Honeytoken – avagy kövesd a hekkert!

Sokszor előfordul, hogy egy adott esemény vagy akár személy felderítésekor elakad az egyszeri OSINT-os, mer egyszerűen már nem tud továbbmenni, nincs több érdemi, az aktuális repertoárunkkal és módszereinkkel fellelhető információ. Ilyen esetekben sem szabad feladni vagy elkeseredni, ha nincs több információ, akkor el kell érnünk, hogy legyen: csinálni kell.

Nyilván szituációfüggő, hogyan lehet arra kényszeríteni vagy rávenni a másik oldalt, hogy megtegyen olyan lépéseket, amelyekből mi további információhoz jutunk, de sok esetben – ha sikerül,- kimozdíthat bennünket a gödörből.

Fontos, hogy az ilyen eljárások már semmiképpen nem számítanak „passzív” módszernek, felvethetnek különböző jogi problémákat, így csak akkor kezdjünk el „aktív” módszerrel dolgozni, ha már tényleg nincsen lehetőségünk másra, és ha tisztában vagyunk azzal, hogy a tevékenységünk milyen jogi kockázatokat hordoz(hat) magában.

Úgy gondolom, hogy ez nem „töltött fegyver a gyerek kezében”, az ilyen technikák kiválóan alkalmasak az etikus működés keretein belüli alkalmazásra, és remélem, hogy Ti is hasznosnak találjátok majd.

Ma a honeytokenről lesz szó, és bemutatok egy olyan ingyenes megoldást, amely kiválóan beleillik az OSINT eszköztárába és amelyet jól lehet alkalmazni a defenzív és a felderítő tevékenységek során.

Mi az a honeytoken?

A honeypotok vagy mézescsuprok már ismertebbek, ezek olyan kamuflázs cuccok, amelyek elhitetik magukról, hogy valamilyen aktív szolgáltatást nyújtó eszközök, de mégsem azok. Inkább álcázott csapdák, amelyeket arra használnak, hogy felkínálva a sérülékeny alkalmazásokat kereső támadóknak, információt gyűjtsenek a támadóról, amint az megpróbálja felderíteni vagy kihasználni a honeypot által behazudott sérülékeny alkalmazást.

honeypot.jpeg

A honeytoken is ebbe a sémába illik, azonban nem egy álcázott rendszerről beszélünk, hanem csali információról. Például honeytoken egy olyan felhasználónév és jelszó, amivel ugyan nem lehet bejelentkezni a rendszerünkbe, azonban amint valaki megkísérel az adatokkal bejelentkezni, azonnal egy magas prioritású riasztás generálódik.

Sok ilyen, defenzív célú információmorzsa használható, szintén jó példa a modern email védelmi megoldásokban konfigurálható „csapda” postafiók (spam trap honeytoken) – ha erre a postafiókra érkezik email, abban a pillanatban tiltólistára kerül a feladó és a küldő szerver. Miért? Mert ezt a postafiókot semmilyen legit célra nem használjuk, ha erre a címre küld valaki levelet, az csak és kizárólag olyan céllal szerezhette meg, amely miatt joggal feltételezhető, hogy a levél tartalma káros, a küldő fél pedig kártékony.

A honeytokenek (mást terminológiában breadcrumbs – kenyérmorzsa néven is nevezik) felhasználása nagyon széles körben mozoghat, azonban nem elegendő csak az információt vagy csali adatot létrehozni, gondoskodni kell annak megfelelő elhintéséről is (innen a kenyérmorzsa elnevezés).

Ha az email szűrős spam trap honeytoken eseténél maradunk, fontos, hogy a címet csak olyan helyen és olyan módon publikáljuk, amely nem vonja maga után, hogy erre a címre legit levelek is érkezzenek. Helyezzük el az email címet a weboldalunk forráskódjában HTML megjegyzésként – amelyet a látogatóink nem fognak előbányászni, de a SPAM robotok a weboldalunkat megrágva örömmel fognak beemelni az adatbázisukba.

Amikor a SPAM küldő célba vesz bennünket és többek között ebbe a postafiókba is elküldi a penis enlargement vagy egyéb SPAM levelet, az email védelmi rendszer fogadja és feldolgozza ezt a levelet, és azonnal tiltólistára teszi a feladót és a küldő szervert – így a tiltott forrásról érkező további levelek már nem fogják borzolni a felhasználóink idegeit.

Ott vannak aztán a LinkedIn-en a munkavállalóink, akik azért talán már vannak annyira biztonságtudatosak, hogy nem írják bele a profiljukba a vállalati email címüket (de, sajnos). Azonban ha valaki targetálni akar a cégünkre egy phishing kampányt, nincs más dolga, mint  legyűjteni a vállalatunkat munkahelyként szerepeltető felhasználókat, és a nevükből leképezni (a vállalatunk email cím képzési módját ismerve) azt az email listát, amelyre majd elküldi a phishing kampányt.

Ha azonban mi létrehozunk egy kamu LinkedIn profilt (profil honeytoken), és az email szűrőnkben felvesszük a trap honeytoken postafiókoknak a képzeletbeli munkavállalónk email címét, a phishing kampányt akkor is észlelni tudjuk, ha esetleg a felhasználók maguk nem jelentenék a leveleket – sőt, mivel a trap-be beeső levél feladója és küldő szervere is tiltásra kerül, a kampányt automatán blokkolni is tudjuk.

