关键词
威胁研究、cookie窃取、恶意软件、信息窃取
使用恶意软件窃取身份凭证是网络犯罪行为的工作流程之一。虽然用户名和密码是凭证窃取行为显而易见的目标,但是随着多因素身份验证(MFA)在web服务保护方面越来越广泛的使用,上述方法的可行性大大降低。攻击者更倾向于窃取与凭证信息有关的cookie来克隆最近的或正在启动的web会话,从而绕过MFA。
以最新版本的Emotet僵尸网络为代表的恶意软件针对浏览器存储的cookie和其他凭证(例如存储的登录和支付卡数据)进行窃取活动。Google的Chrome浏览器采用了相同的加密方法来存储多因素身份验证cookie和信用卡数据,这使它成为了Emotet的目标。
针对 cookie 的犯罪活动范围很广。在网络犯罪圈子的底端,新手级犯罪者常使用例如Raccoon Stealer和RedLine Stealer键盘记录器/信息窃取程序等信息窃取恶意软件作为工具,此两者均可以在地下论坛购买。而高水平犯罪者批量收集cookie和其他凭证并将其出售给犯罪市场。
Genesis,上述市场之一,使用了游戏开发商Electronic Arts(EA)某员工的cookie作为来源。Lapsus$ 勒索组织的成员声称从市场购买了一个被盗的会话 cookie,使他们能够访问 EA 的 Slack 实例,伪装成已存在的EA员工登录账号用于欺骗EA的IT部门成员来获得网络访问权限。Lapsus$ 通过这种途径获取了780GB的数据,包括游戏和图形引擎源代码,该组织随后利用这些数据来勒索EA。
在高级犯罪谱系中,我们观察到活跃的犯罪者以各种方式获取cookie。在某些情况下,我们已经找到了勒索软件运营商使用与技术水平较低的犯罪者相同的信息窃取软件的证据。但我们也经常看到人工的攻击滥用合法的攻击性安全工具,例如使用Mimikatz,Metasploit Meterpreter和Cobalt Strike来执行cookie收集恶意软件或运行能够从浏览器缓存中获取cookie的脚本。
还有一些合法的应用程序和进程可以与浏览器的cookie文件交互。利用Sophos的探测技术,就发现了用于cookie窥探的反恶意程序软件、审计工具和操作系统助手。例如,必应的墙纸更新程序可以访问cookie来获取新的桌面背景。但随着这些良性源被筛选出来,我们看到每天有数以千计的尝试访问浏览器cookie的行为,这些都不在良性软件行为的范围之内。随着特定活动的展开,这些检测结果会急剧上升。此外,一些使用cookie的合法应用程序可能会泄露cookie,将令牌暴露给攻击者。
浏览器将cookie存储在文件中。对于Mozilla Firefox、谷歌Chrome和Microsoft Edge,该文件是用户配置文件目录下的SQLite数据库(类似的SQLite文件存储浏览器历史记录、网站登录和这些浏览器的自动填充信息)。其他连接到远程服务的应用程序有自己的cookie存储库,或者在某些情况下可以访问web浏览器的cookie存储库。
图1:cookie.sqlite文件中的一些cookie
图2-2:传递cookie攻击是如何破坏web活动
这可能导致对web服务(如AWS或Azure)、软件即服务和协作服务的进一步利用,以达到暴露有关数据或横向移动的目的。如进行商业电子邮件泄漏、访问云数据存储,或使用劫持的Slack会话引诱其他受害者下载恶意软件或暴露其他可用于访问的数据。
许多基于web的应用程序执行额外的检查以防止会话欺骗,例如根据发起会话的位置检查请求的IP地址。但如果cookie被来自同一网络的手动执行攻击的攻击者使用,这些措施可能面临失效。具备主机端和移动端的应用程序可能不会一直使用相同的地理位置。
有些cookie盗窃攻击可能完全从目标自己的浏览器中远程发起。HTML注入攻击可以使用插入脆弱网页的代码来获取并利用其他服务的cookie,使其允许访问目标在这些服务上的个人信息,并允许更改密码和电子邮件。
通常,恶意软件运营商会使用付费下载服务和其他无针对性的方法,以低成本和很少的努力收集尽可能多的受害者的cookie和其他凭证。这种类型的偷窃部署与Raccoon Stealer非常相似,我们在其他一些恶意软件活动中也见过类似的部署。
ISO或ZIP文件中的恶意软件包通过搜索引擎优化的恶意网站发布广告,作为盗版或破解版商业软件包的安装程序。基于ISO的交付包也被广泛用于恶意软件垃圾邮件活动中,以取代恶意文档,这主要是因为微软最近屏蔽了来自互联网的Office文件中的宏。
我们在一个大学网络上看到的“下载即服务”案例中,用于窃取的恶意软件藏匿在一个从网站下载的假软件安装程序中,该网站一般用于宣传盗版商业软件。安装程序是一个用户下载的300兆字节的ISO文件。而大型ISO文件常用来干扰恶意软件检测程序的文件扫描过程。
ISO中包含BLENDERINSTALLER3.0.EXE,这是一个通过更改另一个软件包得到的软件安装实用程序。该dropper安装了一些文件,使用PowerShell命令和AutoIT(一种经常被恶意软件运营商滥用的合法工具)创建的可执行文件来从.iso中提取恶意软件并从Discord的内容分发网络中下载额外的恶意软件文件。该软件随后通过.NET进程(使用.net框架中的jsc.exe)注入一系列命令来从Chrome中获取cookie和登录数据。
图3:一个虚假的安装程序/信息cookie盗窃
恶意垃圾邮件常与其他伪装的附件一起使用,通常针对特定行业或地点的组织。2021年10月,一名土耳其计算机用户收到一封带有附件的电子邮件,这是一份XZ存档文件。它包含了一个伪装的可执行文件,“ürün örnekleri resmi pdf.exe”(翻译成“产品样本图像pdf.exe”)。该可执行文件是一个用Delphi编程语言(被称为“BobSoft Mini Delphi”)构建的自提取恶意软件。
