MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1550.004: Сессионные куки

Злоумышленники могут использовать украденные сессионные куки для аутентификации в веб-приложениях и сервисах. Эта техника позволяет обойти некоторые протоколы многофакторной аутентификации, так как пользователь уже аутентифицирован.

Веб-приложения, в том числе облачные сервисы, обычно используют сессионные куки, которые создаются после аутентификации пользователя, чтобы исключить повторную передачу учетных данных и частую аутентификацию. Как правило, куки остаются в силе достаточно долго, даже если веб-приложение активно не используется. После получения файла куки с помощью таких техник, как Кража сессионных куки или Веб-куки, злоумышленник может импортировать его в подконтрольный ему браузер и пользоваться сайтом или приложением от имени пользователя в течение времени жизни сессионного куки. Получив доступ к сайту, злоумышленник может просматривать конфиденциальную информацию, читать электронную почту или выполнять другие действия, пользуясь доступными владельцу учетной записи правами.

Известны случаи, когда вредоносное ПО целенаправленно перехватывало сессионные куки для обхода механизмов многофакторной аутентификации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_lateral_movement: PT-CR-1927: Start_Browser_Pivoting: Запущен браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника
mitre_attck_lateral_movement: PT-CR-1928: Subrule_Browser_Remote_Debugging: Попытка запустить браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника

Способы обнаружения

IDDS0006Источник и компонент данныхУчетные данные для веб-ресурсов: Использование учетных данных для веб-ресурсовОписание

Monitor for anomalous access of websites and cloud-based applications by the same user in different locations or by different systems that do not match expected configurations.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Monitor for third-party application logging, messaging, and/or other service artifacts that provide context of user authentication to web applications, including cloud-based services. Combine this information with web credentials usage events to identify authentication events that do not fit the organization baseline.

Меры противодействия

IDM1054НазваниеИзменение конфигурации ПООписание

Configure browsers or tasks to regularly delete persistent cookies.