CanaryToken 是一个非常有趣的服务,它提供了 29 种常见的蜜罐陷阱,包括 Windows 文件夹、运行指定程序、打开 PDF 文档、Word/Excel 文件、图片、二维码,以及网络蜜罐:MySQL、邮箱、AWS 证书、Log4shell 等,只要有人使用了这些陷阱,你就会收到通知,支持邮件与 WebHook。@Appinn
来自发现频道,@艾尔赛高 同学的推荐:https://meta.appinn.net/t/topic/73994
偶然发现的一个有趣服务。提前生成无害的蜜罐密钥,放在容易被攻击者接触的位置(例如 ~/.aws/credentials ),如果被攻击/泄露了,当攻击者尝试使用密钥的时候,会受到通知(可选邮件/webhook)
示例场景:
- 监控开发环境是否被入侵
- 监控私有代码仓库是否被意外拉取
- 监控密钥是否意外泄漏
一个例子:监控 Windows 文件夹
在 CanaryToken 官网找到 Windows Folder,打开后输入邮箱、说明(用来让你区分哪个文件夹的,比如输入:我的小姐姐的家),以及可选设置 Webhook 通知:
然后点击下方的 Create Canarytoken 按钮,从新的页面下载 zip 文件:
注意由于系统限制,这个蜜罐仅支持 Windows 10 以下版本。
在这个 zip 文件夹中,有一个 desktop.ini 文件,复制到你要监控的文件夹里就行了。
desktop.ini 内容很简,打开就能触发里面的 URL 的意思:
[.ShellClassInfo] IconResource=\\%USERNAME%.%COMPUTERNAME%.%USERDOMAIN%.INI.xxxxxxxx.canarytokens.com\resource.dll
就好了。一旦有人打开了你的文件夹,就会收到邮件,包括时间、IP地址、描述:
而从邮件点进去还能看到历史记录、删除警报灯功能。
总之,给青小蛙一种:这是我能用的吗?的强烈感觉。
快去玩玩吧 😂
CanaryToken 的29 种蜜罐陷阱
CanaryToken 能设置的蜜罐一共 29 种,非常丰富,你总能用到
| 蜜罐名称 (英文) | 简要说明 |
|---|---|
| Web bug | 攻击者访问特定URL时发送告警 |
| DNS | 攻击者解析特定DNS名称时告警 |
| Credit Card | 攻击者尝试使用你的信用卡信息时告警 |
| QR code | 攻击者扫描你的二维码时触发告警 |
| MySQL | 攻击者加载你的MySQL数据库转储文件时告警 |
| AWS keys | 攻击者使用伪造的AWS API密钥时告警 |
| Fake App | 攻击者运行伪造应用程序时发送告警 |
| Log4shell | 当检测到Log4j漏洞(CVE-2021-44228)日志时告警 |
| Fast redirect | 当攻击者访问URL时快速重定向并告警 |
| Slow redirect | 当攻击者访问URL时慢速重定向并收集更多信息 |
| Sensitive command | 当检测到可疑Windows命令执行时告警 |
| Windows Fake File System | 伪造文件系统中访问文件时触发告警 |
| Web image | 上传的图片被查看时触发告警 |
| Azure login certificate | Azure服务主身份登录时触发告警 |
| Microsoft Excel | 伪造的Excel文档被打开时告警 |
| Microsoft Word | 伪造的Word文档被打开时告警 |
| SVN | 访问SVN仓库时触发告警 |
| Unique email address | 发送邮件到该唯一邮箱地址时触发告警 |
| Microsoft SQL Server | 访问MS SQL数据库时触发告警 |
| Custom EXE / binary | 执行伪造EXE或DLL文件时触发告警 |
| Acrobat Reader PDF | 伪造的PDF文档被打开时告警 |
| Windows Folder | 在Windows资源管理器中浏览伪造文件夹时触发告警 |
| JS cloned website | 通过JavaScript检测网站被克隆时触发告警 |
| CSS cloned website | 通过CSS监测网站克隆时触发告警 |
| Kubeconfig | 使用你的Kubernetes配置时触发告警 |
| WireGuard VPN | 使用你的WireGuard VPN客户端配置时触发告警 |
| Azure Entra ID login | 钓鱼Azure Entra ID登录时触发告警 |
| Network Folder | 访问映射的WebDAV网络文件夹时触发告警 |
| SAML IdP App | 从身份提供者仪表板打开伪造应用时触发告警 |
原文:https://www.appinn.com/canarytoken/