Kradzież ciasteczek: nowa metoda łamania zabezpieczeń
W miarę jak organizacje przechodzą na usługi w chmurze i uwierzytelnianie wieloskładnikowe, pliki cookie powiązane z tożsamością i uwierzytelnianiem dają atakującym nową ścieżkę do złamania zabezpieczeń. Szkodliwe oprogramowanie kradnące dane uwierzytelniające jest integralną częścią zestawu narzędzi wykorzystywanego przez wielu różnych cyberprzestępców. Podczas gdy nazwy kont użytkowników i hasła są najbardziej oczywistymi celami działań związanych z kradzieżą poświadczeń, co raz powszechniejsze wykorzystanie uwierzytelniania wieloskładnikowego (MFA) do ochrony usług internetowych zmniejszyło skuteczność tego podejścia. Atakujący coraz częściej sięgają jednak po „pliki cookie” związane z danymi uwierzytelniającymi w celu klonowania aktywnych lub niedawnych sesji internetowych z pominięciem MFA.
Najnowsza wersja botnetu Emotet, atakuje pliki cookie i inne dane uwierzytelniające przechowywane przez przeglądarki, takie jak loginy, dane kart płatniczych. Przeglądarka Google Chrome używa tej samej metody szyfrowania do przechowywania zarówno plików cookie uwierzytelniania wieloskładnikowego, jak i danych karty kredytowej, są to obecne cele Emotet.
Złośliwe oprogramowanie kradnące informacje, takie jak Raccoon Stealer, które działa jako usługa oraz keylogger- tzw. złodziej informacji oraz RedLine Stealer – które można kupić na forach w sieci Darknet – pozwalają gromadzić pliki cookie i inne, bardzo cenne dane uwierzytelniające, w celu odsprzedaży w sklepach Darkweb. Jednym marketplace jest Genesis, oczywiste źródło sprzedaży pliku cookie, należącego do pracownika Electronic Arts. Członkowie grupy Lapsus$ potwierdzili, że kupili skradziony plik cookie sesji w marketplace, przez co uzyskali dostęp do instancji EA Slack. To z kolei pozwoliło im sfałszować istniejący login pracownika EA i nakłonić członka zespołu IT EA do zapewnienia im dostępu do sieci. Lapsus$ przechwycił 780 gigabajtów danych, w tym kod źródłowy gry i silnika graficznego, wykorzystane do wyłudzenia okupu od EA. Często używane są ataki bezpośrednie, w których wykorzystuje się legalne narzędzia bezpieczeństwa, takie jak Mimikatz, Metasploit Meterpreter i Cobalt Strike, wówczas uruchamiane jest złośliwe oprogramowanie zbierające pliki cookie lub skrypty, pobierające pliki cookie z pamięci podręcznej przeglądarek. Przeglądarki przechowują cookie w pliku, Mozilla Firefox, Google Chrome i Microsoft Edge plik ten jest bazą danych SQLite zapisaną na profilu użytkownika. Podobne pliki SQLite przechowują historię przeglądarki, loginy do witryn i informacje o autouzupełnianiu w tych przeglądarkach. Inne aplikacje, które łączą się ze zdalnymi usługami, mają własne repozytoria plików cookie. Zawartość każdego pliku cookie w bazie danych to lista parametrów i wartości – magazyn klucz-wartość, który identyfikuje sesję przeglądarki ze zdalną witryną, w niektórych przypadkach token przekazany przez witrynę do przeglądarki po uwierzytelnieniu użytkownika. Jedna z tych par klucz-wartość określa wygaśnięcie pliku cookie – jak długo jest ważny, zanim będzie musiał zostać odnowiony.
Rysunek 1: Cookie w cookie.sqlite Źródło Sophos
Powód kradzieży plików cookie jest bardzo prosty: pliki te są związane z uwierzytelnianiem w usługach internetowych mogą być wykorzystywane przez atakujących w atakach typu „pass the cookie”, próbujących udawać uprawnionego użytkownika, któremu plik cookie został pierwotnie wysłany i uzyskać dostęp do usług internetowych bez wywołania logowania. Jest to podobne do ataków typu „pass the hash”, które wykorzystują lokalnie przechowywane skróty uwierzytelniania, aby uzyskać dostęp do zasobów sieciowych bez konieczności łamania haseł.
