T1539: Кража сессионных куки
Злоумышленники могут украсть сессионные куки и использовать их для доступа к веб-приложениям или интернет-службам от имени легитимного пользователя без ввода учетных данных. Веб-приложения и службы часто используют сессионные куки в качестве токена аутентификации после того, как пользователь авторизовался на сайте.
Как правило, куки остаются в силе достаточно долго, даже если веб-приложение активно не используется. Куки могут находиться на диске или в памяти процесса браузера, а также могут быть обнаружены в сетевом трафике удаленных систем. Кроме того, другие приложения на целевом компьютере (например, использующие аутентификацию в облачных сервисах) могут хранить куки аутентификации в памяти. Сессионные куки могут использоваться для обхода некоторых протоколов многофакторной аутентификации.
Существует различное вредоносное ПО, целью которого являются куки браузеров в локальных системах. Злоумышленники также могут похищать куки, внедряя вредоносные сценарии JavaScript на веб-сайты или используя технику Выполнение с участием пользователя, когда жертву обманом побуждают запустить вредоносный сценарий JavaScript в браузере.
Существуют также фреймворки с открытым исходным кодом, такие как evilginx2
и Muraena
, которые могут собирать сессионные куки через вредоносный прокси-сервер (например, с использованием техники "Злоумышленник посередине"); этот прокси-сервер может быть создан злоумышленником для использования в фишинговых кампаниях.
После того как злоумышленник завладеет действительным куки-файлом, он может использовать технику Сессионные куки для входа в соответствующее веб-приложение.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_cred_access: PT-CR-2467: Access_To_Web_Browsers_Process: Признаки использования программ, обращающихся к памяти процессов браузеров Google Chrome, Microsoft Edge или Microsoft Edge WebView2. Это может свидетельствовать о попытке извлечь файлы cookie из памяти процессов с помощью утилиты типа CookieKatz mitre_attck_lateral_movement: PT-CR-1927: Start_Browser_Pivoting: Запущен браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника mitre_attck_lateral_movement: PT-CR-1928: Subrule_Browser_Remote_Debugging: Попытка запустить браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Обращение к процессу | Описание | Отслеживайте попытки программ внедрить код в память процессов браузера или создать ее дамп. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте попытки получения доступа к сети или вычислительным ресурсам со стороны пользователей, в том числе путем предоставления учетных данных консоли управления облачной службой. Некоторые поставщики облачных услуг, включая AWS, отдельно фиксируют все попытки входа в консоль управления, записывая соответствующие события в журнале. |
---|
Меры противодействия
ID | M1054 | Название | Изменение конфигурации ПО | Описание | Настройте браузеры или задачи на регулярное удаление постоянных куки. Кроме того, минимизируйте время существования веб-куки, чтобы уменьшить эффект от похищения куки и заставить злоумышленников увеличить частоту попыток их кражи. Это даст защитникам дополнительные шансы на обнаружение. Например, используйте непостоянные куки, чтобы ограничить время пребывания идентификатора сессии в кэше веб-клиента, где злоумышленник может его получить. |
---|
ID | M1032 | Название | Многофакторная аутентификация | Описание | Физический ключ второго фактора, использующий домен целевого входа в систему как часть протокола переговоров, предотвратит кражу сессионных куки через прокси-методы. |
---|
ID | M1017 | Название | Обучение пользователей | Описание | Научите пользователей определять признаки попыток фишинга, когда их просят ввести учетные данные на сайте, домен которого не соответствует приложению, в которое они входят. Кроме того, научите пользователей не запускать недоверенный JavaScript в браузере, например при копировании и вставке кода или перетаскивании букмарклетов. |
---|