T1539: Кража сессионных куки

Злоумышленники могут украсть сессионные куки и использовать их для доступа к веб-приложениям или интернет-службам от имени легитимного пользователя без ввода учетных данных. Веб-приложения и службы часто используют сессионные куки в качестве токена аутентификации после того, как пользователь авторизовался на сайте.

Как правило, куки остаются в силе достаточно долго, даже если веб-приложение активно не используется. Куки могут находиться на диске или в памяти процесса браузера, а также могут быть обнаружены в сетевом трафике удаленных систем. Кроме того, другие приложения на целевом компьютере (например, использующие аутентификацию в облачных сервисах) могут хранить куки аутентификации в памяти. Сессионные куки могут использоваться для обхода некоторых протоколов многофакторной аутентификации.

Существует различное вредоносное ПО, целью которого являются куки браузеров в локальных системах. Злоумышленники также могут похищать куки, внедряя вредоносные сценарии JavaScript на веб-сайты или используя технику Выполнение с участием пользователя, когда жертву обманом побуждают запустить вредоносный сценарий JavaScript в браузере.

Существуют также фреймворки с открытым исходным кодом, такие как evilginx2 и Muraena, которые могут собирать сессионные куки через вредоносный прокси-сервер (например, с использованием техники "Злоумышленник посередине"); этот прокси-сервер может быть создан злоумышленником для использования в фишинговых кампаниях.

После того как злоумышленник завладеет действительным куки-файлом, он может использовать технику Сессионные куки для входа в соответствующее веб-приложение.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-2467: Access_To_Web_Browsers_Process: Признаки использования программ, обращающихся к памяти процессов браузеров Google Chrome, Microsoft Edge или Microsoft Edge WebView2. Это может свидетельствовать о попытке извлечь файлы cookie из памяти процессов с помощью утилиты типа CookieKatz mitre_attck_lateral_movement: PT-CR-1927: Start_Browser_Pivoting: Запущен браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника mitre_attck_lateral_movement: PT-CR-1928: Subrule_Browser_Remote_Debugging: Попытка запустить браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Обращение к процессуОписание

Отслеживайте попытки программ внедрить код в память процессов браузера или создать ее дамп.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте попытки получения доступа к сети или вычислительным ресурсам со стороны пользователей, в том числе путем предоставления учетных данных консоли управления облачной службой. Некоторые поставщики облачных услуг, включая AWS, отдельно фиксируют все попытки входа в консоль управления, записывая соответствующие события в журнале.

Меры противодействия

IDM1054НазваниеИзменение конфигурации ПООписание

Настройте браузеры или задачи на регулярное удаление постоянных куки.

Кроме того, минимизируйте время существования веб-куки, чтобы уменьшить эффект от похищения куки и заставить злоумышленников увеличить частоту попыток их кражи. Это даст защитникам дополнительные шансы на обнаружение. Например, используйте непостоянные куки, чтобы ограничить время пребывания идентификатора сессии в кэше веб-клиента, где злоумышленник может его получить.

IDM1032НазваниеМногофакторная аутентификацияОписание

Физический ключ второго фактора, использующий домен целевого входа в систему как часть протокола переговоров, предотвратит кражу сессионных куки через прокси-методы.

IDM1017НазваниеОбучение пользователейОписание

Научите пользователей определять признаки попыток фишинга, когда их просят ввести учетные данные на сайте, домен которого не соответствует приложению, в которое они входят. Кроме того, научите пользователей не запускать недоверенный JavaScript в браузере, например при копировании и вставке кода или перетаскивании букмарклетов.