Canary token's para dummies
Los canarios son aves pequeñas, lipocrómicos o melánicos que trinan muy armoniosa y dulcemente. Es habitual hallar a estos animales en las islas Canarias, Azores, y Madeira, en la zona de la Macaronesia, en el este del océano Atlántico.
La analogía de los canary tokens con esta avecilla se podría conjeturar que viene de que cantan precisamente por su necesidad de sentirse acompañados. Es también conocido que los mineros usaban canarios para detectar niveles peligrosamente altos de gases tóxicos como el monóxido de carbono para protegerlos de la inhalación de sustancias peligrosas. Los canarios era una forma de mecanismo de protección.
Desde la tecnología, un canary token es un archivo, URL, clave de API u otro recurso cuyo acceso se supervisa. Una vez que se ha accedido al recurso, se activa una alerta notificando dicho acceso al propietario del objeto. Es decir, nuestro canario virtual advierte con sus trinos que ya no está solo, que alguien se ha acercado.
Por lo general, los canary tokens se usan dentro de un entorno para ayudar a los equipos defensores a identificar un sistema potencialmente comprometido o un recurso al que no se debe acceder y del cual deseamos tener vigilancia. Aunque la idea en el fondo es provocar que lo accedan para obtener información del atacante. Por ejemplo, un archivo llamado “passwords_2022.csv” estimularía la curiosidad de un atacante para obtener dicho archivo.
Dicho simple, se trata de un cebo -artefacto-, que colocamos adrede para estimular la curiosidad de un atacante, quien al incursionar en el artefacto no solo nos deja visibilidad de ello, sino que además nos deja una buena dosis de boronas digitales que nos permiten perfilarlo.
De esta forma, los canary tokens son honeypots. Un honeypot canario imita un sistema que puede ser atractivo para un atacante. Una vez que el atacante penetra en el honeypot, los administradores pueden estudiar su comportamiento. Los canary tokens son significativamente diferentes en el sentido de que están incrustados en archivos y diseñados para activar alertas cuando un atacante accede a ellos. Así pues, al abrir o manipular el archivo, se puede activar un correo electrónico o algún otro tipo de notificación para anunciar al propietario del sistema, el cual luego podrá disparar las respuestas apropiadas o pertinentes que se hayan establecido para el artefacto.
Los canary tokens y los honeypots tienen objetivos similares, pero utilizan enfoques diferentes. Un honeypot pretende ser un objetivo atractivo para un ciberdelincuente. Cuando el atacante cae en la trampa, los administradores de TI pueden estudiar su comportamiento y recopilar inteligencia clave sobre la naturaleza de la amenaza.
Los canary token se pueden usar, en cambio, para rastrear el comportamiento de los ciberdelincuentes. Se implantan en archivos regulares y cuando el usuario accede al archivo o ejecuta un proceso, se envía un mensaje a la persona que implantó el token. Cuando los ciberdelincuentes abren el token, obtienen información valiosa como su dirección IP y el nombre del token, así como la hora en que se accedió al archivo. Dicho simple, un honeypot proporciona un lugar para que jueguen los atacantes, mientras que un canary token proporciona un juguete con el que jugar. Con ambas soluciones, una vez que los atacantes caen en la trampa, puede recopilar información valiosa sobre ellos.
No obstante; también se usa del otro lado, recientemente se descubrió un script BASH que realizaba el cifrado de archivos como parte de un ataque de ransomware que aprovechaba canary tokens tanto para notificar, como para obtener claves utilizadas para el cifrado de archivos. Ósea, significa que los operadores de ransomware aprovechan el hecho de que el servicio de notificación de los canary tokens muestra la cadena de agente de usuario utilizada al acceder a una URL específica. Esto permite que el operador del ransomware codifique en base64 la contraseña utilizada durante el cifrado de archivos y aproveche el contenido codificado como la cadena de agente de usuario para la exfiltración. Así que, no creamos que los canary tokens solo son usados por los equipos de defensa, también los adversarios continúan desarrollando sus técnicas para beneficiarse de los ataques de ransomware.
Si bien históricamente los operadores de ransomware se han centrado en atacar entornos de Windows, a medida que más empresas se trasladan a contenedores y cargas de trabajo de Linux, la superficie de ataque para los delincuentes aumenta. La capacidad de monetizar entornos bajo sistemas operativos Linux y/o contenedores, se está volviendo esencial para la evolución de las operaciones de ransomware.
Los canary token pueden ser creados para HTTP, DNS, Imágenes Web, archivos PDF, archivos de Word, Excel, para volcados de SQL, para objetos del directorio activo, archivos ejecutables, códigos QR y un sinfín de artefactos más.
Los canary tokens se pueden implementar fácilmente y no necesitan mucho mantenimiento. Son un método rentable para recopilar información sobre amenazas, lo que permite al personal de los equipos azules responder de manera rápida y adecuada.
Un canary token también sirve como un sistema continuo de monitoreo de amenazas. Cuando se colocan estratégicamente en toda la red, los canary tokens pueden alertar a los administradores sobre cuándo y cómo los atacantes intentan penetrar en el sistema. La información sobre los tipos de ataques y su momento puede proporcionar información valiosa a los equipos de respuesta ante incidentes.
Al igual que los canarios utilizados para proteger a los mineros, los canarios desplegados para proteger las redes proporcionan alertas avanzadas a los usuarios, informándoles de los peligros potenciales. Cuando un canario inhaló gases venenosos en una mina, su desaparición alertó a los trabajadores y supervisores sobre los peligros de la mina. De manera similar, los canarios en su red envían mensajes a los administradores u otras personas cuando encuentran una amenaza.
