文/廠商新聞稿 | 2022-08-24發表

Sophos 是新一代網路安全的全球領導者,在 Sophos X-Ops 報告《Cookie 竊取:繞過外圍防禦的新手法》中指出,主動攻擊者越來越常利用竊來工作階段 cookie 繞過多因素驗證 (MFA) 以存取企業資源。在某些情況下,cookie 竊取本身就是一種針對性很強的攻擊,攻擊者會從網路內受感染的系統中抓取 cookie 資料,並使用合法的可執行檔案來掩飾惡意活動。一旦攻擊者利用 cookie 獲得對企業的 Web 和雲端資源使用權限,就可以藉此進行更進一步的入侵,例如商業電子郵件詐騙,以社交工程獲得額外的系統存取權限,甚至是修改資料或原始程式碼存放庫。

Sophos 首席威脅研究員 Sean Gallagher 表示:「在過去一年中,我們看到攻擊者越來越常竊取 cookie 來解決 MFA 日益普及的情形。攻擊者開始採用新版本和改進的資訊竊取惡意軟體,例如 Raccoon Stealer,以簡化取得驗證 cookie 的動作,也就是存取權杖。一旦攻擊者取得工作階段 cookie,他們就可以在網路中自由移動,冒充合法使用者。」

工作階段或驗證 cookie 是使用者登入 Web 資源時,由 Web 瀏覽器儲存的一種特定類型的 cookie。如果攻擊者獲得它們,那麼就可以進行「pass-the-cookie」攻擊,將存取權杖插入到新的 Web 工作階段中,誘使瀏覽器相信它是經過驗證的使用者,免除驗證的需要。此外使用 MFA 時,也會在 Web 瀏覽器上建立和儲存權杖,因此相同的攻擊手法一樣能繞過這一層額外的驗證。雪上加霜的是,許多合法 Web 應用程式的 cookie 是幾乎不會或是永不過期;其他 cookie 則是只有在使用者明確退出服務時才會過期。

在惡意軟體即服務行業出現後,即使是新手也能容易地竊取憑證。例如,他們只需購買一份如 Raccoon Stealer 的資訊竊取木馬程式,然後大量收集密碼和 cookie 等資料,即可在犯罪市場上出售它們,包括 Genesis。攻擊鏈上的其他犯罪分子 (如勒索軟體集團) 隨後可以購買這些資料,然後進行篩選,挖出他們認為對攻擊有用的任何東西。

但相反的,在 Sophos 調查的最近兩起事件中,攻擊者採取了更具針對性的方法。在一個案例中,攻擊者在目標網路中花費了數個月時間從 Microsoft Edge 瀏覽器收集 cookie。最初的入侵是透過一個漏洞利用工具套件進行的,然後攻擊者結合使用 Cobalt Strike 和 Meterpreter 來濫用合法的編譯器工具,以抓取存取權杖。在另一個案例下,攻擊者使用合法的 Microsoft Visual Studio 元件下載了一個惡意裝載,然後抓取了一整週的 cookie 檔案。

Gallagher 說:「雖然過去我們看到過大量 cookie 遭竊,但攻擊者現在正在採取有針對性和精確的方法來竊取 cookie。由於工作場所大多轉型成使用網路,因此攻擊者可以使用竊來的工作階段 cookie 進行難以計數的惡意活動。他們可以竄改雲端基礎架構、修改商業電子郵件、說服其他員工下載惡意軟體,甚至重寫產品程式碼。基本上他們想做什麼都做得到。

「使問題更棘手的是,目前沒有簡單的解法。例如,雖然可以透過服務來縮短 cookie 的使用期限,但這意味著使用者必須更頻繁地重新進行驗證。而且攻擊者會使用合法應用程式來抓取 cookie,代表公司需要將惡意軟體偵測與行為分析結合起來。」

若要了解工作階段 cookie 竊取以及攻擊者如何利用該技術進行惡意活動的更多資訊,請閱讀 Sophos.com 上的完整報告《Cookie 竊取:繞過外圍防禦的新手法》。

了解更多資訊

關於 Sophos

Sophos 是新一代網路安全的全球領導者,保護 150 多個國家/地區的 50 萬家企業和數百萬消費者免受當今最先進的網路威脅的危害。透過來自 SophosLabs 和 SophosAI 的威脅情報、人工智慧和機器學習,Sophos 提供多種先進的產品和服務組合,保護使用者、網路和端點免於勒索軟體、惡意軟體、漏洞利用、網路釣魚和其他網路攻擊。Sophos 提供一個整合式的雲端管理主控台 Sophos Central,這是自適應網路安全生態系統的核心,使用一個提供一整組開放式 API 的資料湖,可供客戶、合作夥伴、開發人員和其他網路安全廠商使用。Sophos 透過經銷商合作夥伴和託管服務供應商 (MSP) 在全球銷售產品和服務。Sophos 總部位於英國牛津。如需詳細資訊請瀏覽 www.sophos.com

熱門新聞

Advertisement