日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

隨著越來(lái)越多的企業(yè)轉(zhuǎn)向使用云服務(wù)和多因素身份驗(yàn)證，與身份和身份驗(yàn)證相關(guān)的 cookie 就為攻擊者提供了一條新的攻擊途徑。

憑據(jù)竊取惡意軟件是各類攻擊者經(jīng)常使用的工具包的一部分。雖然用戶帳戶名和密碼是憑據(jù)竊取活動(dòng)的最明顯目標(biāo)，但越來(lái)越多地使用多因素身份驗(yàn)證 (MFA) 來(lái)保護(hù)基于 Web 的服務(wù)已經(jīng)使該方法不再有效。越來(lái)越多的攻擊者轉(zhuǎn)向竊取與證書(shū)相關(guān)的“cookie”來(lái)復(fù)制當(dāng)前或最近的web會(huì)話，并在此過(guò)程中繞過(guò)MFA。

最新版的 Emotet 僵尸網(wǎng)絡(luò)只是針對(duì)瀏覽器存儲(chǔ)的 cookie 和其他憑據(jù)（例如存儲(chǔ)的登錄名和在某些情況下支付卡數(shù)據(jù)）的眾多惡意軟件家族之一。谷歌的 Chrome 瀏覽器使用相同的加密方法來(lái)存儲(chǔ)多因素身份驗(yàn)證 cookie 和信用卡數(shù)據(jù)——這兩個(gè)都是Emotet的目標(biāo)。

針對(duì) cookie 的攻擊范圍很廣，小到信息竊取惡意軟件，例如 Raccoon Stealer 惡意軟件即服務(wù)和 RedLine Stealer 鍵盤記錄器/信息竊取程序，它們都可以通過(guò)地下論壇購(gòu)買，且通常被入門者用來(lái)批量盜取cookie和其他證書(shū)，并出售給犯罪市場(chǎng)。

美國(guó)藝電公司（Electronic Arts，NASDAQ: ERTS，簡(jiǎn)稱EA）一名員工的 cookie 就出現(xiàn)了明顯的泄漏。黑客組織Lapsus$的成員聲稱從市場(chǎng)購(gòu)買了一個(gè)被盜的會(huì)話 cookie，使他們能夠訪問(wèn) EA 的 Slack 實(shí)例；這使他們能夠欺騙 EA 員工的現(xiàn)有登錄名，并欺騙 EA 的 IT 團(tuán)隊(duì)成員為他們提供網(wǎng)絡(luò)訪問(wèn)權(quán)限。這使得 Lapsus$ 能夠獲取 780 GB 的數(shù)據(jù)，包括游戲和圖形引擎源代碼，該企業(yè)隨后利用這些數(shù)據(jù)試圖勒索 EA。

對(duì)于高級(jí)攻擊者來(lái)說(shuō)，研究人員觀察到活躍的攻擊者以各種方式獲取 cookie。在某些示例中，研究人員已經(jīng)看到勒索軟件運(yùn)營(yíng)商使用了與不太復(fù)雜的攻擊者相同的信息竊取惡意軟件的證據(jù)。但研究人員也經(jīng)?？吹綄?shí)際攻擊濫用合法的攻擊安全工具，例如 Mimikatz、Metasploit Meterpreter 和 Cobalt Strike，以執(zhí)行 cookie 收集惡意軟件或運(yùn)行從瀏覽器緩存中獲取 cookie 的腳本。

還有一些合法的應(yīng)用程序和進(jìn)程可以與瀏覽器的cookie文件交互。研究人員在 Sophos 的遙測(cè)技術(shù)中發(fā)現(xiàn)了cookie-snooping檢測(cè)的反惡意軟件、審計(jì)工具和操作系統(tǒng)助手：例如，Bing 的壁紙更新程序可以訪問(wèn) cookie來(lái)獲取新的桌面背景。但是，在篩選出這些良性來(lái)源后，我們看到每天有數(shù)千次訪問(wèn)瀏覽器 cookie 的嘗試超出了良性軟件行為的范圍。有時(shí)，隨著特定活動(dòng)的啟動(dòng)，這些檢測(cè)結(jié)果會(huì)急劇上升。此外，一些使用 cookie 的合法應(yīng)用程序可能會(huì)泄露它們，從而將令牌暴露給攻擊者。

