Pass the cookie! Cyberprzestępcy częściej kradną pliki cookie do omijania uwierzytelniania wieloskładnikowego

25 sierpnia, 2022

Cyberprzestępcy coraz częściej kradną pliki cookie do omijania uwierzytelniania wieloskładnikowego. Według raportu Sophos, atakujący mogą uzyskiwać dostęp do zasobów firm dzięki wykradzionym sesyjnym „ciasteczkom”. Pozwalają one podszywać się pod prawdziwych użytkowników i swobodnie poruszać w firmowej sieci.

Dlaczego cyberprzestępcom zależy na ciasteczkach?

Sesyjne pliki cookie, zwane też „ciasteczkami”, są zbierane i przechowywane przez przeglądarkę internetową do momentu jej zamknięcia lub wylogowania się ze strony internetowej. Zawierają m.in. informacje o otwieranych stronach internetowych i identyfikują przeglądarkę, z której użytkownik łączy się z serwisem. 

Po uzyskaniu dostępu do systemów, atakujący mogą wykorzystać pliki cookie do dalszych działań, takich jak przejęcie dostępu do poczty elektronicznej, modyfikacja danych lub repozytoriów kodu źródłowego czy próby wyłudzenia dostępu do dodatkowo zabezpieczonych zasobów.

Jednym ze sposobów jest kradzież pliku cookie.sqlite z lokalizacji:

				
					C:\Users\Nazwa_Uzytkownika\AppData\Roaming\Mozilla\Firefox\Profiles\xyz.default-release
				
			
cookie.sqlite - plik przeglądarki Mozilla Firefox

Ciasteczka wyjątkowo groźną bronią w arsenale cyberprzestępców

Skradzione pliki cookie mogą posłużyć do ataku typu „pass-the-cookie”. Przestępcy z ich pomocą oszukują przeglądarkę i podają się za uwierzytelnionego użytkownika, np. pracownika firmy, co pozwala też ukryć ich złośliwe działania w firmowej sieci. Jest to możliwe, ponieważ token dostępu jest tworzony i przechowywany w przeglądarce podczas korzystania z uwierzytelniania wieloskładnikowego.

Problem jest o tyle poważny, że wiele legalnych aplikacji internetowych posiada stałe pliki cookie, które są przechowywane do momentu wylogowania się użytkownika, a czasem nigdy nie tracą one ważności.

Na forach dla hackerów za 150 dolarów można kupić złośliwe oprogramowanie wykradające pliki cookies. Jest nim na przykład RedLine Stealer do wykradania danych z przeglądarek.

To złośliwe oprogramowanie zagraża przeglądarkom Google Chrome, Mozilla Firefox, Microsoft Edge oraz innym, które bazują na kodzie wyżej wymienionych. RedLine Stealer jest dostępne za ~150 dolarów na forach przestępczych w formie jednorazowej licencji albo subskrypcji ~100 dolarów miesięcznie. Oznacza to, że twórcy ulepszają złośliwy kod, bo przynosi im to zyski.

  • Złośliwe oprogramowanie kradnie informacje z przeglądarek internetowych:
    • zapisane dane logowania,
    • dane autouzupełniania,
    • informacje o kartach płatniczych.
  • Podczas uruchamiania wirusa wykonywana jest inwentaryzacja systemu, która pobiera:
    • nazwę użytkownika,
    • dane o lokalizacji,
    • konfigurację sprzętu,
    • informacje o zainstalowanym oprogramowaniu zabezpieczającym.
  • W nowszych wersjach RedLine dodano możliwość kradzieży kryptowaluty.
  • Oprogramowanie FTP, jak FileZilla i komunikatory internetowe, również są celem RedLine.
  • Złośliwe oprogramowanie potrafi kraść i wysyłać oraz pobierać pliki, wykonywać polecenia i okresowo wysyłać informacje o zainfekowanym komputerze.
 

Złośliwe oprogramowanie RedLine Stealer w czerwcu 2022 r. zostało użyte w cyberataku przeprowadzonym przez rosyjskich hakerów, gdzie wykorzystali oni domenę .PL do osadzenia malware wykradającego hasła z przeglądarek.

Eksperci zwracają też uwagę na ataki wykorzystujące legalne narzędzia ofensywne, takie jak Mimikatz, Metasploit oraz Cobalt Strike, które także są używane do odpalenia złośliwego oprogramowania zbierającego pliki cookie lub uruchomienia skryptów pobierających pliki cookie z pamięci podręcznej przeglądarek.

Cyberprzestępców ogranicza jedynie kreatywność

Rozwiązaniem zapewniającym większe bezpieczeństwo może wydawać się regularne czyszczenie plików cookie i innych informacji uwierzytelniających w przeglądarkach. Jednak zaostrzenie zasad dotyczących ciasteczek wiąże się z pewnymi kompromisami. Skrócenie okresu ich ważności oznacza konieczność częstego logowania się przez użytkowników.

Według eksperta, aby zapewnić sobie odpowiednią ochronę, firmy powinny korzystać z narzędzi, które umożliwiają skuteczne wykrywanie złośliwego oprogramowania, zwłaszcza za pomocą analizy behawioralnej.

 

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]