👊🏽 🤷🏾 👩🏼‍💼 Pièges de pirate. Détectez le piratage tôt avec Canarytokens 🐑 🎡 ☃️

Honey Tokens (en anglais - «honey signs / signs / identifiers») est l'une des variétés de l'idée Honeypot, un appât pour les intrus pour détecter le fait d'un piratage ou pour identifier sa source. Lorsque l'attaquant est déjà entré dans le système, il est susceptible d'effectuer des actions inhabituelles pour l'utilisateur ordinaire. Cela peut être utilisé comme un moyen de détecter le piratage. Dans cet article, nous verrons à quel point il est facile de créer vos propres déclencheurs pour détecter le piratage à un stade précoce. Ces pièges sont utiles pour les administrateurs système et même pour les utilisateurs ordinaires soucieux de la confidentialité de leurs données.

Avant l'invention des analyseurs de gaz, les mineurs ont emmené un canari avec eux à la mine. En raison du petit corps et du métabolisme rapide, les oiseaux ont réagi aux gaz dangereux dans l'air beaucoup plus tôt et ont averti les mineurs.

Pourquoi est-ce nécessaire?

Le pirate, une fois dans le nouveau système, commence à regarder autour de lui, comme un voleur, après avoir pénétré dans l'appartement, commence à ouvrir toutes les boîtes à la recherche de bijoux. L'attaquant ne sait pas à l'avance exactement quelles données ont de la valeur, mais avec une forte probabilité, il vérifiera toutes les options possibles. Par conséquent, il est important que les pièges ressemblent à des données réelles et soient aussi attrayants que possible pour l'attaquant. Plus tôt le propriétaire remarque que le piège est déclenché, plus vite il se rendra compte qu'il a été piraté et pourra répondre.

Service Canarytokens

canarytokens.org est un service en ligne pour créer facilement vos propres marqueurs (hanitokens) pour le piratage. Il prend en charge plusieurs options de déclenchement et vous permet de générer un déclencheur prêt à l'emploi avec du courrier joint, où une notification sera envoyée si le déclencheur a fonctionné.

Le service est entièrement gratuit et un déclencheur peut être généré instantanément sans inscription. Il existe également une version auto-hébergée pour ceux qui préfèrent garder des secrets sur leur infrastructure. Ensuite, nous verrons comment fonctionne chacun des déclencheurs et à la fin, nous déploierons notre propre serveur canarytokens dans le conteneur Docker.

Déclencher lors de l'ouverture d'un fichier .doc et pdf

Cela fonctionnera si le document a été ouvert par le programme pour être visualisé. J'utilise cette astuce très souvent. Sur chaque ordinateur et lecteur flash, j'ai des documents avec des noms attrayants comme Passwords.pdf ou Bitcoins.doc. J'adore voir comment les comptables avec curiosité examinent tous les fichiers du lecteur flash qui leur sont transférés.

Je considère que ce déclencheur est le plus efficace et le plus utile pour toutes les catégories d'utilisateurs, des professionnels de la sécurité de l'information aux débutants. Presque personne ne sait qu'un visualiseur PDF peut transmettre le fait d'ouvrir un fichier au propriétaire du document. Tout le monde tombe dessus.

Il existe plusieurs façons de saisir le fait d'ouvrir un document. Canarytokens utilise une URL spécifique au document incorporée dans le document pour vérifier les certificats SSL révoqués (liste de révocation de certificats). En conséquence, le programme va à cette adresse et le déclencheur se déclenche.

Déclenchement via la résolution DNS

Il s'agit d'un déclencheur très intéressant dont les avantages ne sont pas immédiatement évidents. Cela fonctionnera si quelqu'un demande l'adresse IP du sous-domaine généré, qui est spécialement généré pour qu'il ne puisse pas être deviné par hasard ou tordu. Ainsi, les opérations accidentelles sont exclues. Ce déclencheur est utilisé pour de nombreuses techniques décrites ci-dessous, notamment pour détecter le fait d'ouvrir un dossier et comme déclencheur dans la base de données MS SQL. En fait, il existe de nombreuses options pour utiliser ce déclencheur.

