通過竊取Cookie發起的攻擊越來越多

隨著越來越多的企業轉向使用云服務和多因素身份驗證，與身份和身份驗證相關的 cookie 就為攻擊者提供了一條新的攻擊途徑。

憑據竊取惡意軟件是各類攻擊者經常使用的工具包的一部分。雖然用戶帳戶名和密碼是憑據竊取活動的最明顯目標，但越來越多地使用多因素身份驗證 (MFA) 來保護基于 Web 的服務已經使該方法不再有效。越來越多的攻擊者轉向竊取與證書相關的“cookie”來復制當前或最近的web會話，并在此過程中繞過MFA。

最新版的 Emotet 僵尸網絡只是針對瀏覽器存儲的 cookie 和其他憑據（例如存儲的登錄名和在某些情況下支付卡數據）的眾多惡意軟件家族之一。谷歌的 Chrome 瀏覽器使用相同的加密方法來存儲多因素身份驗證 cookie 和信用卡數據——這兩個都是Emotet的目標。

針對 cookie 的攻擊范圍很廣，小到信息竊取惡意軟件，例如 Raccoon Stealer 惡意軟件即服務和 RedLine Stealer 鍵盤記錄器/信息竊取程序，它們都可以通過地下論壇購買，且通常被入門者用來批量盜取cookie和其他證書，并出售給犯罪市場。

 美國藝電公司（Electronic Arts，NASDAQ: ERTS，簡稱EA）一名員工的 cookie 就出現了明顯的泄漏。黑客組織Lapsus$的成員聲稱從市場購買了一個被盜的會話 cookie，使他們能夠訪問 EA 的 Slack 實例；這使他們能夠欺騙 EA 員工的現有登錄名，并欺騙 EA 的 IT 團隊成員為他們提供網絡訪問權限。這使得 Lapsus$ 能夠獲取 780 GB 的數據，包括游戲和圖形引擎源代碼，該企業隨后利用這些數據試圖勒索 EA。

對于高級攻擊者來說，研究人員觀察到活躍的攻擊者以各種方式獲取 cookie。在某些示例中，研究人員已經看到勒索軟件運營商使用了與不太復雜的攻擊者相同的信息竊取惡意軟件的證據。但研究人員也經常看到實際攻擊濫用合法的攻擊安全工具，例如 Mimikatz、Metasploit Meterpreter 和 Cobalt Strike，以執行 cookie 收集惡意軟件或運行從瀏覽器緩存中獲取 cookie 的腳本。

還有一些合法的應用程序和進程可以與瀏覽器的cookie文件交互。研究人員在 Sophos 的遙測技術中發現了cookie-snooping檢測的反惡意軟件、審計工具和操作系統助手：例如，Bing 的壁紙更新程序可以訪問 cookie來獲取新的桌面背景。但是，在篩選出這些良性來源后，我們看到每天有數千次訪問瀏覽器 cookie 的嘗試超出了良性軟件行為的范圍。有時，隨著特定活動的啟動，這些檢測結果會急劇上升。此外，一些使用 cookie 的合法應用程序可能會泄露它們，從而將令牌暴露給攻擊者。

進入存儲cookie的文件 

瀏覽器將 cookie 存儲在文件中，對于 Mozilla Firefox、Google Chrome 和 Microsoft Edge，該文件是用戶配置文件文件夾中的 SQLite 數據庫。類似的SQLite文件存儲瀏覽器歷史記錄，網站登錄和自動填充這些瀏覽器的信息。其他連接到遠程服務的應用程序有自己的cookie存儲庫，或者在某些情況下可以訪問web瀏覽器的cookie存儲庫。

