CanaryTokens

CanaryTokens是什么？

CanaryTokens是由Thinkst公司推出的一种免费轻量级的入侵检测工具。它提供了29种常见的蜜罐陷阱，包括 Windows 文件夹、运行指定程序、打开 PDF 文档、Word/Excel 文件、图片、二维码，以及网络蜜罐：MySQL、邮箱、AWS 证书、Log4shell 等。它的一个原理是：给你生成一个“代币”(Token)，将它放置在文件、服务、配置或系统中。一旦有人访问、打开或使用了这个 Token，就会立即触发告警，通知你可能存在的入侵或数据泄露。

CanaryTokens的主要功能

• 多样化的 Token 类型：支持 URL、DNS、AWS API Key、Azure 凭证、Kubeconfig、WireGuard 配置、Word/Excel/PDF 文档、MySQL dump、EXE/DLL 文件、Windows 文件夹、二维码、网站克隆检测、唯一邮箱地址、信用卡号、Log4Shell 检测等。
• 即时告警：当 Token 被触发时，会通过邮件或其他方式提醒你。
• 零成本部署：不需要复杂的基础设施，几乎“即插即用”。
• 隐蔽性强：攻击者根本想不到自己把CanaryToken触发了。

适用场景

• 数据泄露监控：在您有数据敏感的文件内容中加入一个Token。如果文件外泄并且被打开，你会立即接收到告警消息。
• 内部威胁检测：可以把Token放入同一个共享文件夹或者数据库监控是否存在内部威胁。
• 云与凭证安全：把假的API key或者是云凭证放在代码共享处，如果被滥用，会在第一时间内得到通知。
• 攻击追踪和钓鱼监测：将在URL、二维码、网站克隆 Token等，可以统计出追踪到攻击者的活动流程。
• 系统入侵检测：通过伪造的可执行文件、Windows 文件夹、敏感命令 Token，捕捉攻击者的横向移动或探索行为。

CanaryTokens的使用教程

1. 打开官网：先进入CanaryTokens官网，就能开始创建安全监控用的 Token。

2. 选择Token类型：可以选择合适的Token的类型，如URL/DNS、文档、云凭证、可执行程序、二维码、网站重定向等。（这里我们以监控邮箱为例）

3. 填写Token信息：输入一个接收告警的邮箱，还可以加上备注方便区分不同 Token。

4. 生成并下载你的token：点“Create my CanaryToken”按钮，出现生成的文件、链接、凭据等，保存一下。

5. 部署Token等待触发：把你的这个 Token 安装到一个”合适”的地方（可以是共享文件夹、代码库，甚至是邮件/网页）等待触发。一旦有人触碰到 Token，系统会立刻告警，并把触发 Token 的时间、触发 IP、User-Agent，等等发给你。