Déclencheur d'URL

Dans ce cas, il suffit qu'une requête GET, POST ou HEAD soit exécutée par référence. Cela déclenchera le déclencheur. En plus de son utilisation habituelle, il peut également être utilisé dans des scripts pour vérifier les analyseurs qui suivent les liens et afficher des aperçus de contenu. Il en va de même, par exemple, pour les messageries instantanées: il suffit d'écrire un lien dans le champ de saisie sur lequel vous avez cliqué depuis les serveurs de messagerie.

Image

L'image classique de 1 x 1 pixel est connue de tous ceux qui suivent la publicité en ligne. Le déclencheur fonctionnera si un fichier image a été téléchargé. Un tel pixel peut être inséré dans n'importe quelle page html ou dans une lettre. Il est pratique de l'appeler à partir des scripts JS sur la page si la condition nécessaire a fonctionné. Vous pouvez également remplacer le pixel standard par votre propre image.

Déclencheur d'e-mail

Si une lettre arrive dans la boîte aux lettres générée, le déclencheur fonctionnera. Il est pratique d'utiliser des adresses e-mail, des listes de contacts, etc. pour surveiller les fuites de bases de données.

Par exemple, vous pouvez ajouter cette adresse à votre liste de contacts et savoir quand votre ordinateur portable sur votre téléphone sera fusionné par une application demandant l'accès à votre liste de contacts. . Il est également possible pour tous les employés d'ajouter des adresses de déclenchement différentes aux blocs-notes sur un ordinateur, un téléphone, un client de messagerie et de suivre d'où viennent les contacts.

Une adresse e-mail est spécialement générée qui n'est pas prévisible, par conséquent, la probabilité de sélection et de déclenchement accidentel d'un déclencheur est exclue.

Déclencheur d'ouverture de dossier Windows

Beaucoup ont sûrement vu un fichier desktop.ini caché qui se trouve dans chaque dossier Windows. Il s'avère qu'il n'est pas si simple. Dans celui-ci, vous pouvez spécifier l'adresse de l'icône sur le serveur distant, en utilisant des chemins UNC (ce sont ceux utilisés pour les lecteurs réseau et commencer par \\), tandis que Windows effectuera la résolution DNS sur le domaine spécifié dans le lien vers l'icône et activera le déclencheur. Le fichier desktop.ini peut être compressé avec d'autres fichiers dans l'archive, et cela fonctionnera si l'archive est décompressée.

Déclencheur de clonage de site

Un script simple pour les pages Web qui fonctionne si la page n'est pas ouverte à partir de votre domaine. Peut être utile pour détecter le phishing.

if (document.domain != "mydomain.com") {
    var l = location.href;
    var r = document.referrer;
    var m = new Image();
    m.src = "http://canarytokens.com/"+
            "blablabla.jpg?l="+
            encodeURI(l) + "&r=" + encodeURI(r);
}

Déclencheur pour exécuter un fichier EXE ou une DLL

Permet de coller le déclencheur avec un fichier ou une bibliothèque exécutable .exe existant. Il n'est pas détecté par les antivirus. Il convient de garder à l'esprit qu'un tel collage peut casser certains programmes, il est donc préférable d'utiliser quelque chose de simple. En fait, il s'agit d'une méthode connue depuis longtemps utilisée pour propager des chevaux de Troie et des virus, mais dans notre cas, la fonctionnalité cachée est totalement inoffensive. Cependant, il convient de garder à l'esprit que le fichier exécutable peut provoquer une plus grande vigilance pour l'attaquant, et également ne pas s'exécuter sur son système d'exploitation.

Déclencheur pour MS SQL

MS SQL vous permet d'ajouter un déclencheur pour exécuter INSERT, SELECT, DELETE, etc. Pour déclencher un déclencheur, utilisez la même méthode que pour un fichier desktop.ini, à savoir résoudre un nom DNS via des chemins UNC.

