Техника на mitre.org

T1550.004: Сессионные куки

Злоумышленники могут использовать украденные сессионные куки для аутентификации в веб-приложениях и сервисах. Эта техника позволяет обойти некоторые протоколы многофакторной аутентификации, так как пользователь уже аутентифицирован.

Веб-приложения, в том числе облачные сервисы, обычно используют сессионные куки, которые создаются после аутентификации пользователя, чтобы исключить повторную передачу учетных данных и частую аутентификацию. Как правило, куки остаются в силе достаточно долго, даже если веб-приложение активно не используется. После получения файла куки с помощью таких техник, как Кража сессионных куки или Веб-куки, злоумышленник может импортировать его в подконтрольный ему браузер и пользоваться сайтом или приложением от имени пользователя в течение времени жизни сессионного куки. Получив доступ к сайту, злоумышленник может просматривать конфиденциальную информацию, читать электронную почту или выполнять другие действия, пользуясь доступными владельцу учетной записи правами.

Известны случаи, когда вредоносное ПО целенаправленно перехватывало сессионные куки для обхода механизмов многофакторной аутентификации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_lateral_movement: PT-CR-1927: Start_Browser_Pivoting: Запущен браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника mitre_attck_lateral_movement: PT-CR-1928: Subrule_Browser_Remote_Debugging: Попытка запустить браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника

Способы обнаружения

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут содержать контекстные данные об аутентификации пользователя в веб-приложениях, в том числе в облачных службах. Эта информация вкупе с событиями использования учетных данных для веб-ресурсов позволит обнаружить нетипичные для корпоративной среды события аутентификации.

ID	DS0006	Источник и компонент данных	Учетные данные для веб-ресурсов: Использование учетных данных для веб-ресурсов	Описание	Отслеживайте нетипичные попытки доступа к веб-сайтам и облачным приложениям, когда один и тот же пользователь подключается из разных мест или с разных устройств, которые не соответствуют ожидаемым конфигурациям.

ID	Источник и компонент данных	Описание
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут содержать контекстные данные об аутентификации пользователя в веб-приложениях, в том числе в облачных службах. Эта информация вкупе с событиями использования учетных данных для веб-ресурсов позволит обнаружить нетипичные для корпоративной среды события аутентификации.
DS0006	Учетные данные для веб-ресурсов: Использование учетных данных для веб-ресурсов	Отслеживайте нетипичные попытки доступа к веб-сайтам и облачным приложениям, когда один и тот же пользователь подключается из разных мест или с разных устройств, которые не соответствуют ожидаемым конфигурациям.

Меры противодействия

ID	M1054	Название	Изменение конфигурации ПО	Описание	Настройте браузеры или задачи на регулярное удаление постоянных куки.

ID	Название	Описание
M1054	Изменение конфигурации ПО	Настройте браузеры или задачи на регулярное удаление постоянных куки.