Как отследить цель с помощью Canary Token Tracking Links — нулевой байт

Канарские токены. это настраиваемые ссылки для отслеживания, которые помогают узнать, кто нажимает на ссылку и где она используется. Благодаря тому, что многие приложения получают предварительный просмотр URL для ссылок, размещенных в частных чатах, канарские токены могут даже позвонить домой, когда кто-то проверяет личный чат, не щелкая ссылку. Канарские токены бывают нескольких полезных типов и могут использоваться даже через сокращатели URL.

Что такое канарейка токен?

Канарский токен. это уникальная ссылка, предназначенная для обнаружения, когда кто-то щелкает по нему, делится им или каким-либо образом взаимодействует с ним. Вы можете думать об этом как о путанице, оставленной защитниками, чтобы сообщить им, когда кто-то ковыряется где-то, что он не должен быть в вашей сети. Идея состоит в том, чтобы замаскировать злоумышленников на доступ к информации, чтобы оставить токены в вашей сети, чтобы злоумышленники отправляли поток уведомлений, когда они начинают делать то, что не должны.

Honeypots, honeytokens и другие типы ловушек для злоумышленников. не новая идея. Honeytokens используют поддельные учетные данные для входа в систему, которые хранятся в незащищенном файле в сети, побуждая злоумышленников пытаться их использовать. Синяя команда, следящая за этими поддельными учетными данными, может обнаружить любое время, когда кто-то пытается войти в службу в сети, используя их, предупреждая их, что злоумышленник получил доступ.

Honeypot. более сложный способ отловить злоумышленников, создавая поддельные системы для атаки, пытаясь узнать как можно больше об атакующем. Honeypots попытается заставить злоумышленника использовать любое вредоносное ПО или тактику, которую они используют, чтобы использовать систему в фальшивой среде, которая не представляет риска. Заставив хакера противостоять фальшивой сети, защитники могут узнать больше о том, кто стоит за атакой и какие инструменты используют хакеры.

Канарские жетоны разработаны так, чтобы их мог использовать каждый. В зависимости от того, как вы их развертываете, они могут определять, когда кто-то щелкает ссылку, открывает электронное письмо, делится файлом или иным образом взаимодействует со ссылкой отслеживания.

Skype Отслеживание слабого пользователя с помощью канарских токенов

Уникальным свойством канарских токенов является то, что вашей цели не нужно нажимать на ссылку, чтобы активировать токен. В инциденте, о котором сообщил Bellingcat, тестер проникновения обнаружил, что его фишинговый сервер был обнаружен после того, как он заметил подключенный к нему сервер Skype. Он узнал, что каждый раз, когда ссылка передается определенным частным мессенджерам, создается предварительный просмотр ссылки для отображения эскиза веб-страницы. Это означает, что сервер Skype фактически подключается к URL-адресу токена Canary, что дает нам результат, подобный приведенному ниже.

В ходе тестирования я обнаружил, что Slack messenger фактически запускает оповещение каждый раз, когда участник чата подключается к каналу, на котором открыт токен Canary. Это означает, что, передав ссылку в групповом чате множества разных мессенджеров, вы можете отслеживать, когда кто-либо new присоединяется к чату, даже если никто не нажимает на ссылку. Хотя это довольно увлекательно, ссылка, созданная для канарских токенов, все еще выглядит несколько подозрительно.

Хотя Slack и Skype были одними из худших нарушителей, этот прием работает и в некоторых других типах приложений для обмена мгновенными сообщениями.

Сокращенные URL

Чтобы обойти тот факт, что канарские токены очень явно ссылаются на веб-сайт, полный информации о том, чем они являются, лучше всего скрыть ссылку как можно больше. Один из способов скрыть URL-адреса, популярные среди хакеров. использовать сокращатели URL-адресов, такие как Goo.gl (который закрывается навсегда 30 марта 2019 года) или Bit.ly. Эти сервисы создают туннель от сокращенного URL-адреса до более длинного, что позволяет пользователям легче делиться длинными URL-адресами.

