Техники: T1550 , T1550.001 , T1550.002 , T1550.003 , T1550.004
Злоумышленники могут использовать украденные файлы cookie сеанса для аутентификации в веб-приложениях и службах.Эта техника позволяет обойти некоторые протоколы многофакторной аутентификации, поскольку сеанс уже аутентифицирован.(Цитата: Pass The Cookie)
Куки аутентификации обычно используются в веб-приложениях, включая облачные сервисы, после того, как пользователь аутентифицировался на сервисе, поэтому учетные данные не передаются и повторная аутентификация не требуется так часто. Cookies часто действуют в течение длительного периода времени, даже если веб-приложение не используется активно. После получения cookie с помощью Steal Web Session Cookie или Web Cookies злоумышленник может импортировать cookie в контролируемый им браузер и использовать сайт или приложение в качестве пользователя до тех пор, пока активна сессионная cookie. Войдя на сайт, злоумышленник может получить доступ к конфиденциальной информации, прочитать электронную почту или выполнить действия, на которые у учетной записи жертвы есть разрешения.
примеры вредоносного ПО, использующего сессионные куки для обхода систем многофакторной аутентификации.(Цитата: Unit 42 Mac Crypto Cookies January 2019)
https://attack.mitre.org/techniques/T1550/004
Визуализация смежных техник для T1550.004
| № | Техника |
|---|