數據庫中每個 cookie 的內容都是參數和值的列表，一個鍵值存儲，用于標識與遠程網站的瀏覽器會話，在某些情況下，還包括在用戶身份驗證后由網站傳遞給瀏覽器的令牌。其中一個鍵值對指定cookie的過期時間，即cookie在必須更新之前的有效時間。

cookies.sqlite 文件中的一些 cookie

竊取cookie的原因很簡單：與web服務身份驗證相關的cookie可能被攻擊者用于“傳遞cookie”攻擊，試圖偽裝成最初向其發出cookie的合法用戶，并在沒有登錄挑戰的情況下獲得對web服務的訪問權。這類似于“傳遞哈希”攻擊，它使用本地存儲的身份驗證哈希來訪問網絡資源，而無需破解密碼。

合法的網絡服務活動

“傳遞cookie”攻擊是如何發起攻擊的

這可能導致對web服務(如AWS或Azure)、軟件即服務和協作服務的利用，以進一步暴露或橫向移動數據，如商業電子郵件泄露、訪問云數據存儲，或使用劫持的Slack會話引誘其他受害者下載惡意軟件或暴露其他可用于訪問的數據。

許多基于web的應用程序執行額外的檢查以防止會話欺騙，例如根據發起會話的位置檢查請求的IP地址。但是，如果 cookie 被同一網絡內的手動鍵盤攻擊者使用，那么這些措施可能不足以阻止攻擊。而為桌面和移動結合使用而構建的應用程序可能不會始終如一地使用地理位置。

有些cookie竊取攻擊可能完全從目標本身的瀏覽器中遠程發起。HTML注入攻擊可以使用插入易受攻擊的網頁的代碼來利用其他服務的 cookie，這允許訪問目標在這些服務上的個人信息，并允許更改密碼和電子郵件。

盜取cookie 的成本收益

通常，惡意軟件運營商會使用付費下載服務和其他無針對性的方法，以低成本和不費力的方式收集盡可能多的受害者 cookie 和其他相關憑據。這種類型的竊取器部署非常類似于 Raccoon Stealer 和我們看到的其他惡意軟件活動，這些惡意軟件活動通過 dropper 來傳播。

ISO 或 ZIP 文件中的惡意軟件包通過搜索引擎優化提升的惡意網站作為盜版或“破解”商業軟件包的安裝程序。基于 ISO 的傳播包也被廣泛用于代替惡意軟件垃圾郵件活動中的惡意文檔，這主要是因為微軟最近屏蔽了來自互聯網的Office文件中的宏。

研究人員在一個大學網絡上看到的“下載即服務”示例中，竊取的惡意軟件包含在一個從網站下載的虛假軟件安裝程序中，很可能是一個廣告盜版商業軟件。安裝程序通過用戶下載的 300 兆 ISO 文件的形式傳播，大型 ISO 文件經常被用于阻止惡意軟件檢測軟件的文件掃描。

ISO 包含 BLENDERINSTALLER3.0.EXE，這是一個來自另一個軟件包的重新利用的軟件安裝實用程序。該釋放程序使用 PowerShell 命令和使用 AutoIT（一種經常被惡意軟件運營商濫用的合法工具）創建的可執行文件安裝多個文件，以從 .ISO 中提取惡意軟件，并從 Discord 的內容傳播網絡下載其他惡意軟件文件。然后，惡意軟件包通過 .NET 進程（使用 .NET 框架中的 jsc.exe）注入一系列命令，以從 Chrome 中獲取 cookie 和登錄數據。

一個虛假的安裝程序/信息竊取cookie程序

高度復雜的攻擊過程

惡意垃圾郵件還與其他偽裝附件一起使用，通常針對特定行業或國家的企業。2021 年 10 月，一名土耳其計算機用戶收到了一封電子郵件，其附件是一個 XZ壓縮文件。這包含一個偽裝的可執行文件，“ürün ?rnekleri resmi pdf.exe”（翻譯為“產品樣本圖像 pdf.exe”）。該可執行文件是一個使用 Delphi 編程語言（稱為“BobSoft Mini Delphi”）構建的自解壓惡意軟件dropper。

