Illegale toegang tot bedrijfsgegevens
Sophos Cybersecurity, Threat Research, Cookies
Het Sophos X-Ops team beschrijft in zijn recente rapport "Cookie stealing: the new perimeter bypass" dat cybercriminelen steeds vaker gestolen sessiecookies gebruiken om multi-factor authenticatie (MFA) te omzeilen en toegang te krijgen tot bedrijfsmiddelen. In sommige gevallen is cookiediefstal een gerichte aanval waarbij cookiegegevens worden gelezen van gecompromitteerde systemen. Daarbij gebruiken de criminelen legitieme uitvoerbare bestanden om hun activiteiten te verhullen.
Zodra zij met behulp van de cookies toegang hebben tot web- of cloudgebaseerde of bedrijfsmiddelen, kunnen zij deze gebruiken voor verdere aanvallen. Hierbij valt te denken aan compromitterende e-mails of social engineering om extra systeemtoegang te bedriegen of zelfs om gegevens of broncodeopslagplaatsen te wijzigen.
"Het afgelopen jaar hebben we gezien dat cybercriminelen steeds vaker hun toevlucht nemen tot cookiediefstal om de toenemende prevalentie van MFA te omzeilen. Ze gebruiken nieuwe en verbeterde malware - zoals Raccoon Stealer - om de diefstal van authenticatiecookies, ook bekend als toegangstokens, te vergemakkelijken", aldus Sean Gallagher, hoofdonderzoeker bij Sophos. "Als aanvallers in het bezit zijn van sessiecookies, kunnen ze zich vrij door een netwerk bewegen."
De authenticatie omzeilen: 'pass-the-cookie'-aanvallen
Sessie- of authenticatiecookies zijn een specifiek
type cookie dat door een webbrowser wordt opgeslagen wanneer een
gebruiker inlogt op webbronnen. Zodra cybercriminelen ze in handen krijgen
bezitten, kunnen ze een "pass-the-cookie"-aanval uitvoeren
toegangstoken in een nieuwe websessie en deze aan de browser presenteren.
sessie en de browser laten geloven dat een geauthenticeerde gebruiker
geauthenticeerde gebruiker inlogt. Dit betekent dat geen verdere authenticatie
niet meer nodig is. Aangezien bij gebruik van MFA ook een token
ook wordt aangemaakt en opgeslagen in een webbrowser, kan dezelfde aanval worden gebruikt om
gebruikt worden om deze extra authenticatielaag te omzeilen.
omzeilen. Wat de zaak nog ingewikkelder maakt, is dat veel legitieme webgebaseerde
toepassingen langdurige cookies aanmaken die zelden of nooit verlopen;
Sommige cookies worden alleen verwijderd wanneer de gebruiker
expliciet uitlogt bij de dienst.
Dankzij malware-as-a-service wordt het steeds gemakkelijker voor zelfs de meest onervaren cybercriminelen om in de lucratieve business van het stelen van referenties te stappen. om toegangsgegevens te stelen. Ze hoeven bijvoorbeeld alleen maar een kopie van een Trojan zoals Raccoon Stealer om gegevens zoals wachtwoorden en cookies in grote hoeveelheden en kunnen die dan verkopen op criminele aanbieden op criminele marktplaatsen zoals Genesis. Andere criminelen in in de aanvalsketen, zoals ransomware exploitanten, kunnen dan deze gegevens kopen en deze gegevens kopen en doorzoeken om alles te exploiteren wat zij nuttig achten nuttig achten voor hun aanvallen.
Diefstal van cookies wordt strategischer
Bij twee van de recente incidenten die Sophos onderzocht,
kozen de aanvallers voor een meer gerichte aanpak. In één
In één geval brachten ze maandenlang door op het netwerk van het doelbedrijf en
verzamelden cookies van de Microsoft Edge browser. De eerste
werd uitgevoerd via een exploit kit. Vervolgens gebruikten ze
een combinatie van Cobalt Strike en Meterpreter activiteiten om toegang te krijgen
tokens via een legitiem compilerprogramma. In een ander
In een ander geval gebruikten de aanvallers een legitiem
Microsoft Visual Studio component om een kwaadaardige malware te leveren die
die een week lang cookie-bestanden onderschepte.
"Hoewel we in het verleden massale cookiediefstal hebben gezien, gaan cybercriminelen nu
cybercriminelen kiezen nu een gerichte en precieze aanpak voor het stelen van cookies,
om cookies te stelen. Nu een groot deel van de werkplek
is er geen limiet aan de kwaadaardige activiteiten,
die aanvallers kunnen uitvoeren met gestolen sessiecookies.
Ze kunnen cloud infrastructuren manipuleren, zakelijke e-mails compromitteren
zakelijke e-mails compromitteren, andere medewerkers overhalen om malware te downloaden of zelfs
of zelfs code voor producten herschrijven. De enige beperking
is hun eigen creativiteit," zegt Gallagher. "Om het nog erger te maken,
is er geen gemakkelijke oplossing. Diensten kunnen bijvoorbeeld
de levensduur van cookies verkorten, maar dat betekent dat gebruikers zich vaker opnieuw moeten authenticeren.
gebruikers zich vaker opnieuw moeten authenticeren. Aangezien
aanvallers legitieme toepassingen gebruiken om cookies te oogsten,
moeten organisaties malwaredetectie combineren met gedragsanalyse.
gedragsanalyse.