T1606.001: Веб-куки

Злоумышленники могут подделать веб-куки и использовать их для получения доступа к веб-приложениям или интернет-службам. Веб-приложения и службы, размещенные в облачных средах SaaS (software as a service) или на локальных серверах, часто полагаются на сессионные файлы куки для аутентификации и авторизации пользователей.

Злоумышленники могут создать свои файлы куки, чтобы получить доступ к веб-ресурсам. Эта техника отличается от кражи сессионных куки и других подобных методов тем, что злоумышленники сами создают файлы куки, а не похищают или перехватывают их у легитимных пользователей. Большинство популярных веб-приложений имеют стандартизированные и документированные значения файлов куки, которые можно создавать с помощью специальных инструментов или интерфейсов. Для создания веб-куки часто требуются секретные значения, такие как пароли, закрытые ключи или другие входные криптографические данные.

Злоумышленники могут использовать поддельные веб-куки для доступа к ресурсам (см. технику Сессионные куки) в обход многофакторной аутентификации и других механизмов защиты.

Способы обнаружения

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте аномальные попытки аутентификации, например вход в систему и операции пользователей с неизвестными учетными записями. Отслеживайте нетипичные и аномальные попытки доступа к ресурсам, включая доступ к веб-сайтам и облачным приложениям, когда один и тот же пользователь подключается из разных мест или с разных устройств, которые не соответствуют ожидаемым конфигурациям.

IDDS0006Источник и компонент данныхУчетные данные для веб-ресурсов: Использование учетных данных для веб-ресурсовОписание

Отслеживайте использование неожиданных или необычных куки-файлов для доступа к ресурсам и службам. Поддельные веб-куки могут быть связаны с неизвестными учетными записями и могут появиться в результате компрометации секретной информации, например паролей или закрытых ключей.

Меры противодействия

IDM1054НазваниеИзменение конфигурации ПООписание

Настройте браузеры и другие приложения на регулярное удаление постоянных веб-куки.

IDM1047НазваниеАудитОписание

Администраторы должны провести аудит всех списков доступа и предоставленных им разрешений на доступ к веб-приложениям и службам. Это должно быть сделано на всех ресурсах, чтобы установить базовый уровень, а затем периодически проводить аудит новых или обновленных ресурсов. Подозрительные учетные записи и учетные данные должны проверяться и удаляться.