進(jìn)入存儲(chǔ)cookie的文件

瀏覽器將 cookie 存儲(chǔ)在文件中，對(duì)于 Mozilla Firefox、google Chrome 和 Microsoft Edge，該文件是用戶配置文件文件夾中的 SQLite 數(shù)據(jù)庫(kù)。類似的SQLite文件存儲(chǔ)瀏覽器歷史記錄，網(wǎng)站登錄和自動(dòng)填充這些瀏覽器的信息。其他連接到遠(yuǎn)程服務(wù)的應(yīng)用程序有自己的cookie存儲(chǔ)庫(kù)，或者在某些情況下可以訪問(wèn)web瀏覽器的cookie存儲(chǔ)庫(kù)。

數(shù)據(jù)庫(kù)中每個(gè) cookie 的內(nèi)容都是參數(shù)和值的列表，一個(gè)鍵值存儲(chǔ)，用于標(biāo)識(shí)與遠(yuǎn)程網(wǎng)站的瀏覽器會(huì)話，在某些情況下，還包括在用戶身份驗(yàn)證后由網(wǎng)站傳遞給瀏覽器的令牌。其中一個(gè)鍵值對(duì)指定cookie的過(guò)期時(shí)間，即cookie在必須更新之前的有效時(shí)間。

cookies.sqlite 文件中的一些 cookie

竊取cookie的原因很簡(jiǎn)單：與web服務(wù)身份驗(yàn)證相關(guān)的cookie可能被攻擊者用于“傳遞cookie”攻擊，試圖偽裝成最初向其發(fā)出cookie的合法用戶，并在沒(méi)有登錄挑戰(zhàn)的情況下獲得對(duì)web服務(wù)的訪問(wèn)權(quán)。這類似于“傳遞哈希”攻擊，它使用本地存儲(chǔ)的身份驗(yàn)證哈希來(lái)訪問(wèn)網(wǎng)絡(luò)資源，而無(wú)需破解密碼。

合法的網(wǎng)絡(luò)服務(wù)活動(dòng)

“傳遞cookie”攻擊是如何發(fā)起攻擊的

這可能導(dǎo)致對(duì)web服務(wù)(如AWS或Azure)、軟件即服務(wù)和協(xié)作服務(wù)的利用，以進(jìn)一步暴露或橫向移動(dòng)數(shù)據(jù)，如商業(yè)電子郵件泄露、訪問(wèn)云數(shù)據(jù)存儲(chǔ)，或使用劫持的Slack會(huì)話引誘其他受害者下載惡意軟件或暴露其他可用于訪問(wèn)的數(shù)據(jù)。

許多基于web的應(yīng)用程序執(zhí)行額外的檢查以防止會(huì)話欺騙，例如根據(jù)發(fā)起會(huì)話的位置檢查請(qǐng)求的IP地址。但是，如果 cookie 被同一網(wǎng)絡(luò)內(nèi)的手動(dòng)鍵盤攻擊者使用，那么這些措施可能不足以阻止攻擊。而為桌面和移動(dòng)結(jié)合使用而構(gòu)建的應(yīng)用程序可能不會(huì)始終如一地使用地理位置。

有些cookie竊取攻擊可能完全從目標(biāo)本身的瀏覽器中遠(yuǎn)程發(fā)起。html注入攻擊可以使用插入易受攻擊的網(wǎng)頁(yè)的代碼來(lái)利用其他服務(wù)的 cookie，這允許訪問(wèn)目標(biāo)在這些服務(wù)上的個(gè)人信息，并允許更改密碼和電子郵件。

盜取cookie 的成本收益

通常，惡意軟件運(yùn)營(yíng)商會(huì)使用付費(fèi)下載服務(wù)和其他無(wú)針對(duì)性的方法，以低成本和不費(fèi)力的方式收集盡可能多的受害者 cookie 和其他相關(guān)憑據(jù)。這種類型的竊取器部署非常類似于 Raccoon Stealer 和我們看到的其他惡意軟件活動(dòng)，這些惡意軟件活動(dòng)通過(guò) dropper 來(lái)傳播。