Utolsó példa a kenyérmorzsák alkalmazására a juicy file honeytoken. Ebben az esetben létrehozunk olyan fájlokat a fájlszerveren (vagy akár a szerverek Desktop mappájában), amelyek meglehetősen csalogató névvel és sokat ígérő tartalommal rendelkeznek, majd azt fogjuk triggerelni, hogy ki szeretne megismerkedni a fájl tartalmával.

A klasszikus példákban mindig a passwords.docx szerepel, nyilván mert valóban eléggé csalogató a tartalma. A dokumentum azonban nem jelszavakat (esetleg kamu jelszavakat) tartalmaz, hanem olyan tracking makrókat, amelyekkel nyomon tudjuk követni, hogy ki és milyen címről nyitotta meg a dokumentumot. Ugyanilyen jó játék a „fonokok-fizetese.docx” – tegyük ki a fájlszerver valamilyen publikus folderébe és hamarosan megtudjuk, kik érdeklődnek a vezetők fizetéseiről (mindenki).

A felhozott példákban közös, hogy nem csak a fáj, jogosultság és hozzáférés, email cím vagy egyéb csali adat és információ fontos, hanem az is, hogy hol és hogyan hintjük el őket. A kenyérmorzsák elhintése pedig attól függ, milyen célra akarjuk a megszerzett adatot felhasználni.

A honeytokenek tehát nem mások, mint olyan csali információk, amelyeket mi állítunk elő, mi terjesztjük és publikáljuk őket azért, hogy észlelhessünk (azonosítsunk, nyomon kövessünk, felfedjünk, stb.) olyan tevékenységeket, amelyek pontosan ilyen információkra vadásznak rendszereinkben vagy egyéb digitális tereinkben.

Ha mi mutatjuk meg őket a támadónak, jó eséllyel észlelni is tudjuk amikor megtalálja és felhasználja a megszerzett információkat – és természetesen ő csak haszontalan információhoz jut, mi viszont hasznos információval fogunk rendelkezni a támadóról (pl. IP cím, belső hostnév, DNS szerver, módszerek és taktikák, stb.).

Canarytoken – ingyenes, egyszerű token generátor

Aki szeretne megismerkedni a honeytokenekkel, annak a legegyszerűbb, ha már kész és ingyenes megoldást próbál ki. Erre a célra kiválóan alkalmas a Canarytoken.

A Canarytoken a leggyakoribb tokenek legenerálására és nyomon követésére alkalmas megoldás, olyan tokeneket tudunk létrehozni, amelynek felhasználásakor nem csak riasztást kapunk, de a riasztásban olyan adatok is megjelennek, amelyek a token felhasználóját segítik láthatóvá tenni esetleg akár beazonosítani. Ilyen tokenek lehetnek:

Web tokenek, azaz generált URL címek, amelyek megtekintésekor riasztás kapunk, benne az URL-t „meglátogató” publikus (vagy akár privát) IP címével, böngésző, esetleg OS és host adataival (a Canarytoken esetében a public IP cím alap, a többihez már saját telepítésre lesz szükség.

DNS tokenek, generált subdomainek (pl. gai0yi9hw.canarytoken.org), amelyeket ha valaki felold, azonnal jön a riasztás és a DNS feloldó IP címe.

Trap postafiók tokenek, amelyek csapda emailcímek, amelyekre ha levél érkezik, akkor jön a riasztás, benne a küldő fél IP címével.

Image tokenek, olyan képek, amelyeket akár levélbe tudunk illeszteni, és amikor a kép betöltődik a levelező kliensbe (pl. Outlook), jön a riasztás a levelet megnyitó IP címével,

Trackelhető dokumentumok és PDF-ek, amelyeket ha megnyit valaki, akkor jön a riasztás, benne a publikus (vagy privát) IP címmel.

Lehet benne csinálni folder megnyitásra, exe vagy DLL futtatásra, SQL select/insert/update/delete funkciókra, QR kódra vagy akár AWS kulcsra triggerelő tokeneket, elég széles a paletta.

Nézzünk meg egy egyszerű, HTML levélbe vagy web oldalba elhelyezhető token elkészítését:

Válasszuk ki a Custom Image Web Bug tokent, majd értelemszerűen töltsük ki a megfelelő adatokkal a mezőket.

Az email cím esetében azt a címet adjuk meg, ahova a riasztást szeretnénk kapni. Javasolt, hogy erre a célra egy hozzánk nem köthető email címet hozzunk létre, lehet ez egy gmail-es vagy protonmailes random cím is – jobb a biztonság.

Saját képet is tudunk feltölteni, ez azért fontos, hogy ha megjelenik a címzett oldalon a kép, akkor ne fogjon gyanút, hogy nem odaillő tartalom jelenik meg neki. A kép esetében üresen is lehet hagyni, ebben az esetben a klasszikus 1x1px transzparens kép fog generálódni (a marketing és hírlevél megoldások is ugyanígy monitorozzák a levelek megnyitását).

Modernebb levelezőkben gondot jelenthet, hogy Betekintő módban a képek nem töltődnek be, vagy figyelmeztetik a címzettet, hogy külsős tartalom van a levélben, és engedélyezni kell a kép betöltődését. Minden a motiváción múlik, ha jó a levelünk tartalma, akkor rá tudjuk venni az illetőt, hogy engedélyezze a kép betöltődését.

Ennyire egyszerű, a Create gombbal már létre is jött az első honeytokenünk.

Forrás: https://kiber.blog.hu