Nielegalny dostęp do danych firmowych
Sophos Cybersecurity, Threat Research, Cookies
Zespół Sophos X-Ops opisuje w swoim najnowszym raporcie "Cookie stealing: the new perimeter bypass", że cyberprzestępcy coraz częściej wykorzystują skradzione ciasteczka sesyjne do ominięcia wieloczynnikowego uwierzytelniania (MFA) i uzyskania dostępu do zasobów korporacyjnych. W niektórych przypadkach kradzież ciasteczek jest atakiem ukierunkowanym, w którym dane z ciasteczek są odczytywane ze skompromitowanych systemów. W tym celu przestępcy wykorzystują legalne pliki wykonywalne, aby ukryć swoje działania.
Po uzyskaniu dostępu do zasobów internetowych, chmurowych lub korporacyjnych przy użyciu plików cookie, mogą je wykorzystać do dalszych ataków. Mogą one obejmować kompromitujące wiadomości e-mail lub inżynierię społeczną w celu wyłudzenia dodatkowego dostępu do systemu lub nawet spowodowania zmiany danych lub repozytoriów kodu źródłowego.
"W ciągu ostatniego roku zaobserwowaliśmy, że cyberprzestępcy coraz częściej uciekają się do kradzieży plików cookie, aby obejść rosnącą powszechność MFA. Wykorzystują oni nowe i ulepszone złośliwe oprogramowanie - takie jak Raccoon Stealer - aby ułatwić kradzież ciasteczek uwierzytelniających, znanych również jako tokeny dostępu" - powiedział Sean Gallagher, główny badacz zagrożeń w Sophos. "Jeśli napastnicy są w posiadaniu ciasteczek sesyjnych, mogą swobodnie poruszać się po sieci".
Ominięcie uwierzytelniania: ataki typu "pass-the-cookie
Ciasteczka sesyjne lub uwierzytelniające są specyficznym
rodzajem plików cookie, które są przechowywane przez przeglądarkę internetową, gdy
użytkownik loguje się do zasobów internetowych. Gdy cyberprzestępcy wejdą w ich
w ich posiadanie, mogą przeprowadzić atak typu "pass-the-cookie".
token dostępu do nowej sesji internetowej i przedstawić go przeglądarce.
i oszukać przeglądarkę, że loguje się w niej uwierzytelniony użytkownik.
uwierzytelniony użytkownik loguje się. Oznacza to, że żadne dalsze uwierzytelnianie
nie jest już wymagane. Ponieważ podczas korzystania z MFA, token jest również
jest również tworzony i przechowywany w przeglądarce internetowej, ten sam atak może być użyty do
może być użyty do obejścia tej dodatkowej warstwy uwierzytelnienia.
obejścia. Co więcej, wiele legalnych aplikacji internetowych
aplikacji tworzy długotrwałe pliki cookie, które rzadko lub nigdy nie tracą ważności;
Niektóre ciasteczka są usuwane tylko wtedy, gdy użytkownik wyraźnie
Niektóre pliki cookie są usuwane dopiero wtedy, gdy użytkownik wyraźnie wyloguje się z serwisu.
Dzięki złośliwemu oprogramowaniu jako usłudze, coraz łatwiej jest nawet najbardziej niedoświadczonym cyberprzestępcom wejść w lukratywny biznes kradzieży danych uwierzytelniających. biznes kradzieży danych dostępowych. Na przykład, wszystko co muszą zrobić to kopia trojana takiego jak Raccoon Stealer, aby zbierać dane takie jak hasła i ciasteczka w dużych ilościach, a następnie mogą je sprzedać na przestępczych oferować je na przestępczych targowiskach, takich jak Genesis. Inni przestępcy w w łańcuchu ataku, tacy jak operatorzy ransomware, mogą następnie kupić te dane i a następnie kupować i przeszukiwać te dane, aby wykorzystać wszystko, co uznają za przydatne do ich ataków.
Kradzież plików cookie staje się bardziej strategiczna
W dwóch z ostatnich incydentów badanych przez Sophos,
napastnicy przyjęli bardziej ukierunkowane podejście. W jednym
W jednym przypadku spędzili miesiące w sieci docelowej firmy i
zbierając ciasteczka z przeglądarki Microsoft Edge. Pierwszy
kompromis został osiągnięty za pomocą zestawu exploitów. Następnie wykorzystali
kombinacji Cobalt Strike i Meterpreter, aby uzyskać dostęp
tokeny dostępu za pośrednictwem legalnego narzędzia do kompilacji. W innym
W innym przypadku, napastnicy wykorzystali legalny
komponentu Microsoft Visual Studio do dostarczenia złośliwego oprogramowania, które
które przechwytywało pliki cookie przez tydzień.
"Podczas gdy w przeszłości byliśmy świadkami masowej kradzieży plików cookie, cyberprzestępcy podchodzą teraz
cyberprzestępcy stosują teraz ukierunkowane i precyzyjne podejście do kradzieży plików cookie,
do kradzieży ciasteczek. Przy dużej części miejsca pracy
W związku z tym, że duża część miejsca pracy jest obecnie oparta na sieci, nie ma żadnych ograniczeń co do złośliwych działań,
które napastnicy mogą wykonać za pomocą skradzionych ciasteczek sesyjnych.
Mogą manipulować infrastrukturą chmury, narażać na szwank służbowe e-maile
narażać na szwank służbowe e-maile, nakłaniać innych pracowników do pobierania złośliwego oprogramowania lub nawet
lub nawet przepisać kod dla produktów. Jedynym ograniczeniem
jest ich własna kreatywność" - mówi Gallagher. "Co gorsza,
nie ma łatwego rozwiązania. Wprawdzie serwisy mogą np.
skrócić czas życia plików cookie, ale to oznacza, że użytkownicy muszą częściej ponownie uwierzytelniać się.
użytkownicy muszą się częściej ponownie uwierzytelniać. Ponieważ
napastnicy wykorzystują legalne aplikacje do zbierania plików cookie,
organizacje muszą połączyć wykrywanie złośliwego oprogramowania z analizą behawioralną.
analiza behawioralna.