该dropper依次安装数个可执行程序。第一个是合法的Microsoft Visual Studio组件msbuild.exe。MSBuild通常用于编译和执行编码项目,它可以传递项目文件或包含命令行脚本的XML文件并启动它们。由于该文件是一个可信的微软二进制文件,它可以被打包到一个dropper中来掩盖恶意软件的恶意性质。
第二个可执行文件是从Discord内容发布网络中获取并解密的。它是Phoenix键盘记录器,一个信息窃取程序。同样被注入dropper的还有用c#编写的远程访问工具QuasarRat。
图4:Malspam / Phoenix信息盗窃过程描述
窃取cookie不仅仅是一种自动行为。在某些情况下,这也是积极的对手寻求加深对目标网络渗透的努力的一部分。在这些情况下,攻击者利用网络上的一个据点来部署攻击工具,并利用这些工具来加深他们的访问。随着越来越多的有价值的数据从网络转移到云服务中,这些攻击者通过窃取cookie和抓取web登录数据来增加对这些服务所在内网的渗透。
接下来,攻击者在目标系统上放置了一个合法的Perl脚本解释器的副本,以及一个Perl脚本文件(名为c)和一个批处理文件(execute.exe),该文件在过去基于impacet的入侵中见过。然后他们使用Meterpreter传递以下命令字符串:
c:\windows\vss\perl.exe -type c ^> \\127.0.0.1\C$\__output 2^>^&1 >C:\WINDOWS\TEMP\execute.bat & C:\WINDOWS\system32\cmd.exe/Q /c C:\WINDOWS\TEMP\execute.bat & del C:\WINDOWS\TEMP\execute.bat
Perl脚本访问目标计算机上的cookie文件,并将内容输出到一个名为_output的临时文件。批处理文件将_output的内容传输回攻击者并删除Perl脚本。其余的shell命令关闭屏幕输出,删除批处理文件,并终止命令shell。
这三个例子只是cookie窃取网络犯罪的一部分。窃取信息的恶意软件越来越多地将窃取cookie作为其功能的一部分,而市场的成功使得销售窃取的cookie成为一项可行的业务。但更集中的攻击者也把目标锁定在cookie上,他们的活动可能不会被简单的反恶意软件防御系统检测到,因为他们滥用了合法的可执行程序,这些可执行程序已经作为工具被使用。
定期清除浏览器的cookie和其他认证信息可以减少浏览器配置文件提供的潜在攻击面,组织可以使用一些基于web的平台的管理工具来缩短允许的cookie有效时间。
但强化cookie政策是有代价的。缩短cookie的生命周期意味着用户需要进行更多的重新身份验证。而且,一些利用基于Electron或类似开发平台的客户端的基于web的应用程序可能有它们自己的cookie处理问题,例如,他们可能有自己的cookie存储方式并容易被web浏览器存储上下文之外的攻击者专门针对。
Sophos等防护软件使用一些行为规则来防止脚本和不可信程序滥用cookie,并通过大量的内存和行为检测来检测窃取信息的恶意软件。
本报告中提到的攻击指标可以在sophoslab Github页面上找到。
| csv | 行为 |
| Andr-FakeApp.csv | Update Andr-FakeApp.csv |
| Android-HiddAd-T | Update Android-HiddAd-T |
| Android-fauxanticovid.csv | Add files via upload |
| Android-pakchat.csv | Update Android-pakchat.csv |
| Android_C23-spyware.csv | Add files via upload |
| CVE-2018-0798 RTFs | Create CVE-2018-0798 RTFs |
| CVE-2022-26134_attacks.csv | Add files via upload |
| Follina_CVE-2022-30190_hashes.csv | Update Follina_CVE-2022-30190_hashes.csv |
| Karma_Conti_joint_IOCs.csv | Add files via upload |
| Mal-BadNode.csv | Update Mal-BadNode.csv |
| Mal-EncPk-APV_IOCs.csv | Add files via upload |
| Malspam-OtoGonderici | Update Malspam-OtoGonderici |
| Malware-SystemBC.csv | Add files via upload |
| Miner-Mrbminer.csv | Add files via upload |
| Miner-Tor2Mine.csv | Update Miner-Tor2Mine.csv |
| MoDi-RAT-reflective-injection.csv | Add files via upload |
| PUA-QuickCPU_xmr-stak.csv | Add files via upload |
| Ransom-Lockbit_20220412.csv | Add files via upload |
