Pass the cookie! Cyberprzestępcy częściej kradną pliki cookie do omijania uwierzytelniania wieloskładnikowego

avlab.pl 2 lat temu
Zdjęcie: Pass the cookie! Cyberprzestępcy częściej kradną pliki cookie do omijania uwierzytelniania wieloskładnikowego


Cyberprzestępcy coraz częściej kradną pliki cookie do omijania uwierzytelniania wieloskładnikowego. Według raportu Sophos, atakujący mogą uzyskiwać dostęp do zasobów firm dzięki wykradzionym sesyjnym „ciasteczkom”. Pozwalają one podszywać się pod prawdziwych użytkowników i swobodnie poruszać w firmowej sieci.

Dlaczego cyberprzestępcom zależy na ciasteczkach?

Sesyjne pliki cookie, zwane też „ciasteczkami”, są zbierane i przechowywane przez przeglądarkę internetową do momentu jej zamknięcia lub wylogowania się ze strony internetowej. Zawierają m.in. informacje o otwieranych stronach internetowych i identyfikują przeglądarkę, z której użytkownik łączy się z serwisem.

W ostatnim roku zauważyliśmy, iż kradzieże plików cookie są coraz częstsze. Przejęcie takich uwierzytelniających „ciasteczek”, znanych również jako tokeny dostępu, pozwala obejść dwuskładnikowe uwierzytelnianie stosowane przez coraz więcej firm.

Jeśli atakujący wejdą w posiadanie sesyjnych plików cookie, zyskują możliwość swobodnego poruszania się po sieci, podszywając się pod prawdziwych użytkowników.
Grzegorz NocońInżynier systemowy w firmie Sophos

Po uzyskaniu dostępu do systemów, atakujący mogą wykorzystać pliki cookie do dalszych działań, takich jak przejęcie dostępu do poczty elektronicznej, modyfikacja danych lub repozytoriów kodu źródłowego czy próby wyłudzenia dostępu do dodatkowo zabezpieczonych zasobów.

Jednym ze sposobów jest kradzież pliku cookie.sqlite z lokalizacji:

C:\Users\Nazwa_Uzytkownika\AppData\Roaming\Mozilla\Firefox\Profiles\xyz.default-release
cookie.sqlite - plik przeglądarki Mozilla Firefox

Ciasteczka wyjątkowo groźną bronią w arsenale cyberprzestępców

Skradzione pliki cookie mogą posłużyć do ataku typu „pass-the-cookie”. Przestępcy z ich pomocą oszukują przeglądarkę i podają się za uwierzytelnionego użytkownika, np. pracownika firmy, co pozwala też ukryć ich złośliwe działania w firmowej sieci. Jest to możliwe, ponieważ token dostępu jest tworzony i przechowywany w przeglądarce podczas korzystania z uwierzytelniania wieloskładnikowego.

Problem jest o tyle poważny, iż wiele legalnych aplikacji internetowych posiada stałe pliki cookie, które są przechowywane do momentu wylogowania się użytkownika, a czasem nigdy nie tracą one ważności.

Na forach dla hackerów za 150 dolarów można kupić złośliwe oprogramowanie wykradające pliki cookies. Jest nim na przykład RedLine Stealer do wykradania danych z przeglądarek.

To złośliwe oprogramowanie zagraża przeglądarkom Google Chrome, Mozilla Firefox, Microsoft Edge oraz innym, które bazują na kodzie wyżej wymienionych. RedLine Stealer jest dostępne za ~150 dolarów na forach przestępczych w formie jednorazowej licencji albo subskrypcji ~100 dolarów miesięcznie. Oznacza to, iż twórcy ulepszają złośliwy kod, bo przynosi im to zyski.

  • Złośliwe oprogramowanie kradnie informacje z przeglądarek internetowych:
    • zapisane dane logowania,
    • dane autouzupełniania,
    • informacje o kartach płatniczych.
  • Podczas uruchamiania wirusa wykonywana jest inwentaryzacja systemu, która pobiera:
    • nazwę użytkownika,
    • dane o lokalizacji,
    • konfigurację sprzętu,
    • informacje o zainstalowanym oprogramowaniu zabezpieczającym.
  • W nowszych wersjach RedLine dodano możliwość kradzieży kryptowaluty.
  • Oprogramowanie FTP, jak FileZilla i komunikatory internetowe, również są celem RedLine.
  • Złośliwe oprogramowanie potrafi kraść i wysyłać oraz pobierać pliki, wykonywać polecenia i okresowo wysyłać informacje o zainfekowanym komputerze.

Złośliwe oprogramowanie RedLine Stealer w czerwcu 2022 r. zostało użyte w cyberataku przeprowadzonym przez rosyjskich hakerów, gdzie wykorzystali oni domenę .PL do osadzenia malware wykradającego hasła z przeglądarek.

Eksperci zwracają też uwagę na ataki wykorzystujące legalne narzędzia ofensywne, takie jak Mimikatz, Metasploit oraz Cobalt Strike, które także są używane do odpalenia złośliwego systemu zbierającego pliki cookie lub uruchomienia skryptów pobierających pliki cookie z pamięci podręcznej przeglądarek.

Cyberprzestępców ogranicza jedynie kreatywność

Rozwiązaniem zapewniającym większe bezpieczeństwo może wydawać się regularne czyszczenie plików cookie i innych informacji uwierzytelniających w przeglądarkach. Jednak zaostrzenie zasad dotyczących ciasteczek wiąże się z pewnymi kompromisami. Skrócenie okresu ich ważności oznacza konieczność częstego logowania się przez użytkowników.

Według eksperta, aby zapewnić sobie odpowiednią ochronę, firmy powinny korzystać z narzędzi, które umożliwiają skuteczne wykrywanie złośliwego oprogramowania, zwłaszcza dzięki analizy behawioralnej.

Idź do oryginalnego materiału