Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1539
Злоумышленник может украсть файлы cookie сеанса веб-приложения или службы и использовать их для получения доступа к веб-приложениям или интернет-сервисам в качестве аутентифицированного пользователя без необходимости использования учетных данных. Веб-приложения и сервисы часто используют сеансовые файлы cookie в качестве маркера аутентификации после того, как пользователь авторизовался на сайте.
Файлы cookie часто действуют в течение длительного периода времени, даже если веб-приложение активно не используется. Файлы cookie могут находиться на диске, в памяти процесса браузера и в сетевом трафике удаленных систем. Кроме того, другие приложения на целевой машине могут хранить в памяти конфиденциальные файлы cookie для аутентификации (например, приложения для аутентификации в облачных сервисах).Сеансовые куки могут использоваться для обхода некоторых протоколов многофакторной аутентификации.(Цит. по: Pass The Cookie)
Существует несколько примеров вредоносного ПО, нацеленного на куки из веб-браузеров на локальной системе.(Цит. по: Kaspersky TajMahal April 2019)(Цит. по: Unit 42 Mac Crypto Cookies January 2019) Злоумышленники также могут похищать куки, внедряя вредоносный JavaScript-контент на веб-сайты или полагаясь на User Execution, обманом заставляя жертву запустить вредоносный JavaScript в браузере.(Цитата: Talos Roblox Scam 2023)(Цитата: Krebs Discord Bookmarks 2023)
Существуют также фреймворки с открытым исходным кодом, такие как `Evilginx2` и `Muraena`, которые могут собирать сессионные куки через вредоносный прокси (например,Adversary-in-the-Middle), который может быть создан Злоумышленником и использован в фишинговых кампаниях.(Цитата: Github evilginx2)(Цитата: GitHub Mauraena)
После того как Злоумышленник получает действительный cookie, он может выполнить технику Web Session Cookie, чтобы войти в соответствующее веб-приложение.
https://attack.mitre.org/techniques/T1539
Визуализация смежных техник для T1539
| № | Техника |
|---|
