Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Threat Detection Glossar

Canary Token - Tripwire für frühe Angriffserkennung

Canary Tokens sind unsichtbare digitale Fallen (Tripwires) die sofort Alarm schlagen wenn ein Angreifer sie berührt. Typen: URL-Token (eingebettet in Dokumente), DNS-Token, AWS-Key-Token, Excel-Token. Erkennung von: Insider Threats, Dokumenten-Exfiltration, Credential-Diebstahl, Netzwerk-Recon. Kostenlos via canarytokens.org (Thinkst Canary). Einsatz in Honeydocs, Active Directory, Kubernetes Secrets.

Canary Tokens sind digitale Tripwires - versteckte Marker die einen sofortigen Alert auslösen wenn ein Angreifer sie berührt oder nutzt. Sie sind ein zentrales Werkzeug der Deception-Technologie: Statt auf bekannte Angriffssignaturen zu warten, wird der Angreifer durch einen verlockenden Köder zur Selbstentlarvung gebracht. Der Begriff kommt von den Kanarienvögeln die Bergleute vor giftigen Gasen warnten.

Wie Canary Tokens funktionieren

Token-Erstellung

  • Admin erstellt Token bei canarytokens.org (kostenlos)
  • Erhält: einzigartigen Tracking-URL oder Ressource
  • Bettet Token in attraktives Ziel ein (Datei, Credential, etc.)

Token-Aktivierung (Angreifer berührt Token)

  • URL aufgerufen → HTTP-Request an Canary-Server
  • DNS-Abfrage → DNS-Request sichtbar
  • AWS Key genutzt → API-Call gefunden

Sofort-Benachrichtigung

  • Alert via E-Mail, Slack, Webhook
  • Enthält: Timestamp, IP-Adresse, User-Agent, Geo-Location
  • Keine False Positives: niemand öffnet diese Datei legitim!

Vorteil gegenüber Honeypot

  • Kein separates System nötig
  • In bestehende Infrastruktur eingebettet
  • Sehr geringer Aufwand (Minuten zum Setup)
  • Zero False Positive Rate (bei richtiger Platzierung)

Token-Typen und Einsatzszenarien

1. Web-/URL-Token (häufigste Variante)

  • Unsichtbarer 1x1 Pixel-Link in Dokument eingebettet
  • Bei Öffnung: HTTP-Request → Alert

Einsatz:

  • “Gehaltsübersicht_Vertraulich.docx” auf NAS-Share
  • Wenn Insider das Dokument öffnet → sofortiger Alert
  • Enthält IP, Zeitstempel → Täter identifizierbar

2. DNS-Token

  • Domain die nur im Canary-Token vorkommt
  • Bei DNS-Auflösung → Alert (egal von wo!)

Einsatz:

  • Hostname in Netzwerk-Config die nie kontaktiert werden sollte
  • Wenn Recon-Tool den Hostname auflöst → Angreifer im Netz

3. AWS-Access-Key-Token

  • Gefälschter AWS-Key (sieht echt aus!)
  • Format: AKIA[…] (gültig aussehendes Format)
  • Canarytokens.org: AWS-Keys werden bei API-Call erkannt

Einsatz:

  • In Code-Repository: “test-credentials.env”
  • In Entwickler-Laptop: ~/.aws/credentials als Honeycredential
  • Angreifer stiehlt Key → nutzt ihn → sofortiger Alert

4. Excel/Word-Token

  • Makro oder externe Referenz in Office-Dokument
  • Beim Öffnen: HTTP-Request (kein Makro nötig! via DDEAUTO)

Einsatz:

  • “Q4-Zahlen_Vorstand.xlsx” auf gefährdetem Share
  • HR: “Stellenabbau_Liste.xlsx”

5. Active Directory (AD)-Token

  • Honeypot-User in AD: “svc-backup-admin”
  • Kerberoastable (SPN gesetzt)
  • Wenn jemand Kerberos-Ticket anfordert → Alert!
# AD-Honeypot-User anlegen
New-ADUser -Name "svc-backup-old" `
  -ServicePrincipalNames "HTTP/backup-srv.internal" `
  -PasswordNeverExpires $true
# Canary: Wenn dieser User kerberoastet wird → Alarm

6. Kubernetes Secret-Token

  • Fake Kubernetes Secret mit echtem AWS-Key-Format
  • Wenn jemand den Secret-Wert nutzt → AWS-Alert
apiVersion: v1
kind: Secret
metadata:
  name: legacy-aws-credentials   # verlockend!
data:
  AWS_ACCESS_KEY_ID: QUtJQVtDQU5BUllUT0tFTl0=  # Canary Key

7. PDF-Token

  • Eingebettete URL in PDF (URL-Feld in Formular oder Link)
  • Bei PDF-Öffnung mit Reader → HTTP-Request

