Главная » Техника

Canary tokens не работает

Содержание
  1. Меня взломали? Как узнать? CanaryTokens — ловушка для хакера
  2. Сайт canarytokens что это и для чего он?
  3. Возможности Canarytokens
  4. Как работает Canarytokens?
  5. Заключение
  6. Ловушки для хакера. Обнаруживаем взлом на раннем этапе с помощью Canarytokens
  7. Зачем это нужно?
  8. Сервис Canarytokens
  9. Триггер при открытии файла DOC и PDF
  10. Триггер через DNS resolve
  11. URL триггер
  12. Картинка
  13. Триггер по email-адресу
  14. Триггер на открытие папки в Windows
  15. Триггер на клонирование сайта
  16. Триггер на запуск EXE файла или библиотеки DLL
  17. Триггер для MS SQL
  18. Другие триггеры
  19. Собственный сервер Canarytokens
  20. Заключение

Меня взломали? Как узнать? CanaryTokens — ловушка для хакера

Многие крупные организации используют технологию предупреждения утечки информации с помощью средств honeytoken. Они представляют собой приманку для злоумышленников — хакер проникает в систему, совершает действия, служба безопасности получает об этом сообщение и принимает соответствующие меры. Но, что насчет рядовых пользователей? Не все, но очень многие из нас хоть раз подвергались взлому, а узнавали, когда был нанесен моральный или материальный ущерб. Определить взлом системы довольно сложно, но предотвратить последствия очень просто — canarytokens позволит обнаружить злонамеренные действия и вовремя на них среагировать.

Сайт canarytokens что это и для чего он?

В интернете на ежедневной основе происходят нарушения целостности, доступности и конфиденциальности информации. Распространяется все на мега-корпорации, правительство и рядовых пользователей. От ничего не подозревающих бабушек и школьников, до специалистов и профессионалов в области информационной безопасности. Этого не избежать и это простительно. Что не простительно, так это узнать о взломе и утечке информации спустя месяцы или годы.

Canarytokens — это бесплатный, быстрый и безболезненный способ помочь рядовым пользователям и компаниям обнаружить, что их системы скомпрометированы хакерами. Canarytokens — интернет-сайт, который позволяет генерировать и отслеживать токены. Они имеют уникальный идентификатор (который может быть встроен в HTTP URL или в имена хостов). Всякий раз, когда этот URL-адрес запрашивается или имя хоста разрешается, на адрес электронной почты, закрепленный в метке, отправляется уведомление. Как только поступает данное сообщение, мы узнаем, что кто-то открыл документ, а значит, система взломана и у нас может произойти утечка информации.

Читайте также:  Почему не работает экран хонор 10

Разработчиком системы является компания Thinkst. Они акцентируют большое внимание на информационной безопасности и считаются независимой исследовательской компанией. Независимость Thinkst означает, что нет личной заинтересованности в том, чтобы преувеличивать или уменьшать степени влияния той или иной угрозы. Thinkst существует, чтобы вносить ясность в хаос, и повышать качество отношения сигнал/шум.

Возможности Canarytokens

Canarytokens — позволяет знать, когда это важно. В качестве токенов-приманок можно сформировать:

↓ Анимированное изображение ► нажмите на него, чтобы посмотреть ↓

  • Web bug / URL token (маркер веб-ошибки / URL-адрес) — предупреждение при посещении URL-адреса;
  • DNS token (DNS-метку) — оповещение при запросе имени хоста;
  • Unique email address (уникальный адрес электронной почты) — уведомление при отправке сообщения на уникальный адрес;
  • Custom Image Web bug (пользовательскую веб-ошибка изображения) — информирование, когда изображение, которое вы загрузили было просмотрено;
  • Microsoft Word Document (текстовый документ Microsoft Word) — получать оповещения при открытии документа в Microsoft Word;
  • Acrobat Reader PDF Document (Acrobat Reader PDF документ) — уведомление при открытии PDF-документа в Acrobat Reader;
  • Windows Folder (папку Windows) — сообщение при открытии и просмотре папки Windows;
  • Custom exe / binary (пользовательский exe / двоичный файл) — предупреждение при выполнении EXE или DLL;
  • Cloned Website (клонирование веб-сайта) — оповещение, если кто-то пытается скопировать Ваш сайт;
  • SQL Server (SQL-сервер) — уведомление при доступе к базам данных MS SQL Server;
  • QR Code (QR-код) — создание QR-кода для физических токенов;
  • SVN — сообщение, когда кто-то проверяет репозиторий SVN (Subversion);
  • AWS keys (ключи AWS) — информирование при использовании ключа AWS (Amazon Web Services)$
  • Fast Redirect (быстрое перенаправление) — предупреждение при посещении веб-сайта и перенаправление пользователя;
  • Slow Redirect (медленное перенаправление) — оповещение при посещении URL-адреса и перенаправление пользователя (захват информация Moar).
Читайте также:  Lenovo b570e не работает без батареи

