slacka – będziesz wiedział.

Klucze AWS

Canary token dla kluczy AWS API jest zdecydowanie polecany, zwłaszcza jeśli posiadasz prywatne repozytorium kluczy. Umieszczając canary token jako klucz AWS API i trzymając go wśród innych kluczy, dowiesz się, kiedy aktor zagrożenia spróbuje uzyskać dostęp do Twoich prawdziwych kluczy razem z fałszywym canary tokenem.

Klonowanie stron internetowych

Ponieważ cyberprzestępcy często tworzą fałszywe strony internetowe, aby zwabić niczego nieświadome ofiary do wprowadzenia swoich danych logowania lub informacji o płatnościach, możesz umieścić kod canary token w kodzie swojej strony internetowej. W ten sposób, gdy aktor zagrożenia spróbuje sklonować Twoją stronę, doda JavaScript, a po jego uruchomieniu nieświadomie wywoła alert, który Cię powiadomi.

WireGuard VPN

Dodanie „fałszywego” punktu końcowego WireGuard VPN na swoim urządzeniu jako canary token jest przydatne w chwilach, gdy podróżujesz z urządzeniami używanymi w Twoim startupie, na przykład przy przejściu przez granice narodowe, gdy urządzenia mogą zostać zatrzymane i sprawdzone poza zasięgiem wzroku. Jeśli Twoje urządzenie zostanie skompromitowane, doświadczony atakujący prawdopodobnie wyenumeruje konfiguracje VPN i spróbuje się do nich połączyć. Gdy to się stanie, otrzymasz powiadomienie.

Token QR

Możesz zakodować URL jako kod QR jako canary token. Kiedy kod QR zostanie zeskanowany, a URL załadowany, token wyśle powiadomienie. Kilka pomysłów na użycie obejmuje: umieszczanie kodu na pojemnikach w bezpiecznych miejscach, na biurku lub pod baterią telefonu podczas przechodzenia przez odprawę celną w podróży międzynarodowej.

Jest wiele unikalnych przypadków, w których canary tokens mogą zostać wykorzystane w Twoim startupie i zespole.

Podsumowanie

Canary tokens pomagają zespołowi Twojego startupu w identyfikacji aktorów zagrożeń oraz w wykrywaniu miejsca, w którym dochodzi do bocznego przemieszczania się i aktywności, umożliwiając podjęcie niezbędnych działań i wykonanie odpowiednich środków zaradczych w trakcie naruszenia bezpieczeństwa. Tworząc unikalne canary tokens dla różnych urządzeń lub segmentów w Twojej sieci, zespół Twojego startupu może natychmiast zidentyfikować, która część sieci została skompromitowana, aby rozpocząć reakcję na incydent. Najlepsze jest to, że jest to darmowe, łatwe w użyciu, a do tego można wykazać się kreatywnością. Dodatkowo, to zabawny sposób na złapanie nieświadomych cyberprzestępców. W końcu, jak będą wiedzieć, które pliki to canary tokens? Wręcz przeciwnie, im więcej aktorów zagrożeń dowie się o canary tokens, tym mniej będą skłonni szukać w Twoich systemach. Podsumowując, canary tokens mają ogromne zalety dla startupów.

Źródła:

1. https://cisoperspective.com/index.php/2021/05/07/how-to-use-canary-tokens
2. https://hackercombat.com/how-to-use-canary-tokens-for-threat-detection
3. https://securityzines.com/flyers/canary.html