Rysunek 2: Normalne działanie usług internetowych
Rysunek 3: Atak typu „pass-the-cookie” Źródło Sophos
Może to prowadzić do przejęcia usług internetowych takich jak AWS, Azure, włamanie do firmowej poczty e-mail, dostęp do danych w chmurze lub użycie przejętej sesji, ujawnienia danych. Wiele aplikacji internetowych wykonuje dodatkowe testy, aby zapobiec podszywaniu się pod sesję, takie jak sprawdzanie adresu IP żądania względem miejsca, w którym sesja została zainicjowana. Natomiast jeśli pliki cookie są używane przez atakującego bezpośrednio z tej samej sieci, to niestety, ale tego rodzaju środki mogą nie wystarczyć do powstrzymania przeprowadzenia ataku. Niektóre ataki polegające na kradzieży plików cookie mogą być przeprowadzane całkowicie zdalnie z poziomu własnej przeglądarki atakującego, polega to na wstrzykiwaniu kodu HTML do podatnej strony internetowej, w celu wykorzystania plików cookie dla innych usług – atakujący uzyskuje dostęp do informacji profilowych oraz ma możliwość zmiany hasła i adresu e-mail. Często hakerzy korzystają z płatnych platform, aby zebrać jak najwięcej plików cookie ofiar oraz inne dane uwierzytelniające przy niskich nakładach finansowych i przy niewielkim wysiłku. Ten typ kradzieży jest bardzo podobny do tych wykorzystywanych w Raccoon Stealer i innych kampaniach z użyciem złośliwego oprogramowania, które były dystrybuowane za pośrednictwem usługi droppers as a service. Pakiety złośliwego oprogramowania w plikach ISO lub ZIP są rozpowszechniane za pośrednictwem złośliwych witryn internetowych, jako instalatory pirackich lub „złamanych” komercyjnych wersji oprogramowania. Pakiety oparte na ISO są również szeroko stosowane zamiast złośliwych dokumentów w kampaniach e-mail zawierających złośliwe oprogramowanie, głównie z powodu blokowania przez Microsoft makr w plikach pakietu Office. W jednym z przypadków, złośliwe oprogramowanie pojawiło się w fałszywym instalatorze oprogramowania, pobranym ze strony internetowej reklamującej pirackie oprogramowanie komercyjne. Instalator został dostarczony w 300-megabajtowym pliku ISO pobranym przez użytkownika. Duże pliki ISO są używane w celu zacięcia skanowania plików przez oprogramowanie wykrywające złośliwe oprogramowanie. Plik ISO zawierał BLENDERINSTALLER3.0.EXE, narzędzie do instalacji nowego oprogramowania z innego pakietu oprogramowania. Ten dropper instaluje kilka plików, używając polecenia PowerShell i pliku wykonywalnego utworzonego za pomocą AutoIT, aby wyodrębnić złośliwe oprogramowanie z pliku .ISO i pobrać dodatkowe pliki złośliwego oprogramowania z sieci Discord. Pakiet złośliwego oprogramowania wstrzykuje następnie serię poleceń za pośrednictwem procesu .NET (przy użyciu jsc.exe z platformy .NET), aby pobrać zarówno pliki cookie, jak i dane logowania z Chrome.
Rysunek 4: Kradzież plików cookie przez fałszywy instalator Źródło Sophos
Kradzież plików cookie to nie tylko zautomatyzowane działanie. W niektórych przypadkach jest to również strategia na odnalezienie sposobów pełnej penetracji docelowej sieci. W takich przypadkach osoby atakujące wykorzystują przyczółek w sieci, aby wdrożyć narzędzia do eksploatacji i wykorzystać je do rozpowszechniania swojego dostępu. Ponieważ coraz więcej wartościowych danych zostało przeniesionych z sieci do usług w chmurze, osoby atakujące na swojej liście rzeczy do zrobienia dodały ruch boczny, poprzez kradzież plików cookie i zbieranie danych logowania do sieci.Sophos odkrył wtargnięcie tego rodzaju w czerwcu 2022 r., w którym kradzież plików cookie była częścią trwającej od miesięcy aktywności Cobalt Strike i Meterpretera. Osoby atakujące specjalnie zaatakowały pliki cookie w przeglądarce Microsoft Edge. Po pierwsze, byli w stanie wykorzystać zestaw exploitów Impacket do rozprzestrzeniania się od początkowego punktu wejścia za pośrednictwem transferu plików Windows SMB, zrzucając Cobalt Strike i Meterpreter na docelowe komputery w sieci.