8. MySQL-Honeypot-Credentials

  • Fake DB-Verbindungsdaten in Konfigurationsdatei
  • SQL-Login-Versuch gegen Canary-Server → Alert

Implementierung mit canarytokens.org

Schnellstart (kostenlos)

  1. Token erstellen:

    • https://canarytokens.org/generate
    • Typ wählen: “Web bug / URL token”
    • E-Mail für Alerts eingeben
    • Token-Memo: “NAS Share - Gehaltsübersicht”
    • Download: fertige Datei mit eingebettetem Token

  2. Auslösung testen:

# Token-URL direkt aufrufen
curl "https://canarytokens.org/[TOKEN]"
# → Sofortiger E-Mail-Alert!
  1. Selbst-gehostet (Thinkst Canary Open Source):
# Docker-Setup
git clone https://github.com/thinkst/canarytokens
cd canarytokens
docker-compose up -d

# Konfiguration (.env):
# CANARY_DOMAINS=canary.internal
# ALERT_EMAIL=security@example.com

Token in Word-Dokument einbetten

# PowerShell - externes Bild (Canary-URL) in DOCX
$doc = New-Object -ComObject Word.Application
$document = $doc.Documents.Open("C:\template.docx")
$shape = $document.InlineShapes.AddPicture(
  "http://canarytokens.org/[TOKEN].png",
  $false, $true)
$shape.Width = 1   # 1px - unsichtbar!
$shape.Height = 1
$document.Save()

Alert-Analyse und Response

Alert-Inhalt (canarytokens.org)

Timestamp: 2026-03-04 14:23:07 UTC
Token:     Gehaltsübersicht_2026 (Excel)
Source IP: 192.168.1.147
User-Agent: Mozilla/5.0 (Windows NT 10.0...)
Geo:       Germany, Gelsenkirchen

Sofort-Response

  1. IP-Adresse intern auflösen:
# DHCP-Log prüfen
grep "192.168.1.147" /var/log/dhcpd.log | tail -20
# → "DHCP-Lease: 14:22:50 - LAPTOP-MUELLER-CW"
  1. AD-Account ermitteln:
# Windows Security Log 4624 (Login) für diese IP
Get-WinEvent -FilterHashtable @{
  LogName='Security'; Id=4624
} | Where SubjectUserName -like "*"
  1. Incident Response einleiten:
    • Account temporär sperren
    • Forensische Kopie des Laptops
    • HR und Rechtsabteilung informieren (Insider Threat!)

Canary-Alert via Slack-Webhook

{
  "channel": "#security-alerts",
  "text": "CANARY TRIGGERED: Gehaltsübersicht_2026.xlsx",
  "attachments": [{
    "color": "danger",
    "fields": [
      {"title": "Source IP", "value": "192.168.1.147"},
      {"title": "Time", "value": "2026-03-04 14:23:07 UTC"},
      {"title": "User-Agent", "value": "Chrome/120 Windows"}
    ]
  }]
}

Strategische Token-Platzierung

Netzwerk-Recon-Erkennung

  • DNS-Canary für nicht-existente Server: “backup-old.internal”
  • Wenn Angreifer nmap/BloodHound läuft → DNS-Auflösung → Alert
  • Honeypot-Admin-Share: \\server\C$\passwords_old

Credential-Diebstahl-Erkennung

  • Fake .aws/credentials in Standard-Pfad
  • KeePass-Datei mit Canary-URL als Eintrag
  • Chrome-Passwortdatei mit gefälschten Credentials

Lateral Movement-Erkennung

  • Canary-User in AD (Kerberoastable)
  • Fake Admin-Credential in SYSVOL
  • Honeypot-RDP-Session auf nicht-genutztem Server

Dokumenten-Exfiltration

  • “Kundenliste_Komplett.xlsx” (mit Canary)
  • “Vertrag_Gehalt_GF.pdf” (mit Canary)
  • “M&A_Intern_Vertraulich.docx” (mit Canary)
  • Jede dieser Dateien triggert bei Öffnung

Return on Investment

  • Setup-Zeit: 5-10 Minuten pro Token
  • Kosten: kostenlos (canarytokens.org)
  • False Positive Rate: ~0% (bei korrekter Platzierung)
  • Erkennungsrate: sehr hoch (Angreifer gierig auf “leckere” Dateien)

AWARE7 Leistungen zum Thema

Penetrationstest ISO 27001 Beratung

Ausführlicher Wiki-Artikel

Incident Response

9 Min. Lesezeit

Network Detection and Response (NDR): Bedrohungserkennung im Netzwerk

Threat Intelligence: Angreifer verstehen bevor sie angreifen

11 min Lesezeit

Verwandte Begriffe

Deception Technology (Honeypot / Honeynet) Honeypot Insider Threat Threat Hunting
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung