T1606.001: Веб-куки
Злоумышленники могут подделать веб-куки и использовать их для получения доступа к веб-приложениям или интернет-службам. Веб-приложения и службы, размещенные в облачных средах SaaS (software as a service) или на локальных серверах, часто полагаются на сессионные файлы куки для аутентификации и авторизации пользователей.
Злоумышленники могут создать свои файлы куки, чтобы получить доступ к веб-ресурсам. Эта техника отличается от кражи сессионных куки и других подобных методов тем, что злоумышленники сами создают файлы куки, а не похищают или перехватывают их у легитимных пользователей. Большинство популярных веб-приложений имеют стандартизированные и документированные значения файлов куки, которые можно создавать с помощью специальных инструментов или интерфейсов. Для создания веб-куки часто требуются секретные значения, такие как пароли, закрытые ключи или другие входные криптографические данные.
Злоумышленники могут использовать поддельные веб-куки для доступа к ресурсам (см. технику Сессионные куки) в обход многофакторной аутентификации и других механизмов защиты.
Способы обнаружения
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Отслеживайте аномальные попытки аутентификации, например вход в систему и операции пользователей с неизвестными учетными записями. Отслеживайте нетипичные и аномальные попытки доступа к ресурсам, включая доступ к веб-сайтам и облачным приложениям, когда один и тот же пользователь подключается из разных мест или с разных устройств, которые не соответствуют ожидаемым конфигурациям. |
---|
ID | DS0006 | Источник и компонент данных | Учетные данные для веб-ресурсов: Использование учетных данных для веб-ресурсов | Описание | Отслеживайте использование неожиданных или необычных куки-файлов для доступа к ресурсам и службам. Поддельные веб-куки могут быть связаны с неизвестными учетными записями и могут появиться в результате компрометации секретной информации, например паролей или закрытых ключей. |
---|
Меры противодействия
ID | M1054 | Название | Изменение конфигурации ПО | Описание | Настройте браузеры и другие приложения на регулярное удаление постоянных веб-куки. |
---|
ID | M1047 | Название | Аудит | Описание | Администраторы должны провести аудит всех списков доступа и предоставленных им разрешений на доступ к веб-приложениям и службам. Это должно быть сделано на всех ресурсах, чтобы установить базовый уровень, а затем периодически проводить аудит новых или обновленных ресурсов. Подозрительные учетные записи и учетные данные должны проверяться и удаляться. |
---|