Rysunek 5: Praktyczna sekwencja kradzieży plików cookie Źródło Sophos
Następnie osoby atakujące wprowadzono kopię legalnego interpretera skryptów Perla na atakowanym systemie wraz z plikiem skryptu Perla (o nazwie c) oraz plikiem wsadowym (execute.exe), napotkanym w poprzednich kampaniach opartych na Imppacket. Następnie atakujący użyli Meterpretera do przekazania ciągu poleceń:
c:\\windows\\vss\\perl.exe -type c ^> \\\\127.0.0.1\\C$\\__output 2^>^&1 > C:\\WINDOWS\\TEMP\\execute. bat & C:\\WINDOWS\\system32\\cmd.exe
/Q /c C:\\WINDOWS\\TEMP\\execute.bat i del C:\\WINDOWS\\TEMP\\execute.bat
Skrypt Perla uzyskał dostęp do plików cookie na komputerze docelowym i wysłał zawartość do tymczasowego pliku o nazwie _output. Plik wsadowy między innymi przeniósł zawartość _output z powrotem do atakującego i usunął skrypt Perla. Pozostałe polecenia powłoki wyłączały wyświetlanie ekranu, usuwały plik wsadowy i kończyły działanie powłoki poleceń. Złośliwe oprogramowanie kradnące informacje coraz częściej obejmuje kradzież plików cookie jako część swojej funkcjonalności, które sprawia, że sprzedaż skradzionych plików cookie jest opłacalnym biznesem. Jednak działania atakujących mogą nie zostać wykryte przez proste zabezpieczenia przed złośliwym oprogramowaniem z powodu nadużywania legalnych plików wykonywalnych, zarówno już obecnych, jak i przeniesionych jako narzędzia. Kradzież plików cookie nie byłaby tak dużym zagrożeniem, gdyby pliki cookie o długim czasie dostępu nie były używane przez tak wiele aplikacji. Na przykład Slack wykorzystuje kombinację trwałych i specyficznych dla sesji plików cookie do sprawdzania tożsamości i uwierzytelniania użytkowników. Podczas gdy sesyjne pliki cookie są usuwane po zamknięciu przeglądarki, niektóre z tych aplikacji (takie jak Slack) pozostają otwarte przez czas nieokreślony w niektórych środowiskach. Te pliki cookie mogą nie wygasać wystarczająco szybko, aby uniemożliwić komuś ich wykorzystanie, jeśli zostaną skradzione. Tokeny logowania jednokrotnego skojarzone z niektórymi uwierzytelnianiem wieloskładnikowym mogą stanowić to samo potencjalne zagrożenie, jeśli użytkownicy nie zamykają sesji.
Regularne czyszczenie plików cookie i innych informacji uwierzytelniających dla przeglądarek zmniejsza potencjalną powierzchnię ataku zapewnianą przez pliki profilu przeglądarki, a organizacje mogą używać narzędzi administracyjnych dla niektórych platform internetowych, aby skrócić dopuszczalny czas, w którym pliki cookie pozostają ważne. Wzmocnienie zasad dotyczących plików cookie wiąże się z kompromisami. Skrócenie „życia” plików cookie oznacza częstsze, ponowne uwierzytelnianie przez użytkowników. Niektóre aplikacje internetowe, które wykorzystują klientów opartych na Electron lub podobnych platformach programistycznych, mogą mieć własne problemy z obsługą plików cookie, na przykład mogą mieć własny magazyn plików cookie, który może być specjalnie atakowane poza kontekstem przeglądarki internetowej. Sophos stosuje kilka reguł behawioralnych, aby zapobiec nadużywaniu plików cookie przez skrypty i niezaufane programy oraz wykrywa złośliwe oprogramowanie kradnące informacje z wieloma wykryciami pamięci i zachowań.