Мы можем злоупотреблять ими, используя сокращатель URL, чтобы создать менее подозрительную ссылку для включения в чат Slack или Skype. Если у вас есть собственный веб-домен, вы также можете настроить маршрут веб-домена по URL-адресу токена Canary, но для тех, кто просто хочет попробовать это, Bit.ly работает отлично. Во время тестирования я смог показать, что канарские токены, скрытые за укороченными URL-адресами, работают почти так же, как размещение необработанной ссылки.

Что вам нужно

Канарские токены можно использовать с любой платформы с веб-браузером, включая Windows, macOS и Linux. Вам понадобится веб-браузер, способный перейти на сайт токенов Canary для генерации ссылки, а затем устройство, которое вы хотите отслеживать.

Если вы хотите проверить способность отслеживать, когда ваш токен Canary используется совместно в мессенджере, уязвимом для создания предварительных просмотров URL, вы можете подключиться к другому устройству через Slack, Skype, WhatsApp, Facebook Messenger, Wire или Apple iMessages.

Наконец, вам понадобится адрес электронной почты, чтобы получать уведомления о канарских токенах. Если вы не хотите этого делать, вы все равно можете использовать веб-интерфейс, но не потеряйте ссылку, иначе вы не сможете получить доступ к результатам.

Шаг 1: Создайте Канарский токен

На веб-сайте Canary token вы можете сгенерировать токен Canary, нажав «Выбрать свой токен» и выбрав тип, который вы хотите создать.

Как отследить цель с помощью Canary Token Tracking Links. нулевой байт

Похожие записи

Отследить Посылку Почта России По Номеру Телефона... Государственное предприятие «Почта России» (ФГУП) было учреждено постановлением правительства от 5 сентября 2002 года. Предприятие было оф...
91 Компьютерная помощь и ремонт компьютеров у метр... Компьютерная помощь и ремонт компьютеров у метро «Беговая» Специалисты нашего центра компьютерной помощи, расположенного у метро «Беговая» всегда гот...
Отследить Мужа По Номеру Телефона Без Согласия... Фактически у каждого оператора мобильной связи в Рф есть услуга геолокации с схожим механизмом работы. Сервис такового рода у «большой тройки&ra...

Самый простой тип создаваемой ссылки. это «веб-ошибка / URL-токен», который будет вызывать оповещение, когда кто-то нажимает на ссылку или делится ею. Он предназначен для использования в качестве ссылки на веб-сайт, но есть и несколько других вариантов на выбор.

«DNS-токен» создает оповещение всякий раз, когда запрашивается URL-адрес, независимо от того, действительно ли загружена веб-страница. «Пользовательская ошибка веб-изображения» действует как изображение, которое можно загрузить как часть веб-страницы или электронной почты. Добавив веб-ошибку на общедоступный веб-сайт или электронную почту, вы можете определить, когда кто-то открывает электронную почту или веб-страницу, наблюдая за тем, когда запрашивается изображение.

Другие доступные токены Canary. это файлы, которые возвращаются при открытии или просмотре, доступны как документы Word, файлы PDF или форм-фактор папки Windows. Для нашей первой демонстрации нажмите «Web bug / URL token».

Затем укажите адрес электронной почты, с которого вы хотите получать уведомления. Вы также можете пропустить это и просто настроить его через веб-интерфейс, но если вы потеряете ссылку, вам будет очень трудно взаимодействовать с созданными вами токенами Canary.

Как отследить цель с помощью Canary Token Tracking Links. нулевой байт

Наконец, нажмите «Создать мой Canarytoken», чтобы создать ссылку.

Как отследить цель с помощью Canary Token Tracking Links. нулевой байт

Шаг 2: Нажмите на ссылку

Теперь, когда мы создали токен Canary, мы можем взглянуть на портал управления. Нажмите «Управление этим токеном» в правом верхнем углу, и вы будете перенаправлены на страницу, которая позволит вам контролировать и контролировать Канарский токен.

Здесь вы можете изменить настройки, чтобы изменить получение уведомлений по электронной почте, а также включить или отключить сканер, который пытается узнать больше о браузере, который использует посетитель по ссылке. Чтобы увидеть, как это выглядит, когда кто-то подключается, мы можем щелкнуть ссылку, которую мы создали, которая находится здесь.