這個dropper依次安裝了幾個可執行程序。第一個是合法的Microsoft Visual Studio組件(msbuild.exe)。MSBuild 通常用于編譯和執行編碼項目，它可以在命令行上傳遞項目文件或包含腳本的 XML 文件，并啟動它們。由于該文件是受信任的 Microsoft 二進制文件，因此可以將其打包到 dropper 中，以掩蓋惡意軟件的惡意性質。

第二個可執行文件是從 Discord 內容傳播網絡中檢索并解密的，它是 Phoenix 鍵盤記錄器，一個信息竊取者。QuasarRat 也在某個時候被釋放，這是一個用 C# 編寫的遠程訪問工具。

在接下來的一周中，攻擊者使用安裝的QuasarRAT啟動了Phoenix信息竊取程序并通過 MSBuild 執行命令。MSBuild 構建和執行的命令訪問了目標設備上的 cookie 文件。

Malspam / Phoenix 竊取的過程

有針對性的利用

竊取 cookie 不僅僅是一項自動化活動。在某些情況下，這也是積極的攻擊者尋求加深對目標網絡滲透的努力的一部分。在這些情況下，攻擊者利用網絡上的攻擊入口來部署利用工具，并使用這些工具來傳播他們的訪問權限。隨著越來越多的有價值的數據從網絡轉移到云服務中，這些攻擊者通過竊取cookie和抓取web登錄數據來增加這些服務的橫向移動。

研究人員在2022年6月發現了一個這種類型的長期攻擊活動，其中竊取cookie是持續數月的 Cobalt Strike 和 Meterpreter 活動的一部分。攻擊者專門針對 Microsoft Edge 瀏覽器中的 cookie。首先，他們能夠使用 Impacket 漏洞利用工具包通過 Windows SMB 文件傳輸從初始入口點傳播，將 Cobalt Strike 和 Meterpreter 釋放到網絡內的目標計算機上。

竊取cookie

接下來，攻擊者在目標系統上放置了一個合法 Perl 腳本解釋器的副本，以及之前基于 Impacket 的攻擊中看到的 Perl 腳本文件（名為 c）和批處理文件（execute.exe）。然后他們使用 Meterpreter 傳遞以下命令字符串：

Perl腳本訪問目標計算機上的cookie文件，并將內容輸出到一個名為_output的臨時文件。該批處理文件將 _output 的內容傳回給攻擊者并刪除了 Perl 腳本。其余的 shell 命令關閉了屏幕輸出，刪除了批處理文件，并終止了命令 shell。

這三個示例僅代表 cookie 竊取網絡犯罪的冰山一角。竊取信息的惡意軟件越來越多地將竊取cookie作為其功能的一部分，而低成本高收益使得銷售竊取的cookie成為一項可行的業務。但更有針對性的攻擊者也以 cookie 為目標，他們的活動可能無法被簡單的反惡意軟件防御檢測到，因為他們濫用了合法的可執行文件，包括已經存在和作為工具帶來的合法可執行文件。

如果沒有這么多應用程序使用長期訪問 cookie，那么 cookie 竊取幾乎不會構成威脅。例如，Slack結合使用持久cookie和特定于會話的cookie來檢查用戶的身份和身份驗證。當瀏覽器關閉時，會話cookie會被清除，但其中一些應用程序(如Slack)在某些環境中仍然無限期地打開。這些cookie過期的速度可能不夠快，無法防止被盜時被人利用。如果用戶不關閉會話，與一些多因素身份驗證相關聯的單點登錄令牌可能會造成同樣的潛在威脅。

定期清除瀏覽器的cookie和其他認證信息可以減少瀏覽器配置文件提供的潛在攻擊面，企業可以使用一些基于 Web 的平臺的管理工具來縮短 cookie 保持有效的允許時間范圍。

但強化cookie政策是有代價的。縮短cookie的生命周期意味著用戶需要進行更多的重新身份驗證。而且，一些利用基于Electron或類似開發平臺的客戶端的基于web的應用程序可能有它們自己的cookie處理問題。例如，他們可能有自己的 cookie 存儲，攻擊者可以在 Web 瀏覽器存儲的上下文之外專門針對這些存儲。