Canary Tokens: Früherkennung durch Täuschung

Moderne Cybersicherheit erfordert mehr als nur präventive Maßnahmen – sie braucht aktive Detektionsmechanismen, die Angreifer frühzeitig enttarnen. Täuschungstechniken (Deception Technologies) wie Canarytokens unterstützen Organisationen dabei, unbefugte Aktivitäten schnell zu identifizieren, bevor kritische Systeme kompromittiert werden.

Grundprinzip der Deception Technology

Deception-Technologien setzen gezielt falsche IT-Assets im Netzwerk ein, die als Köder dienen und Angreifer in eine überwachte Umgebung locken. Typische Beispiele sind Honeypots (komplette System-Imitationen), Honey Users (Decoy-Accounts, etwa in Active Directory) und Canarytokens als feingranulare, digitale Stolperdrähte in Dateien, Logs oder Konfigurationen. Durch Interaktion mit diesen Täuschungselementen erzeugen Angreifer verwertbare Aktivitäten, sogenannte Indicators of Compromise (IOC), die Sicherheitsteams nahezu in Echtzeit alarmieren.

Was sind Canarytokens?

Canarytokens sind bewusst platzierte digitale „Stolperdrähte“, die in IT-Systemen eingebettet werden, um unbefugte Zugriffe zu detektieren. Die Bezeichnung lehnt sich an den historischen Einsatz von Kanarienvögeln in Bergwerken an, die als Frühwarnsystem bei gefährlichen Gasen dienten. Übertragen auf die IT sind Canarytokens harmlos aussehende Dateien, Links, Datenbankeinträge oder Zugangsdaten, die bei Nutzung eine Benachrichtigung auslösen und so als Frühwarnsystem dienen.

Wie funktionieren Canarytokens?

In der Praxis werden Canarytokens an strategischen Stellen platziert, die für Angreifer attraktiv erscheinen, etwa in vermeintlich sensiblen Dokumenten, Konfigurationsdateien oder Datenbanken. Typische Beispiele sind falsche Dokumente (z. B. „Passwortliste“), spezielle Web-URLs, Dummy-Datenbankeinträge oder Fake-API-Keys, die wie echte Geheimnisse wirken. Greift eine Person oder Malware auf ein Token zu, wird meist eine HTTP- oder DNS-Anfrage an den Canary-Dienst ausgelöst, der anschließend per E‑Mail oder anderem Kanal eine Warnung an die verantwortlichen Teams sendet.

Praktische Anwendung mit Canarytokens.org

Der Dienst canarytokens.org stellt eine einfache Oberfläche bereit, um verschiedene Token-Typen zu generieren, ohne eigene Infrastruktur aufbauen zu müssen. Dazu wählt man einen Token-Typ (z. B. Dokument, URL oder DNS), hinterlegt eine Benachrichtigungsadresse sowie eine Beschreibung und erhält anschließend einen eindeutigen Token, der anschließend im gewünschten Kontext platziert wird.

Einsatz von DNS-Canarytokens

Ein DNS-Canarytoken ist ein spezieller, eindeutiger Domainname, dessen Auflösung automatisch eine Alarmierung auslöst. Typische Szenarien sind das Einbetten des Tokens in Dateien wie .bashrc oder .bash_history oder in interne Dokumentation, auf die Angreifer bei der Erkundung häufig zugreifen. Viele Recon- oder Post-Exploitation-Tools sammeln DNS-Einträge automatisch ein, sodass bereits der reine Lookup des Token-Hosts eine Benachrichtigung erzeugt.

Ein einfaches Shell-Skript kann etwa so aussehen:

#!/bin/bash

#Bei Ausführung wird der DNS-Canarytoken aufgelöst und löst dadurch eine E-Mail-Warnung aus
curl yourtoken.canarytokens.com

Wird dieses Skript ausgeführt oder der darin enthaltene DNS-Name von einem Angreifer übernommen, löst die Anfrage eine Meldung beim hinterlegten Canary-Dienst aus.

Fazit

Täuschungstechnologien wie Honeypots, Honey Users und Canarytokens ermöglichen einen proaktiven Sicherheitsansatz, bei dem Angreifer nicht nur erkannt, sondern auch ihr Verhalten analysiert werden kann. Canarytokens sind dabei besonders attraktiv, weil sie mit geringem Implementierungsaufwand arbeiten, sehr früh im Angriffsverlauf auslösen und sich flexibel in bestehende Umgebungen integrieren lassen.

• Tags:
• Canarytokens
• Deception
• Honeypots
• Dns
• Detection
• IT-Security