Für diesen WerkzeugKastenMittwoch habe ich diese Woche einen großartigen #BlueTeam Dienst für euch, der nicht direkt etwas mit Kanarienvögel auf sich hat.
Stellen wir uns vor, ein Hacker hat es vorbei an EDR/ XDR etc. geschafft. Es wurde noch kein Alarm ausgelöst. Er befindet sich auf einem Fileserver wo er in einem Ordner "IT-Abteilung" einen vermeintlichen Jackpot landet. Dort liegt unter anderem eine Datei mit dem wunderbaren Namen "Kennwoerter.xls". Diese wird natürlich gleich angeschaut, da dies das weitere Vorgehen vermutlich wesentlich einfacher macht. Genau hier schlägt die Falle zu bzw. löst das #Canarytoken einen Alarm aus und das SOC erhält einen Alarm.
Canarytokens kommen in verschiedenen Formen, Excel Dateien, PDFs, AWS API Keys, eMail Adressen und einiges mehr. Sobald diese wie gewohnt geöffnet / verwendet werden, lösen sie eine einzigartige DNS Abfrage an die Canary Token Server aus, mit denen sie zugeordnet und entsprechende Alarme ausgelöst werden.
Wiedereinmal das Beste an dem Service, er ist tatsächlich kostenfrei! Danke Thinkist!
Unter https://canarytokens.org kann man einen Token Typ auswählen, eMail Adresse eingeben, an welche der Alarm gesendet wird und ganz wichtig, ein Reminder, welcher in der eMail angezeigt wird, um den Token später wieder zuordnen zu können, sollte dieser irgendwann anschlagen. Alternativ kann man hier eine ID o.ä. eintragen welche man festhält und dokumentiert welche ID wo auf welchem Server etc. eingesetzt werden. Sollte der Token nach 1-2 Jahren wirklich anschlagen, weiß man sonst nicht mehr wohin dieser gehört.