Киберугроза: Обход многофакторной аутентификации через файлы cookie
Исследователи из Varonis Threat Labs выявили передовые методы, используемые киберпреступниками для обхода многофакторной аутентификации (MFA). Злоумышленники применяют вредоносные браузерные расширения и автоматизированные сценарии для извлечения файлов cookie из браузера пользователей, что позволяет им выдавать себя за жертв без прямого доступа к их учетным данным.
Что такое инфокрады и как они работают?
Инфокрады — это категория вредоносных программ, специализирующихся на сборе конфиденциальной информации. Они особенно эффективны в извлечении токенов аутентификации из систем жертв или их приобретении через подпольные торговые площадки. В результате, украденные файлы cookie для аутентификации могут использоваться злоумышленниками для входа в учетные записи и обхода MFA.
Модель «Вредоносное ПО как услуга» (MaaS)
Экосистема инфокрады работает по модели MaaS, где роли варьируются от операторов, создающих вредоносное ПО, до аффилированных лиц, распространяющих его с помощью:
- фишинга;
- вредоносной рекламы;
- скрытных методов распространения.
Современные методы кражи файлов cookie
Кража файлов cookie включает в себя сложные методы фишинга, известные как Advanced Interactive Phishing (AITM). При этом злоумышленники используют инструменты обратного прокси (например, Evilginx) для перехвата токенов аутентификации и сеансовых файлов cookie во время входа пользователя в систему.
Перехват в режиме реального времени позволяет хакерам обойти MFA, не вводя пароли пользователей. Инфокрады также используют память браузера во время активных сеансов, что позволяет извлекать учетные данные в открытом тексте без необходимости расшифровки с дискового хранилища.
Угрозы от вредоносных расширений
Вредоносные браузерные расширения представляют собой серьезную угрозу, поскольку работают в контексте безопасности браузера, запрашивая разрешения, которые позволяют им получить доступ к сохраненным аутентификационным данным. Эти расширения могут:
- перехватывать сеансовые файлы cookie;
- манипулировать веб-взаимодействиями;
- усложнять обнаружение их активности.
Таким образом, украденные файлы cookie могут использоваться злоумышленниками для обхода MFA и получения доступа к важным аккаунтам.
Основные цели кражи файлов cookie
Файлы cookie, связанные с сервисами Azure AD, Google Workspace и AWS Management Console, считаются приоритетными целями для хакеров. Особенно токены:
- ESTSAUTH;
- SAPISID.
Эти токены предоставляют злоумышленникам несанкционированный доступ к сервисам, которые ранее были защищены MFA.
Доказательства концепции
В качестве доказательства концепции был создан постоянный перехватчик файлов cookie с использованием пользовательского расширения Chrome в сочетании со сценарием PowerShell для автоматизации. Данный подход облегчает непрерывное извлечение сессионных файлов cookie во время аутентификации пользователя, не требуя полного заражения вредоносным ПО.
После получения сеансовых файлов cookie злоумышленники могут использовать инструменты, такие как TokenSmith и ROADtools, для повышения привилегий в скомпрометированных системах.
Рекомендации для организаций
В условиях растущей угрозы от новых методов атак организациям настоятельно рекомендуется:
- внедрить строгий контроль доступа;
- создать механизмы мониторинга для снижения рисков;
- обеспечить надежные методы защиты конфиденциальных учетных записей и данных.
Это подчеркивает необходимость повышения безопасности в свете новых вызовов киберугроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