Можно заметить, что спектр действия canarytokens имеет большие возможности и распространяется на множество ресурсов. Система нам дает возможность создать ловушку под видом легитимного, важного и значимого ресурса. Злоумышленники, получив неправомерный доступ к системе начинают искать наиболее ценные данные: логины и пароли, реквизиты банковских карт, компрометирующие сведения и т.д. Они просматривают папки и файлы на компьютере, читают переписки в социальных сетях и на электронной почте — делают все, чтобы получить максимум от своей добычи.

Как работает Canarytokens?

Вы можете без особых трудностей создать свой собственный экземпляр Canarytokens и разместить там, где он точно не останется без внимания потенциального злоумышленника.

Первое, что необходимо сделать — перейти на официальный сайт canarytokens. На момент написания данной статьи, он имеет вид:

Теперь из выпадающего списка нам необходимо выбрать тип токена. Рассмотрим на примере обычного текстового документа Microsoft Word:

Во втором поле, требуется указать адрес электронной почты, который будет закреплен за токеном и куда будут поступать уведомления если он сработает:

В третьем и последнем поле указываем комментарий, описывающий, где используется маркер. Если токен активируется через несколько месяцев или пару лет, комментарий поможет Вам вспомнить, где была размещена ловушка. Опишите его подробно и, как можно конкретнее (например, «путь расположения файла» или «адрес электронной почты» или любые другие сведения, которые Вам помогут его идентифицировать):

Разработчики учитывают, что использование приманок не ограничивается только одним элементом, их может быть множество, в разных системах и на разных ресурсах.

После того, как все поля заполнены — нажимаем кнопку «Create my Canarytoken»:

Теперь мы видим страницу, с текстом «Your MS Word token is active!» или «Ваш токен MS Word активен!». Здесь нам необходимо нажать на кнопку: «Download your MS Word file» и сохранить файл там, где он будет привлекать внимание потенциального хакера:

Мы получим уведомление, когда будет открыт документ Microsoft Office, в Windows или Mac OS. При этом, можно переименовать документ, не влияя на его работу. Наименование должно формироваться максимально привлекательным для злоумышленника, например «Не открывать!», «Мои пароли от соц. сетей», «Логин и пароль» и т. д.:

Если открыть файл — он будет пустой:

Однако это не значит, что он не работает. Переходим в электронную почту и видим сообщение с темой «Your Canarytoken was Trig»:

Открываем сообщение и видим подробную информацию о действии:

Из сообщения мы можем узнать такие детали:

  • через какой канал произошло действие;
  • время и дату;
  • обозначение токена;
  • комментарий для идентификации;
  • тип canarytokens;
  • IP-адрес с которого был открыт документ;
  • агент пользователя.

Внизу сообщения есть еще две ссылки управления canarytoken’ом:

Первая из них: «Manage this Canarytoken here», открывает страницу, где присутствуют настройки:

Можно посмотреть историю метки и убрать уведомление, если в них больше нет необходимости. Так же, есть ссылка для повторного скачивания canarytokens.

Вторая ссылка: «More info on this token here», позволяет посмотреть еще более подробную информацию о действии с токеном:

Здесь мы видим ориентировочное расположение «злоумышленника» на карте, его страну, город, область, информацию об интернет-провайдере.

В случае использования браузера TOR или других специализированных программ — информация может не соответствовать действительности.

О том, как работает сервис и какое применение ему можно найти, смотрите в видео от блоггера «Алекс rempc by»:

Заключение

Canarytokens — отличное средство для предупреждения о нарушении безопасности. Оно бесплатное, не требует больших системных ресурсов и более того — не требует никакой поддержки. Достаточно единожды сформировать свои токены и можно о них не вспоминать, до тех пор, пока они сами о себе не дадут знать.

Держите их у себя на компьютере, телефоне или планшете. Разместите в социальных сетях и в мессенджерах. Отправьте себе на почтовый ящик сообщение с токеном и не читайте его — пусть находится в папке «Входящее» и привлекает внимание потенциального хакера.

