editor_ruvds 3 апр 2020 в 12:07

Ловушки для хакера. Обнаруживаем взлом на раннем этапе с помощью Canarytokens

7 мин

34K

Блог компании RUVDS.comИнформационная безопасность*Лайфхаки для гиков

+68

Комментарии 19

mPolr 3 апр 2020 в 15:06

Пароли.pdf? Ну ок :)

zhovner 3 апр 2020 в 16:27

Встроенный маковский PDF-просмоторщик Preview.app открывает файл с закладкой без предупрежление и триггер срабатывает. А вот Adobe Acrobat уже блокирует запрос:

Вообще это конечно дико, от обычного документа не ждешь такой подставы. Ладно еще файл Word с макросами.

toto 3 апр 2020 в 17:51

Пожалуйста уточните версию OS X, где у вас сработало во встроенном Preview.
Сижу на 10.13.6 и pdf не срабатывает. Адобом не пробовал.

zhovner 3 апр 2020 в 18:04

Проверял на 10.14 (Mojave)

w0den 4 апр 2020 в 05:27

Вообще это конечно дико, от обычного документа не ждешь такой подставы.

Насчёт «подставы от обычных документов», вспомнил про свой пост десятилетней давности: Насколько опасна DRM-защита, или Видео-вирус часть 2.

bolk 4 апр 2020 в 11:07

У вас прям письмо пришло, когда открывали через preview?

zhovner 5 апр 2020 в 13:31

Да, только ip почему-то cloudflare

f66 3 апр 2020 в 16:40

Не могу понять как работает триггер для DNS запроса. Ведь запрос идет на какой-нибудь сервер вроде гугл 8.8.8.8 или DNS провайдера.

capslocky 3 апр 2020 в 19:20

DNS сервера работают по иерархическому принципу. Владелец TLD (скажем, mysite.com) может указать для него любой nameserver, например, ns1.mydns.org. Таким образом, этот ns сервер зафиксирует факт запроса IP адреса у суб-домена kzm5igepvd.mysite.com.

$ dig +short NS habr.com
ns1.habradns.net.
ns2.habradns.net.
ns3.habradns.net.

floop 3 апр 2020 в 19:54

Всё сводится к тому что домен знаете только вы и ваша жертва. Когда жертва сделает ресолв — вам на nameserver прилетит запрос.
Если жертва сама резолвит (точнее, не использует резолверы гугла и провайдера), вы узнаете ip жулика.
Если через гугл или провайдера, вы узнаете ip гугла или провайдера :)

Gho_st 3 апр 2020 в 16:45

О, круто
Делал похожую систему на коленке с помощью обычного веб-сервера и парсинга логов по крону. Генерировал ссылку вида /special_word/blabla
Если в логе проскакивало вхождение special_word, мне отправлялось письмо со всей сторокой вклюая IP адрес открывшего.

Дальше создавалась временная страница на livejournal или скрытый аккаунт на lastfm (там можно было вставлять свою картинку в html) и жертве присылалась ссылка. Адрес известного сайта не вызывал подозрений и жертва легко переходила по ней.

NikitchenkoSergey 3 апр 2020 в 17:08

От этих ловушек легко защитится, просто открывая файлы в песочнице без доступа к интернету. И с распространением таких ловушек все больше хакеров станут так делать.

zhovner 3 апр 2020 в 17:17

Согласен, но признайтесь, мало кто ждет подвоха просто перемещаясь по папкам или обращаясь к домену.

madcatdev 3 апр 2020 в 22:02

DNS-запрос все равно может проскочить, мне кажется (если фаервол с белыми списками по софту, системный dns-клиент скорее всего будет в списке).

NNikolay 4 апр 2020 в 04:45

Мне больше понравился ключ от aws. Тут уже офлайном не защититься. Либо проверять либо нет.

gleb_l 4 апр 2020 в 11:06

Внедрять триггеры в БД — очень опасно. Во-первых, на чтение данных триггеров не существует, а во-вторых, внедрение на модификацию, вызывающее по каждому чиху поход за файлом по UNC-пути, может драматически сказаться на производительности. И потом — изменение данных в БД — процесс постоянный, как отличить санкционированные изменения от несанкционированных?

win32nipuh 4 апр 2020 в 14:27

Кто-то понял как сделать триггер на открытие фолдера кем-то?
Подскажите, как сделать так: хотел бы получать уведомления, елси кто-то удаленно в локальной сети открывает фолдер на моей машине? файл пдф?

Pasha_ant 5 апр 2020 в 12:12

Очень хорошая вещь для обычного пользователя.
В зрелой кампании это будет лишь как ещё один уровень защиты, в дополнение к различным honeypot'ам и прочее. А для домашнего использования самое то!
Вот только у меня вопрос к сообществу: если я таким образом пометил свои доки, сам себе их в почту скинул и через некоторое время прилетело оповещение что кто-то скачал и открыл эти файлы, могу ли я на основе этого срабатывания написать заявление об утечке данных?
И примут ли соответствующие органы эти оповещения как доказательство слива?
Я же могу и в гос.органы сканы своих документов направить и оператору связи и потом посмотреть откуда слив идёт?
Или в банк направить скан… Уверен, что у них нет закрытой зоны без интернета, куда доки на флешке заносят)))

Sergey_Evstyukhin 10 апр 2020 в 13:12

Смотря кому и на слив чего.
Думаю, полиция примет заявление и будет активно заниматься привлечением виновных (в первую очередь вас), только в случае если утекших данных у вас не должно быть по закону или вы должны были их хранить.
Если же утекла ваша коллекция закладок или репозитарий с пет-проектом, то вряд ли.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий