Cyber Angriffe entdecken mit OpenCanary

Wenn man sich mit den digitalen Angriffen und Reaktionsempfehlungen beschäftigt ist man als Organisation mit einer kleinen IT Abteilung schnell überfordert.

Immer wieder liest man dann

  • Logdateien analysieren
  • Netzwerkverkehr überwachen
  • Intrusiondetection Software installieren

Alles ist richtig aber die Komplexität und die Kosten für solche Maßnahmen sind für kleine und mittelständige Unternehmen nicht zu stemmen.

Hier kann ich die Opensource Software Opencanary empfehlen. Für größere Organisationen bietet Thinkst Applied Research fertige Geräte mit einer Verwaltungssoftware zum Kauf an. Für kleine Organisationen oder Privatleute kann man sich diesen “Kanarienvogel” aber auch auf einem kleinen RaspberryPi oder in einer virtuelle Umgebung installieren.

Was leistet diese Software?

In essence, OpenCanary creates a network honeypot allowing you to catch hackers before they fully compromise your systems. As a technical definition, OpenCanary is a daemon that runs several canary versions of services that alerts when a service is (ab)used.

Man kann dann festlegen das man zum Beispiel einen FTP Server, einen Fileserver oder einen Datenbank simulieren möchte und wohin eine Alarmierung gesendet werden soll.

Wenn sich also ein Angreifer im Netzwerk umschaut wird er in der Regel versuchen weitere Services anzugreifen und das Netzwerk kennenzulernen. In vielen Fällen wird er dann versuchen sich an diesen Diensten anzumelden. Andere werden das Netzwerk scannen um offene Dienste zu finden.

nmap opencanary
Starting Nmap 7.80 ( https://nmap.org ) at 2022-02-07 19:46 CET
Nmap scan report for opencanary (192.168.1.21)
Host is up (0.019s latency).
rDNS record for 192.168.1.21: opencanary.lcl
Not shown: 997 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
5000/tcp open  upnp

Und sobald so ein Anmelde- oder Scanversuch auf diesen Opencanary Dienst trifft wird dieser eine Nachricht an die konfigurierten Benutzer gesendet. Die Nachricht ist natürlich etwas technisch und braucht noch etwas organisationsspezifische Massage.

In den meisten Fällen reicht das aber völlig aus. Wenn man so eine Meldung real bekommt dann wird man alles fallen lassen und sich damit beschäftigen.

Date: Mon, 07 Feb 2022 18:59:27 +0000
From: opencanary@internal-domain
To: admin
Subject: OpenCanary Alert

{"dst_host": "192.168.1.21", "dst_port": "21", "local_time": "2022-02-07 19:02:57.099794", "local_time_adjusted": "2022-02-07 19:02:57.100452", "logdata": {"DF": "",
[....] "src_host": "192.168.1.46",

Da hat also der Rechner mit der IP Adresse 192.168.1.46 auf den ftp Dienst zugegriffen. Und da wir wissen das dieser Opencanary Rechner eigentlich niemanden bekannt ist und keinen Dienst für die Organisation bereitstellt wissen wir das da etwas nicht richtig gelaufen ist.

Als nächstes müsste man versuchen herauszufinden was das für eine Rechner ist und ob das ein echter Angriff war oder ob da vielleicht nur jemand “aus Versehen” oder Spieltrieb versucht hat das Netz zu scannen.

Hier können Sie also ein kostenloses Werkzeug nutzen um eine Vielzahl von preiswerten Rechnern in ihren Netzwerken zu verteilen.

Opencanary