Exemple de déclenchement pour MS SQL

--créer un proc stocké qui pingera les canarytokens
CREATE proc ping_canarytoken
AS
BEGIN
declareNom d'utilisateur varchar (max), base64 varchar (max), @tokendomain varchar (128), @unc varchar (128), Taille int terminé int Aléatoire varchar(3);

--setup the variables
set @tokendomain = 'qo2dd6tftntl1pej9j68v31k6.canarytokens.com';
set size = 128;
set done = 0;
set random = cast(round(rand()*100,0) as varchar(2));
set random = concat(random, '.');
set username = SUSER_SNAME();

--loop runs until the UNC path is 128 chars or less
while done <= 0
begin
--convert username into base64
select base64 = (SELECT
CAST(N'' AS XML).value(
'xs:base64Binary(xs:hexBinary(sql:column(«bin»)))'
, 'VARCHAR(MAX)'
) Base64Encoding
FROM (
SELECT CAST(username AS VARBINARY(MAX)) AS bin
) AS bin_sql_server_temp);

--replace base64 padding as dns will choke on =
select base64 = replace(base64,'=','-')

--construct the UNC path
select @unc = concat('\\',@base64,'.',@random,@tokendomain,'\a')

— if too big, trim the username and try again
if len(@unc) <= size
set done = 1
else
--trim from the front, to keep the username and lose domain details
select username = substring(username, 2, len(username)-1)
end
exec master.dbo.xp_fileexist @unc;
END

--add a trigger if data is altered
CREATE TRIGGER TRIGGER1
ON TABLE1
AFTER INSERT
AS
BEGIN
exec ping_canarytoken
end

Déclencheur de connexion Amazon Web Services

La clé API des services Amazon devrait inciter un attaquant à vérifier ce qu'il contient. Si cette clé API est utilisée pour la connexion, le déclencheur se déclenchera. Dans ce cas, bien sûr, il n'y a pas de données.

Autres déclencheurs

Le service canarytokens.org prend également en charge d'autres déclencheurs, tels qu'un hook SVN, une redirection Web, la lecture d'un code QR, une clé API Slack, etc. Ils utilisent tous un principe similaire, et si vous le souhaitez, vous pouvez créer indépendamment votre propre déclencheur, en ayant dans votre arsenal un nom DNS, un lien avec une image, une adresse postale et des clés API pour les services populaires. En plus des notifications par e-mail, Canarytokens peut tirer un crochet Web si un déclencheur se déclenche. Les mécanismes de fonctionnement sont décrits dans la documentation.

Canarytokens Native Server

Un pirate expérimenté, voyant dans le code source l'adresse canarytokens.org devine immédiatement tout. Par conséquent, pour une utilisation dans l'entreprise, il est préférable de déployer votre propre instance de canarytokens de sorte que toutes les adresses de déclenchement soient dirigées vers les domaines internes de l'entreprise et ne puissent pas être distinguées des services internes réels.

Les développeurs fournissent une image Docker prête à l'emploi . Le processus d'installation est assez typique pour n'importe quelle image, nous n'aborderons donc pas ce sujet. Arrêtons-nous uniquement sur des points non évidents. Avant l'installation, vous devrez éditer les fichiers frontend.env et switchboard.env .

# ()       
#     IP-    Docker.        SSL-.
CANARY_DOMAINS=example1.com,example2.com

#            PDF-
#    NS-          .
#   example3.com     example1.com  example2.com
CANARY_NXDOMAINS=example3.com

Pour envoyer du courrier, je recommande d'utiliser le service Mailgun, car Sendgrid est instable.

Conclusion

Ces pièges sont vraiment efficaces. Dans mon cas, les déclencheurs avec des fichiers PDF sont particulièrement utiles. Le service sera utile pour les utilisateurs ordinaires et les pentesters expérimentés. Même un attaquant sophistiqué qui connaît l'existence des Hanipots et des Hanitokens ne pourra pas résister à la tentation de minimiser au moins le sous-domaine trouvé dans la documentation. Si vous utilisez soigneusement et judicieusement les pièges, vous pouvez détecter un cracker à un stade précoce.

Ces techniques peuvent être utilisées sur des serveurs, des ordinateurs de bureau, des stockages de fichiers et même sur des téléphones.

Si vous souhaitez déployer des canarytokens dans votre propre instance Docker, sur nos machines virtuelles Docker est installé en un clic depuis la place de marché . De plus, nous offrons une remise de 15% sur tous les serveurs utilisant le code promo DONTPANIC.

Pièges de pirate. Détectez le piratage tôt avec Canarytokens