ISO 或 ZIP 文件中的惡意軟件包通過(guò)搜索引擎優(yōu)化提升的惡意網(wǎng)站作為盜版或“破解”商業(yè)軟件包的安裝程序?；?ISO 的傳播包也被廣泛用于代替惡意軟件垃圾郵件活動(dòng)中的惡意文檔，這主要是因?yàn)槲④涀罱帘瘟藖?lái)自互聯(lián)網(wǎng)的office文件中的宏。

研究人員在一個(gè)大學(xué)網(wǎng)絡(luò)上看到的“下載即服務(wù)”示例中，竊取的惡意軟件包含在一個(gè)從網(wǎng)站下載的虛假軟件安裝程序中，很可能是一個(gè)廣告盜版商業(yè)軟件。安裝程序通過(guò)用戶下載的 300 兆 ISO 文件的形式傳播，大型 ISO 文件經(jīng)常被用于阻止惡意軟件檢測(cè)軟件的文件掃描。

ISO 包含 BLENDERINSTALLER3.0.EXE，這是一個(gè)來(lái)自另一個(gè)軟件包的重新利用的軟件安裝實(shí)用程序。該釋放程序使用 PowerShell 命令和使用 AutoIT（一種經(jīng)常被惡意軟件運(yùn)營(yíng)商濫用的合法工具）創(chuàng)建的可執(zhí)行文件安裝多個(gè)文件，以從 .ISO 中提取惡意軟件，并從 Discord 的內(nèi)容傳播網(wǎng)絡(luò)下載其他惡意軟件文件。然后，惡意軟件包通過(guò) .NET 進(jìn)程（使用 .NET 框架中的 jsc.exe）注入一系列命令，以從 Chrome 中獲取 cookie 和登錄數(shù)據(jù)。

一個(gè)虛假的安裝程序/信息竊取cookie程序

高度復(fù)雜的攻擊過(guò)程

惡意垃圾郵件還與其他偽裝附件一起使用，通常針對(duì)特定行業(yè)或國(guó)家的企業(yè)。2021 年 10 月，一名土耳其計(jì)算機(jī)用戶收到了一封電子郵件，其附件是一個(gè) XZ壓縮文件。這包含一個(gè)偽裝的可執(zhí)行文件，“ürün örnekleri resmi pdf.exe”（翻譯為“產(chǎn)品樣本圖像 pdf.exe”）。該可執(zhí)行文件是一個(gè)使用 Delphi 編程語(yǔ)言（稱為“BobSoft Mini Delphi”）構(gòu)建的自解壓惡意軟件dropper。

這個(gè)dropper依次安裝了幾個(gè)可執(zhí)行程序。第一個(gè)是合法的Microsoft Visual Studio組件(msbuild.exe)。MSBuild 通常用于編譯和執(zhí)行編碼項(xiàng)目，它可以在命令行上傳遞項(xiàng)目文件或包含腳本的 XML 文件，并啟動(dòng)它們。由于該文件是受信任的 Microsoft 二進(jìn)制文件，因此可以將其打包到 dropper 中，以掩蓋惡意軟件的惡意性質(zhì)。

第二個(gè)可執(zhí)行文件是從 Discord 內(nèi)容傳播網(wǎng)絡(luò)中檢索并解密的，它是 Phoenix 鍵盤記錄器，一個(gè)信息竊取者。QuasarRat 也在某個(gè)時(shí)候被釋放，這是一個(gè)用 C# 編寫的遠(yuǎn)程訪問(wèn)工具。

在接下來(lái)的一周中，攻擊者使用安裝的QuasarRAT啟動(dòng)了Phoenix信息竊取程序并通過(guò) MSBuild 執(zhí)行命令。MSBuild 構(gòu)建和執(zhí)行的命令訪問(wèn)了目標(biāo)設(shè)備上的 cookie 文件。

Malspam / Phoenix 竊取的過(guò)程

有針對(duì)性的利用

竊取 cookie 不僅僅是一項(xiàng)自動(dòng)化活動(dòng)。在某些情況下，這也是積極的攻擊者尋求加深對(duì)目標(biāo)網(wǎng)絡(luò)滲透的努力的一部分。在這些情況下，攻擊者利用網(wǎng)絡(luò)上的攻擊入口來(lái)部署利用工具，并使用這些工具來(lái)傳播他們的訪問(wèn)權(quán)限。隨著越來(lái)越多的有價(jià)值的數(shù)據(jù)從網(wǎng)絡(luò)轉(zhuǎn)移到云服務(wù)中，這些攻擊者通過(guò)竊取cookie和抓取web登錄數(shù)據(jù)來(lái)增加這些服務(wù)的橫向移動(dòng)。

