T1185: Перехват сессии браузера

Злоумышленники могут использовать уязвимости и функциональные возможности браузеров для изменения отображаемого содержимого, влияния на поведение пользователя, а также получения информации с помощью различных техник перехвата сессий браузеров.

В качестве примера можно привести ситуацию, когда злоумышленник внедряет в браузер программное обеспечение, позволяющее ему завладеть куки-файлами, HTTP-сессиями и клиентскими SSL-сертификатами пользователя, а затем использовать браузер для проникновения во внутреннюю сеть с авторизованным доступом. Для выполнения таких действий из браузера могут потребоваться особые разрешения для процессов, например SeDebugPrivilege, и (или) высокий уровень целостности (администраторские права).

Другой пример — перенаправление браузерного трафика злоумышленника через браузер пользователя с помощью прокси-сервера. При этом трафик пользователя никак не меняется, а прокси-соединение может быть разорвано сразу после закрытия браузера. Злоумышленник приобретает контекст безопасности того процесса браузера, в который внедряется прокси-сервер. Браузеры обычно создают новый процесс для каждой открытой вкладки, при этом разрешения и сертификаты разделяются соответствующим образом. Таким образом, злоумышленник потенциально может перейти к любому ресурсу внутренней сети (например, репозиторию SharePoint или веб-почте), если этот ресурс доступен через браузер с достаточными разрешениями. Кроме того, изменение контекста безопасности с помощью браузера может позволить обойти защиту на основе двухфакторной аутентификации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_lateral_movement: PT-CR-1927: Start_Browser_Pivoting: Запущен браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника mitre_attck_lateral_movement: PT-CR-1928: Subrule_Browser_Remote_Debugging: Попытка запустить браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Изменения в процессеОписание

Обнаружить эту технику довольно сложно, так как злоумышленники могут маскировать свой трафик под обычный. Отслеживайте внедрение кода в процессы браузерных приложений.

IDDS0009Источник и компонент данныхПроцесс: Обращение к процессуОписание

Обнаружить эту технику довольно сложно, так как злоумышленники могут маскировать свой трафик под обычный. Отслеживайте внедрение кода в процессы браузерных приложений.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

С помощью журналов аутентификации можно проводить аудит попыток входа в конкретные сетевые приложения, но отличить вредоносные попытки входа от легитимных может оказаться непросто, если деятельность соответствует ожидаемой.

Меры противодействия

IDM1017НазваниеОбучение пользователейОписание

Регулярно закрывайте все сеансы браузера, когда они больше не используются.

IDM1018НазваниеУправление учетными записямиОписание

Поскольку проникновение с помощью браузера запускается с помощью высоконадежного процесса, то ограничение прав пользователей, возможностей повышения привилегий и обхода контроля учетных записей может ограничить уязвимость к этой технике.