新聞

主動攻擊者利用竊來的工作階段 Cookie 繞過多因素驗證

2022 / 08 / 19
編輯部
主動攻擊者利用竊來的工作階段 Cookie 繞過多因素驗證
Sophos在 Sophos X-Ops 報告《Cookie 竊取:繞過外圍防禦的新手法》中指出,主動攻擊者越來越常利用竊來工作階段 cookie 繞過多因素驗證 (MFA) 以存取企業資源。在某些情況下,cookie 竊取本身就是一種針對性很強的攻擊,攻擊者會從網路內受感染的系統中抓取 cookie 資料,並使用合法的可執行檔案來掩飾惡意活動。一旦攻擊者利用 cookie 獲得對企業的 Web 和雲端資源使用權限,就可以藉此進行更進一步的入侵,例如商業電子郵件詐騙,以社交工程獲得額外的系統存取權限,甚至是修改資料或原始程式碼存放庫。

Sophos 首席威脅研究員 Sean Gallagher 表示:「在過去一年中,我們看到攻擊者越來越常竊取 cookie 來解決 MFA 日益普及的情形。攻擊者開始採用新版本和改進的資訊竊取惡意軟體,例如 Raccoon Stealer,以簡化取得驗證 cookie 的動作,也就是存取權杖。一旦攻擊者取得工作階段 cookie,他們就可以在網路中自由移動,冒充合法使用者。」

工作階段或驗證 cookie 是使用者登入 Web 資源時,由 Web 瀏覽器儲存的一種特定類型的 cookie。如果攻擊者獲得它們,那麼就可以進行「pass-the-cookie」攻擊,將存取權杖插入到新的 Web 工作階段中,誘使瀏覽器相信它是經過驗證的使用者,免除驗證的需要。此外使用 MFA 時,也會在 Web 瀏覽器上建立和儲存權杖,因此相同的攻擊手法一樣能繞過這一層額外的驗證。雪上加霜的是,許多合法 Web 應用程式的 cookie 是幾乎不會或是永不過期;其他 cookie 則是只有在使用者明確退出服務時才會過期。
 
在惡意軟體即服務行業出現後,即使是新手也能容易地竊取憑證。例如,他們只需購買一份如 Raccoon Stealer 的資訊竊取木馬程式,然後大量收集密碼和 cookie 等資料,即可在犯罪市場上出售它們,包括 Genesis。攻擊鏈上的其他犯罪分子 (如勒索軟體集團) 隨後可以購買這些資料,然後進行篩選,挖出他們認為對攻擊有用的任何東西。

但相反的,在 Sophos 調查的最近兩起事件中,攻擊者採取了更具針對性的方法。在一個案例中,攻擊者在目標網路中花費了數個月時間從 Microsoft Edge 瀏覽器收集 cookie。最初的入侵是透過一個漏洞利用工具套件進行的,然後攻擊者結合使用 Cobalt Strike 和 Meterpreter 來濫用合法的編譯器工具,以抓取存取權杖。在另一個案例下,攻擊者使用合法的 Microsoft Visual Studio 元件下載了一個惡意裝載,然後抓取了一整週的 cookie 檔案。

Gallagher 說:「雖然過去我們看到過大量 cookie 遭竊,但攻擊者現在正在採取有針對性和精確的方法來竊取 cookie。由於工作場所大多轉型成使用網路,因此攻擊者可以使用竊來的工作階段 cookie 進行難以計數的惡意活動。他們可以竄改雲端基礎架構、修改商業電子郵件、說服其他員工下載惡意軟體,甚至重寫產品程式碼。基本上他們想做什麼都做得到。

「使問題更棘手的是,目前沒有簡單的解法。例如,雖然可以透過服務來縮短 cookie 的使用期限,但這意味著使用者必須更頻繁地重新進行驗證。而且攻擊者會使用合法應用程式來抓取 cookie,代表公司需要將惡意軟體偵測與行為分析結合起來。」