當(dāng)談到企業(yè)網(wǎng)絡(luò)威脅時，憑證被理所當(dāng)然地視為該領(lǐng)域的鑰匙。當(dāng)有效憑據(jù)打開前門時，為什么要對脆弱的系統(tǒng)或人使用惡意代碼？

當(dāng)前的最佳實踐通常認(rèn)為多因素身份驗證 (MFA) 和密碼管理器足以降低帳戶劫持的風(fēng)險。但不幸的是，地下網(wǎng)絡(luò)犯罪組織很快就適應(yīng)了。通過infostealer惡意軟件和 cookie 盜竊進(jìn)行會話劫持是一種越來越流行的旁路 MFA 方法。在過去的 12 個月里，Recorded Future 在地下站點上看到了數(shù)千次此類技術(shù)的引用。

好消息是，組織可以通過遵循最佳實踐、重新配置入侵檢測工具和增強(qiáng)威脅情報來進(jìn)行反擊。

為什么 Cookie 如此受歡迎

我們在2021年發(fā)現(xiàn)了14905個涉及網(wǎng)絡(luò)犯罪的地下站點，包括關(guān)鍵詞“cookie”、“會話cookie”和“會話劫持”。為什么如此受歡迎呢?因為HTTP cookie用于管理用戶會話，存儲用戶個性化偏好并跟蹤用戶行為。如果攻擊者能夠竊取用于向內(nèi)部或第三方應(yīng)用程序驗證用戶身份的“魔法cookie”，他們就可以完全匿名地劫持用戶會話，看起來與合法用戶完全相同。

Infostealer 惡意軟件的設(shè)計正是為了做到這一點。一旦他們掌握了被盜的 cookie，一種相對簡單的“傳遞 cookie” 后利用技術(shù)使攻擊為者能夠劫持用戶的會話。這樣做的好處不是竊取密碼，而是允許他們繞過 MFA 檢查點。會話通常在 7 天或更長時間后超時，從而為訪問敏感的 Web 應(yīng)用程序和服務(wù)、竊取數(shù)據(jù)、部署勒索軟件等提供了足夠多的機(jī)會。

讓事情變得更容易

具有商業(yè)頭腦的網(wǎng)絡(luò)犯罪分子知道如何發(fā)現(xiàn)商機(jī)。這就是為什么 cookie 通常包含在易于使用的軟件包中，例如在英語和俄語網(wǎng)絡(luò)犯罪商店 Genesis Store 上宣傳的“機(jī)器人”或“日志”。除了會話 cookie，這些包還包括帳戶憑據(jù)、IP 地址和瀏覽器指紋?？梢詫⑦@些數(shù)據(jù)導(dǎo)入一個名為 Genesis Security 的瀏覽器插件中，使攻擊者能夠在帳戶接管和會話劫持攻擊中偽裝成受害者。

如果網(wǎng)絡(luò)訪問需要 MFA，初始訪問代理還會在出售被盜憑據(jù)的同時出售cookie。利用infostealer惡意軟件和會話劫持來破壞身份是臭名昭著的 Lapsus 組織的一項關(guān)鍵策略，該組織聲稱從包括三星(Samsung)、微軟(Microsoft)和英偉達(dá)(Nvidia)在內(nèi)的眾多大型科技公司竊取數(shù)據(jù)。我們還看到了惡意軟件即服務(wù)的變體，包括 RedLine 和 Vidar，它們能夠竊取具有相關(guān)會話令牌的憑證對。

這并不是說這項技術(shù)特別新。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 在 2021 年 1 月就 cookie 被盜發(fā)出警告。但隨著 MFA 變得越來越流行，規(guī)避它的嘗試也將變得越來越普遍。

這就是為什么組織必須更新自己的策略和安全策略，以減輕不斷演變的帳戶和會話劫持威脅。 

MFA 和密碼管理器必須仍然是事實。但安全團(tuán)隊也可以探索更頻繁地執(zhí)行 MFA 的解決方案的可能性。這種情況多久發(fā)生一次取決于你：每天登錄夠不夠，每次登錄是否太多？你想給你的用戶創(chuàng)造多少摩擦？哪些應(yīng)用程序需要施加如此多的壓力？這些問題由你來考慮。考慮監(jiān)控你的組織被泄露的身份——這將減少攻擊者竊取與身份相關(guān)的信息并將其轉(zhuǎn)售以供其他攻擊者使用的窗口。你可以更進(jìn)一步，在 Recorded Future，我們將這種身份情報直接連接到我們的 IAM 提供商，通過自動重置密碼和審核來加速這種威脅的分類。有了這些信息的API，自動化劇本在你的SOC中變得可行和可擴(kuò)展。

不幸的是，安全不是一個目的地，而是一個持續(xù)的旅程。為了避免在這條道路上出現(xiàn)更多的坎坷，明智的做法是應(yīng)對來自信息竊取者和會話劫持的威脅。