В наших руках масса возможностей, нас ограничивает только воображение.

Источник

Ловушки для хакера. Обнаруживаем взлом на раннем этапе с помощью Canarytokens

Honey Tokens (англ. — «медовые приметы/признаки/идентификаторы») одна из разновидностей идеи Honeypot, приманки для злоумышленников, позволяющей обнаружить факт взлома или опознать его источник. Когда атакующий уже проник в систему, он, скорее всего, выполнит действия, несвойственные обычному пользователю. Это можно использовать как способ обнаружения взлома. В статье мы рассмотрим, как легко сделать собственные триггеры для обнаружения взлома на раннем этапе. Такие ловушки полезно использовать системному администратору и даже обычному пользователю, переживающему о приватности своих данных.

До изобретения газоанализаторов шахтеры брали c собой в шахту канарейку. Из-за маленького организма и быстрого обмена веществ, птицы намного раньше реагировали на опасные газы в воздухе и предупреждали шахтеров.

Зачем это нужно?


Взломщик, попав в новую систему, начинает осматриваться вокруг, как вор, проникнув в квартиру, начинает открывать все ящики в поисках драгоценностей. Атакующий заранее не знает, какие именно данные представляют ценность, но с большой вероятностью он проверит все возможные варианты. Поэтому важно, чтобы ловушки выглядели как реальные данные и были максимально привлекательны для атакующего. Чем раньше владелец заметит срабатывание ловушки, тем быстрее поймет, что был взломан и сможет отреагировать.

Сервис Canarytokens

canarytokens.org — это онлайн-сервис для удобного создания собственных маркеров (ханитокенов) для обнаружения взлома. Он поддерживает несколько вариантов триггеров и позволяет сгенерировать готовый триггер с привязанной почтой, куда придет уведомление, если триггер сработал.

Сервис полностью бесплатный, а сгенерировать триггер можно моментально без регистрации. Существует еще self hosted версия для тех кто предпочитает держать секреты на своей инфраструктуре. Далее, мы разберемся, как работает каждый из триггеров и в конце развернем собственный сервер canarytokens в Docker-контейнере.

Триггер при открытии файла DOC и PDF


Он сработает, если документ был открыт программой для просмотра. Я использую этот трюк очень часто. На каждом компьютере и флешке у меня лежат документы с привлекательными названиями вроде Пароли.pdf или Биткоины.doc. Обожаю наблюдать, как бухгалтеры с любопытством исследуют все файлы на переданной им флешке.

Считаю этот триггер наиболее действенным и полезным для всех категорий пользователей, от профессионалов информационной безопасности до новичков. Почти никто не знает, что PDF-просмотрщик может передавать владельцу документа факт открытия файла. На это попадаются все.

Существует несколько способов поймать факт открытия документа. Canarytokens использует зашитый в документ собственный URL для проверки отозванных SSL-сертификатов (Certificate Revocation List). В итоге программа идет по этому адресу и срабатывает триггер.

Триггер через DNS resolve


Это очень интересный триггер, польза от которого неочевидна сразу. Он сработает в случае, если кто-либо запросит IP-адрес сгенерированного поддомена, который генерируется специально таким, чтобы его нельзя было угадать случайно или сбрутить. Таким образом, исключаются случайные срабатывания. Этот триггер использует для многих методик, описанных дальше, в том числе для обнаружения факта открытия папки и как триггер в базе данных MS SQL. На деле вариантов использования этого триггера множество.

URL триггер


В этом случае достаточно чтобы по ссылке был выполнен GET, POST или HEAD запрос. Это вызовет срабатывание триггера. Помимо обычного применения, можно использовать в скриптах и для проверки парсеров, которые переходят по ссылкам для отображения превью содержимого. Так делают, например, мессенджеры: достаточно написать ссылку в поле ввода, что по ней был выполнен переход с серверов мессенджера.

Картинка

Классическая картинка размером 1×1 пиксель, известна всем, кто занимается отслеживанием интернет-рекламы. Триггер сработает, если был загружен файл с картинкой. Такой пиксель можно вставить на любую html-страницу или в письмо. Его удобно вызывать из JS-скриптов на странице, если сработало нужное условие. Стандартный пиксель можно также заменить на собственное изображение.

Триггер по email-адресу


Если на сгенерированный почтовый ящик придет любое письмо, триггер сработает. Удобно использовать для мониторинга утечки баз данных email-адресов, контакт-листов и т. д.

