当谈到企业网络威胁时,凭证被理所当然地视为该领域的钥匙。当有效凭据打开前门时,为什么要对脆弱的系统或人使用恶意代码?
当前的最佳实践通常认为多因素身份验证 (MFA) 和密码管理器足以降低帐户劫持的风险。但不幸的是,地下网络犯罪组织很快就适应了。通过infostealer恶意软件和 cookie 盗窃进行会话劫持是一种越来越流行的旁路 MFA 方法。在过去的 12 个月里,Recorded Future 在地下站点上看到了数千次此类技术的引用。
好消息是,组织可以通过遵循最佳实践、重新配置入侵检测工具和增强威胁情报来进行反击。
为什么 Cookie 如此受欢迎
我们在2021年发现了14905个涉及网络犯罪的地下站点,包括关键词“cookie”、“会话cookie”和“会话劫持”。为什么如此受欢迎呢?因为HTTP cookie用于管理用户会话,存储用户个性化偏好并跟踪用户行为。如果攻击者能够窃取用于向内部或第三方应用程序验证用户身份的“魔法cookie”,他们就可以完全匿名地劫持用户会话,看起来与合法用户完全相同。
Infostealer 恶意软件的设计正是为了做到这一点。一旦他们掌握了被盗的 cookie,一种相对简单的“传递 cookie” 后利用技术使攻击为者能够劫持用户的会话。这样做的好处不是窃取密码,而是允许他们绕过 MFA 检查点。会话通常在 7 天或更长时间后超时,从而为访问敏感的 Web 应用程序和服务、窃取数据、部署勒索软件等提供了足够多的机会。
让事情变得更容易
具有商业头脑的网络犯罪分子知道如何发现商机。这就是为什么 cookie 通常包含在易于使用的软件包中,例如在英语和俄语网络犯罪商店 Genesis Store 上宣传的“机器人”或“日志”。除了会话 cookie,这些包还包括帐户凭据、IP 地址和浏览器指纹。可以将这些数据导入一个名为 Genesis Security 的浏览器插件中,使攻击者能够在帐户接管和会话劫持攻击中伪装成受害者。
如果网络访问需要 MFA,初始访问代理还会在出售被盗凭据的同时出售cookie。利用infostealer恶意软件和会话劫持来破坏身份是臭名昭著的 Lapsus 组织的一项关键策略,该组织声称从包括三星(Samsung)、微软(Microsoft)和英伟达(Nvidia)在内的众多大型科技公司窃取数据。我们还看到了恶意软件即服务的变体,包括 RedLine 和 Vidar,它们能够窃取具有相关会话令牌的凭证对。
这并不是说这项技术特别新。美国网络安全和基础设施安全局 (CISA) 在 2021 年 1 月就 cookie 被盗发出警告。但随着 MFA 变得越来越流行,规避它的尝试也将变得越来越普遍。
这就是为什么组织必须更新自己的策略和安全策略,以减轻不断演变的帐户和会话劫持威胁。
MFA 和密码管理器必须仍然是事实。但安全团队也可以探索更频繁地执行 MFA 的解决方案的可能性。这种情况多久发生一次取决于你:每天登录够不够,每次登录是否太多?你想给你的用户创造多少摩擦?哪些应用程序需要施加如此多的压力?这些问题由你来考虑。考虑监控你的组织被泄露的身份——这将减少攻击者窃取与身份相关的信息并将其转售以供其他攻击者使用的窗口。你可以更进一步,在 Recorded Future,我们将这种身份情报直接连接到我们的 IAM 提供商,通过自动重置密码和审核来加速这种威胁的分类。有了这些信息的API,自动化剧本在你的SOC中变得可行和可扩展。
不幸的是,安全不是一个目的地,而是一个持续的旅程。为了避免在这条道路上出现更多的坎坷,明智的做法是应对来自信息窃取者和会话劫持的威胁。