T1185: Перехват сессии браузера
Злоумышленники могут использовать уязвимости и функциональные возможности браузеров для изменения отображаемого содержимого, влияния на поведение пользователя, а также получения информации с помощью различных техник перехвата сессий браузеров.
В качестве примера можно привести ситуацию, когда злоумышленник внедряет в браузер программное обеспечение, позволяющее ему завладеть куки-файлами, HTTP-сессиями и клиентскими SSL-сертификатами пользователя, а затем использовать браузер для проникновения во внутреннюю сеть с авторизованным доступом. Для выполнения таких действий из браузера могут потребоваться особые разрешения для процессов, например SeDebugPrivilege, и (или) высокий уровень целостности (администраторские права).
Другой пример — перенаправление браузерного трафика злоумышленника через браузер пользователя с помощью прокси-сервера. При этом трафик пользователя никак не меняется, а прокси-соединение может быть разорвано сразу после закрытия браузера. Злоумышленник приобретает контекст безопасности того процесса браузера, в который внедряется прокси-сервер. Браузеры обычно создают новый процесс для каждой открытой вкладки, при этом разрешения и сертификаты разделяются соответствующим образом. Таким образом, злоумышленник потенциально может перейти к любому ресурсу внутренней сети (например, репозиторию SharePoint или веб-почте), если этот ресурс доступен через браузер с достаточными разрешениями. Кроме того, изменение контекста безопасности с помощью браузера может позволить обойти защиту на основе двухфакторной аутентификации.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_lateral_movement: PT-CR-1927: Start_Browser_Pivoting: Запущен браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника mitre_attck_lateral_movement: PT-CR-1928: Subrule_Browser_Remote_Debugging: Попытка запустить браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника hacking_tools: PT-CR-2600: Cobalt_Strike_Browserpivot: С помощью маяка Cobalt Strike на узле жертвы выполнена команда "browserpivot", которая позволяет превратить браузер Internet Explorer (MS Edge) в прокси
Способы обнаружения
| ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | С помощью журналов аутентификации можно проводить аудит попыток входа в конкретные сетевые приложения, но отличить вредоносные попытки входа от легитимных может оказаться непросто, если деятельность соответствует ожидаемой. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Обращение к процессу | Описание | Обнаружить эту технику довольно сложно, так как злоумышленники могут маскировать свой трафик под обычный. Отслеживайте внедрение кода в процессы браузерных приложений. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Изменения в процессе | Описание | Обнаружить эту технику довольно сложно, так как злоумышленники могут маскировать свой трафик под обычный. Отслеживайте внедрение кода в процессы браузерных приложений. |
|---|
Меры противодействия
| ID | M1017 | Название | Обучение пользователей | Описание | Регулярно закрывайте все сеансы браузера, когда они больше не используются. |
|---|
| ID | M1018 | Название | Управление учетными записями | Описание | Поскольку проникновение с помощью браузера запускается с помощью высоконадежного процесса, то ограничение прав пользователей, возможностей повышения привилегий и обхода контроля учетных записей может ограничить уязвимость к этой технике. |
|---|