| Ransomware-Conti.csv | Add files via upload |
| Ransomware-Dharma-RaaS.csv | Update Ransomware-Dharma-RaaS.csv |
| Ransomware-Dharma-console-history-toolbelt-script.txt | Add files via upload |
| Ransomware-Egregor.csv | Add files via upload |
| Ransomware-EpsilonRed.csv | Add files via upload |
| Ransomware-LockBit | Update Ransomware-LockBit |
| Ransomware-LockBit.csv | Add files via upload |
| Ransomware-Matrix | Create Ransomware-Matrix |
| Ransomware-Maze.csv | Add files via upload |
| Ransomware-MegaCortex | Create Ransomware-MegaCortex |
| Ransomware-Midas.csv | Add files via upload |
| Ransomware-MountLocker.csv | Add files via upload |
| Ransomware-Netfilim.csv | Update Ransomware-Netfilim.csv |
| Ransomware-Netwalker | Create Ransomware-Netwalker |
| Ransomware-ProLock.csv | Update Ransomware-ProLock.csv |
| Ransomware-REvil-Kaseya.csv | Add files via upload |
| Ransomware-Ryuk.csv | Update Ransomware-Ryuk.csv |
| Ransomware-Snatch | Update Ransomware-Snatch |
| Ransomware_BlackCat - triple ransomware attack.csv | Add files via upload |
| Ransomware_BlackKingDom.csv | Add files via upload |
| Ransomware_DearCry.csv | Rename ransomware_dearcry.csv to Ransomware_DearCry.csv |
| Ransomware_Hive - triple ransomware attack.csv | Add files via upload |
| Ransomware_Lockbit - triple ransomware attack.csv | Add files via upload |
| Ransomware_Prolock_services_stopped.csv | Add files via upload |
| Sunburst_blocklists.csv | Add files via upload |
| Troj-AgentTesla.csv | Add files via upload |
| Troj-BazarBackdoor.csv | Add files via upload |
| Troj-BazarLd.csv | Add files via upload |
| Troj-BuerLd-A.csv | Add files via upload |
| Troj-DocDL-AEOL.csv | Update Troj-DocDL-AEOL.csv |
| Troj-DropperAsAService.csv | Add files via upload |
| Troj-Emotet-Ukraine_maldocs.csv | Update Troj-Emotet-Ukraine_maldocs.csv |
| Troj-KilllSomeOne.csv | Add files via upload |
| Troj-Kingmine | Update Troj-Kingmine |
| Troj-Miner-AED.csv | Add files via upload |
| Troj-PS-FX.csv | Add files via upload |
| Troj-Polazert_IOCs.csv | Add files via upload |
| Troj-Qakbot.csv | Add files via upload |
| Troj-gootloader.csv | Update Troj-gootloader.csv |
| Troj-gootloader.yara | Add files via upload |
编辑|王咏珊
审校|何双泽、金矢
本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。
原文始发于微信公众号(国家网络威胁情报共享开放平台):Cookie窃取:一种新型的边界防护绕过方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论