Honeypot canaries

Een honeypot canary is een nepbestand dat eruitziet als een gevoelige resource (AWS-credentials, SSH-key, .env). Geen legitiem proces leest die ooit. Zodra iets ze opent → kritisch alert.

Wat plaatst de agent

Standaard op Linux:

/root/.aws/credentials-backup
/root/.ssh/id_rsa.monsys-backup
/etc/monsys/.canary
/tmp/passwords-backup.txt

Op Windows:

C:\ProgramData\monsys\canary.txt
C:\ProgramData\aws\credentials.bak
C:\Windows\Temp\admin-creds.txt

De inhoud lijkt op echte credentials maar bevat duidelijk fictieve waarden (AKIAIOSFODNN7EXAMPLE). Wie ze gebruikt, krijgt geen toegang.

Detectie

• Linux — inotify watch op iedere canary. Read/write/delete event triggert een honeypot_event payload naar de hub.
• Windows — ReadDirectoryChangesW.

Wat te doen bij een trigger

1. Identificeer het process_name en process_pid in het alert.
2. Controleer het volledige proces via Inventory → Processes op de server-detailpagina.
3. Overweeg KillProcess of IsolateNetwork via Emergency Actions.
4. Maak een memorydump (MemoryDump) voordat je het proces stopt — IOC’s blijven bewaard.