研究人員在2022年6月發(fā)現(xiàn)了一個(gè)這種類型的長(zhǎng)期攻擊活動(dòng)，其中竊取cookie是持續(xù)數(shù)月的 Cobalt Strike 和 Meterpreter 活動(dòng)的一部分。攻擊者專門針對(duì) Microsoft Edge 瀏覽器中的 cookie。首先，他們能夠使用 Impacket 漏洞利用工具包通過(guò) windows SMB 文件傳輸從初始入口點(diǎn)傳播，將 Cobalt Strike 和 Meterpreter 釋放到網(wǎng)絡(luò)內(nèi)的目標(biāo)計(jì)算機(jī)上。

竊取cookie

接下來(lái)，攻擊者在目標(biāo)系統(tǒng)上放置了一個(gè)合法 Perl 腳本解釋器的副本，以及之前基于 Impacket 的攻擊中看到的 Perl 腳本文件（名為 c）和批處理文件（execute.exe）。然后他們使用 Meterpreter 傳遞以下命令字符串：

Perl腳本訪問(wèn)目標(biāo)計(jì)算機(jī)上的cookie文件，并將內(nèi)容輸出到一個(gè)名為_(kāi)output的臨時(shí)文件。該批處理文件將 _output 的內(nèi)容傳回給攻擊者并刪除了 Perl 腳本。其余的 shell 命令關(guān)閉了屏幕輸出，刪除了批處理文件，并終止了命令 shell。

這三個(gè)示例僅代表 cookie 竊取網(wǎng)絡(luò)犯罪的冰山一角。竊取信息的惡意軟件越來(lái)越多地將竊取cookie作為其功能的一部分，而低成本高收益使得銷售竊取的cookie成為一項(xiàng)可行的業(yè)務(wù)。但更有針對(duì)性的攻擊者也以 cookie 為目標(biāo)，他們的活動(dòng)可能無(wú)法被簡(jiǎn)單的反惡意軟件防御檢測(cè)到，因?yàn)樗麄優(yōu)E用了合法的可執(zhí)行文件，包括已經(jīng)存在和作為工具帶來(lái)的合法可執(zhí)行文件。

如果沒(méi)有這么多應(yīng)用程序使用長(zhǎng)期訪問(wèn) cookie，那么 cookie 竊取幾乎不會(huì)構(gòu)成威脅。例如，Slack結(jié)合使用持久cookie和特定于會(huì)話的cookie來(lái)檢查用戶的身份和身份驗(yàn)證。當(dāng)瀏覽器關(guān)閉時(shí)，會(huì)話cookie會(huì)被清除，但其中一些應(yīng)用程序(如Slack)在某些環(huán)境中仍然無(wú)限期地打開(kāi)。這些cookie過(guò)期的速度可能不夠快，無(wú)法防止被盜時(shí)被人利用。如果用戶不關(guān)閉會(huì)話，與一些多因素身份驗(yàn)證相關(guān)聯(lián)的單點(diǎn)登錄令牌可能會(huì)造成同樣的潛在威脅。

定期清除瀏覽器的cookie和其他認(rèn)證信息可以減少瀏覽器配置文件提供的潛在攻擊面，企業(yè)可以使用一些基于 Web 的平臺(tái)的管理工具來(lái)縮短 cookie 保持有效的允許時(shí)間范圍。

但強(qiáng)化cookie政策是有代價(jià)的。縮短cookie的生命周期意味著用戶需要進(jìn)行更多的重新身份驗(yàn)證。而且，一些利用基于Electron或類似開(kāi)發(fā)平臺(tái)的客戶端的基于web的應(yīng)用程序可能有它們自己的cookie處理問(wèn)題。例如，他們可能有自己的 cookie 存儲(chǔ)，攻擊者可以在 Web 瀏覽器存儲(chǔ)的上下文之外專門針對(duì)這些存儲(chǔ)。

參考及來(lái)源：https://news.sophos.com/en-us/2022/08/18/cookie-stealing-the-new-perimeter-bypass/