当谈到对企业网络的威胁时,凭据理所当然地被认为是进入该领域的关键。当有效凭据打开前门时,为什么要在易受攻击的系统或人员上使用恶意代码?当前的最佳实践通常认为多因素身份验证(MFA)和密码管理器足以降低帐户劫持的风险。但不幸的是,地下网络犯罪分子很快就适应了。通过infostealer恶意软件和cookie盗窃进行会话劫持是一种越来越流行的绕过MFA的方法。在过去的12个月里,RecordedFuture已经在地下网站上看到了数千次对此类技术的引用。好消息是,组织可以通过遵循最佳实践、重新配置入侵检测工具和增强威胁情报来进行反击。为什么Cookie如此受欢迎我们在2021年发现了14,905个涉及网络犯罪的地下网站,包括关键字“cookie”、“会话cookie”和“会话劫持”。为什么如此受欢迎?因为HTTPcookie用于管理用户会话、存储用户个性化偏好和跟踪用户行为。如果攻击者能够窃取用于向内部或第三方应用程序验证用户身份的“魔术cookie”,他们就可以完全匿名地劫持用户会话,就像合法用户一样。Infostealer恶意软件的设计正是为了做到这一点。一种相对简单的“pass-the-cookie”开发后技术允许攻击者一旦掌握了被盗的cookie就可以劫持用户的会话。这样做的好处不是窃取密码,而是让它们绕过MFA检查点。会话通常会在7天或更长时间后超时,这为访问敏感Web应用程序和服务、窃取数据、部署勒索软件等提供了充足的机会。让事情变得更简单具有商业头脑的网络罪犯知道如何发现商机。这就是为什么cookie通常包含在易于使用的软件包中,例如在英语和俄语网络犯罪商店GenesisStore上宣传的“机器人”或“日志”。除了会话cookie之外,这些数据包还包括帐户凭据、IP地址和浏览器指纹。这些数据可以导入到名为GenesisSecurity的浏览器插件中,允许攻击者伪装成受害者进行帐户接管和会话劫持攻击。如果Web访问需要MFA,初始访问代理还会出售cookie以及被盗的凭据。使用信息窃取恶意软件和会话劫持来破坏身份是臭名昭著的Lapsus组织的一个关键策略,该组织声称从包括三星、微软和Nvidia在内的许多主要科技公司窃取数据。我们还看到了恶意软件即服务的变体,包括RedLine和Vidar,它们能够窃取具有相关会话令牌的凭证对。这并不是说这项技术特别新。美国网络安全和基础设施安全局(CISA)于2021年1月发布了有关cookie盗窃的警告。但随着MFA越来越流行,试图规避它的行为将变得更加普遍。这就是组织必须更新其策略和安全策略以减轻不断变化的帐户和会话劫持威胁的原因。MFA和密码管理器必须成为事实。但安全团队也可以探索更频繁地执行MFA的解决方案的可能性。这种情况发生的频率取决于您:您每天登录的次数是否足够,还是每次登录次数过多?你想为你的用户制造多少摩擦?哪些应用程序需要如此大的压力?这些问题供您考虑。考虑监控您的组织是否存在泄露的身份——这将减少攻击者窃取身份相关信息并将其转售给其他攻击者使用的窗口。您可以更进一步,在RecordedFuture,我们将这种身份智能直接连接到我们的IAM提供商,通过自动密码重置和审计加速对这种威胁的分类。有了用于此信息的API,自动化剧本在您的SOC中变得可行和可扩展。不幸的是,安全不是一个目的地,而是一个持续的旅程。为避免道路上出现更多障碍,应对来自信息窃取者和会话劫持的威胁是明智之举。
