Canarios de credenciales crean un campo minado para los atacantes


Con casi la mitad de todas las infracciones que involucran a atacantes externos habilitados por credenciales robadas o falsas, las empresas de seguridad están impulsando un mecanismo de detección de alta fidelidad para tales intrusiones: canary tokens.

Los tokens canarios, un subconjunto de tokens de miel, son credenciales de acceso fabricadas, claves API y secretos de software program que, cuando se usan, activan una alerta de que alguien está intentando usar el secreto falso. Debido a que las credenciales no son reales, los trabajadores legítimos nunca las utilizarían, por lo que cualquier intento de acceder a un recurso mediante el token canario es una señal de compromiso de alta confianza.

La semana pasada, la empresa de gestión de secretos GitGuardian lanzó una versión de la tecnología, canariocomo un proyecto de código abierto en GitHub. El proyecto, adaptado a las credenciales de Amazon Website Services (AWS), está diseñado para brindar a los desarrolladores una herramienta fácil de usar para detectar ataques en su proceso de desarrollo de software package, dice Henri Hubert, desarrollador principal del equipo de secretos de GitGuardian.

«Puedes ponerlos en casi todas partes», dice. «El mejor lugar para colocarlos es en la canalización de CI/CD o en los artefactos utilizados en esa canalización, como las imágenes de Docker. Pero también puede colocarlos en sus repositorios privados y en su entorno regional. Puede colocarlos en casi cualquier lugar que está relacionado con el trabajo de sus desarrolladores».

Las credenciales son un objetivo popular de robo.
Las credenciales son un objetivo well known de robo. Fuente: Informe de investigaciones de violación de datos de 2022, Verizon

A medida que ha despegado el uso de los servicios en la nube y las API, los atacantes se han dirigido cada vez más a dicha infraestructura con credenciales robadas y tokens de API. La empresa promedio usa más de 15,000 API, triplicándose en el último año, mientras que los ataques maliciosos a esas API se han multiplicado por siete, según una investigación publicada en abril. Además, casi el 50% de todas las infracciones que no se deben a un mistake o uso indebido del usuario hacen uso de las credenciales, según el «Informe de investigaciones de infracciones de datos de 2022» (DBIR) de Verizon.

Tripwires ralentiza los ataques

Como era de esperar, más empresas están utilizando canary tokens para crear campos de minas digitales en los que los atacantes deben tener cuidado o ser atrapados. Al sembrar servidores de archivos, servidores de desarrollo y sistemas personales con archivos que contienen credenciales o enlaces que pueden actuar como trampas, las empresas hacen que el movimiento lateral dentro de sus sistemas sea mucho más peligroso para los atacantes, dice Haroon Meer, fundador y director ejecutivo de Thinkst, una consultora de ciberseguridad. que creó infraestructura propia para dispositivos y tokens canaryincluidos servidores, sensores y credenciales.

Sin embargo, los atacantes realmente no tienen otra opción: no pueden ignorar las posibles credenciales legítimas durante una intrusión, dice.

«Si encuentran las credenciales de AWS o las claves del clúster de Kubernetes de alguien, los atacantes tienen que intentarlo es muy difícil para ellos no usarlas», dice Meer. «Y si te notifican en el momento en que lo intentan, entonces decrease drásticamente la ventana de exposición porque no te enterarás meses después de que te hayan hecho todo».

A Meer de Thinkst le gusta señalar los comentarios de los probadores de penetración y los equipos rojos que destacan la utilidad de los tokens canarios. Los atacantes siempre tienen que adivinar cualquier caché de credenciales, claves API o secretos de software package que encuentren, y eso los ralentiza, tuiteó Shubham Shah, un cazador de errores, probador de penetración y director de tecnología en la empresa emergente de administración de superficie de ataque Assetnote.

«El concepto y el uso de canary tokens me ha hecho dudar mucho en usar las credenciales obtenidas durante un compromiso, en lugar de buscar medios alternativos para un objetivo final». sha dijo. «Si el objetivo es aumentar el tiempo que tardan los atacantes, las fichas canary funcionan bien».

de GitGuardian canario se centra en los servicios web de Amazon debido a la popularidad de la plataforma y de la plataforma de administración de infraestructura como código, Terraform. En su documento de mejores prácticas, Amazon destaca que el management de las claves de acceso de AWS equivale al command de todos los recursos de AWS.

«Cualquiera que tenga sus claves de acceso tiene el mismo nivel de acceso a sus recursos de AWS que usted», declaró Amazon en su documento «Mejores prácticas para administrar las claves de acceso de AWS». «En consecuencia, AWS hace todo lo posible para proteger sus claves de acceso y, de acuerdo con nuestro modelo de responsabilidad compartida, usted también debería hacerlo».

A todos les gustan los canarios

Empresas como Thinkst, GitGuardian y microsoft tienen como objetivo hacer que los tokens canary sean mucho más fáciles de implementar, a menudo en minutos.

Sin embargo, los defensores no son los únicos que encuentran usos para los canarios. Los atacantes también han comenzado a usar tokens canarios como una forma de detectar cuándo los defensores analizan su malware.

En un informe reciente de un ataque del grupo MuddyWater, vinculado a Irán, el grupo de inteligencia Talos de Cisco señaló el uso uncomplicated de tokens canarios. El malware inicial, un script de Visible Standard, envía dos solicitudes del mismo token canario para validar un compromiso. Si solo se detecta una única solicitud, lo que probablemente ocurriría durante la ejecución en un espacio aislado o durante el análisis, el malware no se ejecutará.

«Una verificación de tiempo razonable sobre la duración entre las solicitudes de token y la solicitud para descargar una carga útil puede indicar un análisis automatizado», afirmó el equipo de inteligencia de amenazas de Cisco. en un aviso. «Los sistemas de espacio aislado automatizados normalmente ejecutarían la macro maliciosa que genera las solicitudes de token».





Enlace a la noticia authentic