Когда мы нажимаем на ссылку, появляется пустая веб-страница. Даже если на странице ничего не загружено, мы можем щелкнуть правой кнопкой мыши на веб-сайте и нажать «Проверить», чтобы увидеть скрипты, которые были загружены на страницу. Здесь мы видим некоторый JavaScript, работающий для идентификации устройства, которое подключается к странице.

Как отследить цель с помощью Canary Token Tracking Links. нулевой байт

Возвращаясь к панели управления токенами, мы можем увидеть подробную информацию об устройстве, которое только что получило доступ к ссылке. Здесь мы можем видеть мое общее местоположение, информацию о моем браузере и компьютере и даже мой внутренний IP-адрес в сети.

Шаг 3: прятаться от птицы с помощью Chrome Extensions

Несмотря на то, что отображаемое количество информации вызывает тревогу, мы можем попытаться обойти способ обнаружения этой информации токенами Канарских островов. С одной стороны, мы можем попробовать изменить наш пользовательский агент с расширением Chrome, что позволяет нам притворяться другим типом устройства. Хотя это не скрывает всех деталей нашего устройства, оно может затруднить обнаружение того, какую систему мы используем.

В этом примере я установил свой пользовательский агент на iPod.

Как отследить цель с помощью Canary Token Tracking Links. нулевой байт

Несмотря на то, что это скрывало тип браузера, который я использую, токен Canary по-прежнему может видеть мой IP-адрес и приблизительно то, где я нахожусь. Чтобы перейти на следующий уровень, мы можем попытаться спрятаться от токена Канары, используя VPN. В этом примере я использовал расширение VPN и Chrome, чтобы более эффективно скрывать используемую систему и мое местоположение. Канарский жетон считает меня паутиной Yahoo из Хельсингборга, Швеция.

Как отследить цель с помощью Canary Token Tracking Links. нулевой байт

В то время как другая информация все еще может быть утечка, существуют инструменты, которые можно спрятать от того, чтобы быть точно идентифицированным канарейским жетоном

Шаг 4: Используйте URL Shorteners

Еще один способ использования Канарского токена. сократить его с помощью URL-адреса. Вы можете использовать такие сервисы, как Bit.ly или Goo.gl, чтобы скрыть реальный URL-адрес, который в большинстве случаев не меняет поведение ссылки при совместном использовании в онлайн-чате. Для этого вы можете перейти на Google URL shortner или Bitly, чтобы сократить ссылку. Как упоминалось ранее, служба сокращения URL-адресов Google будет закрыта 30 марта 2019 года.

После добавления ссылки токена Canary в Bit.ly вы можете использовать сокращенную ссылку так же, как и оригинал. Часто эта укороченная ссылка вызывает меньше подозрений, чем сверхдлинный URL-адрес канарского токена.

Шаг 5: просмотр поведения с посланниками

Похожие записи

Отследить Посылку Почта России По Номеру Телефона... Государственное предприятие «Почта России» (ФГУП) было учреждено постановлением правительства от 5 сентября 2002 года. Предприятие было оф...
Как Найти Айфон С Помощью Другого Айфона... Случаем потерянный либо украденный iPhone можно отыскать при помощи интегрированных в устройство функций либо особых приложений. При этом сделать это ...
91 Компьютерная помощь и ремонт компьютеров у метр... Компьютерная помощь и ремонт компьютеров у метро «Беговая» Специалисты нашего центра компьютерной помощи, расположенного у метро «Беговая» всегда гот...

Интересным свойством канарских токенов является то, что они могут предупреждать вас, когда кто-то проверяет приватный чат. Каждый раз, когда кто-то входит в сервис, такой как Slack, предварительный просмотр URL услужливо генерируется Slack. Это означает, что если вы добавите токен Canary в канал Slack, вы сможете получать обновления в режиме реального времени всякий раз, когда кто-то открывает чат, даже если он не нажимает на ссылку.

Такое поведение также часто работает через укороченные URL-адреса, позволяя вам отбрасывать ссылки, которые автоматически сообщают обо всех, кто их просматривает, без подозрения.

На портале управления токеном Canary вы должны увидеть попадания из Slack или Skype, которые пытаются просмотреть URL-адрес, если вы разместили его в сыром виде, или развернуть ссылку, если вы разместили сокращенную версию.

Как отследить цель с помощью Canary Token Tracking Links. нулевой байт

Вы можете обнаружить, что это поведение будет работать в Slack, Skype, WhatsApp, Facebook Messenger, Wire или iMessage. Хотя вы получите гораздо больше информации о цели, если они перейдут по ссылке, даже размещение ссылки в конфиденциальном чате может все же дать вам представление о том, когда кто-то видел или обсуждает ссылку.

Шаг 6: Используйте другие типы канареек

Хотя мы исследовали токен Web Bug Canary, есть ряд других полезных токенов, которые мы можем попробовать. Чтобы увидеть, как они работают, давайте попробуем токен файла PDF.

Перейдите на сайт токенов Canary и создайте «Adobe Reader PDF Document». Введите свой адрес электронной почты и примечание, чтобы напомнить вам, для чего нужен токен, и загрузите файл PDF.

Как отследить цель с помощью Canary Token Tracking Links. нулевой байт

Есть несколько хороших рекомендаций о том, как использовать этот токен, включенный в сайт, но в этом случае мы посмотрим, как токен Canary может обойти выбор пользователя, чтобы позвонить домой.

В системе MacOS открытие PDF-файла в Adobe приводит к следующему предупреждению. Чтобы сыграть роль заинтересованной цели, я нажал «Блокировать», чтобы токен Канарских островов не обнаружил, что я открыл файл PDF.

Как отследить цель с помощью Canary Token Tracking Links. нулевой байт

К сожалению, не имеет значения, что я сказал Adobe «заблокировать» сайт, потому что он уже подключен! Adobe продолжила пинговать сервер токенов Canary еще до того, как отправила нам предупреждение, означающее, что на самом деле не имеет значения, что мы нажали «заблокировать». Злоумышленник все еще может видеть, что я открыл документ, несмотря на мои усилия по его предотвращению.

Как отследить цель с помощью Canary Token Tracking Links. нулевой байт

Есть несколько творческих способов использовать эти токены для обнаружения действий пользователя, это только начало!

Канарские жетоны облегчают отслеживание

Если вы хотите проявить творческий подход с помощью токенов Canary, нет никаких ограничений на способы их встраивания для обнаружения подозрительного поведения. Популярное предложение. заставить скрипт запуска запрашивать URL-адрес при входе пользователя в систему, уведомляя вас каждый раз при доступе к компьютеру вместе с IP-адресом сети, к которой он подключен.

Хотя от этих методов отслеживания можно спрятаться, это может быть сложно. Это делает Canary токены гибкими, простыми в развертывании решений для отслеживания со ссылками. Если вас не устраивает такой вид отслеживания, вы должны знать, что рекламодатели и другие онлайн-компании регулярно используют эти и даже более сложные тактики для отслеживания клиентов.

Надеюсь, вам понравилось это руководство по созданию и использованию трекинговых ссылок! Если у вас есть какие-либо вопросы об этом руководстве по канарским токенам или если у вас есть комментарий, не стесняйтесь задавать его ниже или обратиться ко мне в Twitter @KodyKinzie.

Похожие записи

Отследить Посылку Почта России По Номеру Телефона... Государственное предприятие «Почта России» (ФГУП) было учреждено постановлением правительства от 5 сентября 2002 года. Предприятие было оф...
Отследить Мужа По Номеру Телефона Без Согласия... Фактически у каждого оператора мобильной связи в Рф есть услуга геолокации с схожим механизмом работы. Сервис такового рода у «большой тройки&ra...
Как незаметно понюхать пакеты данных Wi-Fi с помощ... Если вы хотите начать прослушивать сети Wi-Fi, вам обычно нужно начинать с беспроводного сетевого адаптера. Но благодаря библиотеке сниффинга Wi-Fi, н...