Например, можно добавить этот адрес в список своих контактов и узнать, когда ваша записная книжка на телефоне будет слита каким-либо приложением, запрашивающим доступ к списку контактов. А также можно всем сотрудникам добавить в записные книжки на компьютере, телефоне, email-клиенте разные триггерные адреса и следить, откуда утекают контакты.

Адрес электронной почты специально генерируется не угадываемый, поэтому исключается вероятность подбора и случайного срабатывания триггера.

Триггер на открытие папки в Windows


Наверняка многие видели скрытый файл desktop.ini, который есть в каждой папке Windows. Оказывается, он не так прост. В нем можно указать адрес иконки на удаленном сервере, использую UNC-пути (это те, что используются для сетевых дисков и начинаются с \\), при этом Windows выполнит DNS resolve домена указанного в ссылке на иконку и активирует триггер. Файл desktop.ini можно запаковать вместе с другими файлами в архив, и он сработает, если архив распакуют.

Триггер на клонирование сайта

Простой скрипт для веб-страниц, срабатывающий если страница открыта не с вашего домена. Может быть полезно для детектирования фишинга.

Триггер на запуск EXE файла или библиотеки DLL


Позволят склеить триггер с существующим исполняемым EXE-файлом или библиотекой. При этом не детектируется антивирусами. Следует иметь в виду, что такая склейка может сломать некоторые программы, поэтому лучше использовать что-то простое. По сути, это давно известный метод, используемый для распространения троянов и вирусов, только в нашем случае скрытый функционал совсем безобидный. Однако нужно учитывать, что исполняемый файл может вызвать бОльшую настороженность у атакующего, а также не запускаться на его операционной системе.

Триггер для MS SQL

—create a stored proc that’ll ping canarytokens
CREATE proc ping_canarytoken
AS
BEGIN
declare username varchar(max), base64 varchar(max), @tokendomain varchar(128), @unc varchar(128), size int, done int, random varchar(3);

—setup the variables
set @tokendomain = ‘qo2dd6tftntl1pej9j68v31k6.canarytokens.com’;
set size = 128;
set done = 0;
set random = cast(round(rand()*100,0) as varchar(2));
set random = concat(random, ‘.’);
set username = SUSER_SNAME();

—loop runs until the UNC path is 128 chars or less
while done Триггер на вход в Amazon Web Services

API-ключ от сервисов Amazon должен соблазнить атакующего проверить, что же там находится. Если этот API-ключ будет использован для входа, сработает триггер. При этом никаких данных там, разумеется, нет.

Другие триггеры

Сервис canarytokens.org поддерживает и другие триггеры, такие как хук для SVN, веб-редирект, чтение QR-кода, API-ключ Slack и другие. Все они используют похожий принцип, и при желании вы можете самостоятельно придумать собственный триггер, имея в арсенале DNS-имя, ссылку с картинкой, почтовый адрес и API-ключи от популярных сервисов. Кроме уведомления на почту, Canarytokens может дергать веб-хук в случае срабатывания триггера. Механизмы работы описаны в документации.

Собственный сервер Canarytokens

Опытный взломщик, увидев в исходниках адрес canarytokens.org сразу обо всем догадается. Поэтому для использования в компании лучше развернуть собственный инстанс canarytokens, чтобы все адреса триггеров вели на внутренние домены компании и были неотличимы от реальных внутренних сервисов.

Разработчики предоставляют готовый для образа Docker. Процесс установки довольно типичный для любого образа, поэтому мы не будем затрагивать эту тему. Остановимся только на неочевидных моментах. Перед установкой вам придется отредактировать файл frontend.env и switchboard.env.

Для отправки почты я рекомендую использовать сервис Mailgun, потому что Sendgrid работает нестабильно.

Заключение

Такие ловушки действительно эффективны. В моем случае особенно помогают триггеры с файлами PDF-документов. Сервис будет полезен как обычным пользователям, так и опытным пентестерам. Даже искушенный атакующий, знающий про существование ханипотов и ханитокенов, не сможет устоять перед соблазном хотя бы отрезолвить найденный в документации поддомен. Если аккуратно и с умом использовать ловушки, можно обнаружить взломщика на раннем этапе.

Эти методики можно использовать на сервера, десктопных компьютерах, файловых хранилищах и даже на телефонах.

Если вы хотите развернуть в собственный инстанс canarytokens в Docker, на наших виртуальных машинах Docker устанавливается в один клик из маркетплейса. Дополнительно мы дарим скидку 15% на все серверы по промокоду DONTPANIC.

Источник

Оцените статью
© 2024 Настройка и ремонт техники