Aktualności

cyber5a

Kradzież ciasteczek „pass-the-cookie”

Kradzież ciasteczek „cookies – „pass-the-cookie”, hakerzy wykorzystują ich podatność i omijaj dwuskładnikowe uwierzytelnianie.
„Kradzież ciasteczek” należy do najnowszych trendów w cyberprzestępczości, które hakerzy wykorzystują do omijania danych uwierzytelniających i uzyskiwania dostępu do prywatnych baz danych – podaje Sophos.
Typowe porady dotyczące bezpieczeństwa dla organizacji polegały na przeniesieniu najbardziej wrażliwych informacji do usług w chmurze lub zastosowaniu wieloczynnikowego uwierzytelniania (MFA) jako środka bezpieczeństwa. Jednak hakerzy zorientowali się, jak machnąć ciasteczka połączone z danymi logowania i powielić je, aby włamać się do aktywnych lub ostatnich sesji internetowych programów, które nie są powszechnie odświeżane.
Hakerzy Ci są w stanie wykorzystać kilka różnych narzędzi i usług online, w tym przeglądarki, aplikacje internetowe, usługi internetowe, zainfekowane złośliwym oprogramowaniem wiadomości e-mail oraz pliki ZIP.
Najbardziej podstępnym aspektem tego stylu hakowania jest to, że pliki cookie są tak szeroko stosowane, że mogą pomóc nieuczciwym użytkownikom uzyskać dostęp do systemów, nawet jeśli protokoły bezpieczeństwa są na miejscu. Sophos zauważył, że botnet Emotet jest jednym z takich złośliwych programów kradnących ciasteczka, które celują w dane w przeglądarce Google Chrome, takie jak przechowywane loginy i dane kart płatniczych, pomimo tego, że przeglądarka ta jest przystosowana do szyfrowania i wieloczynnikowego uwierzytelniania.
Na szerszą skalę cyberprzestępcy mogą kupować skradzione dane z plików cookie, takie jak dane uwierzytelniające z podziemnych rynków, powiedziała publikacja. Dane logowania dla dewelopera gier Electronic Arts skończyły się na rynku o nazwie Genesis, który został podobno zakupiony przez grupę wymuszającą Lapsus$. Grupa była w stanie replikować dane logowania pracowników EA i ostatecznie uzyskać dostęp do sieci firmy, kradnąc 780 gigabajtów danych. Grupa zebrała szczegóły kodu źródłowego gry i silnika graficznego, które wykorzystała do próby wyłudzenia od EA.
Podobnie Lapsus$ zhakował w marcu bazy danych Nvidii. Raporty twierdziły, że naruszenie mogło ujawnić dane logowania ponad 70 000 pracowników, a także 1 TB danych firmy, w tym schematy, sterowniki i szczegóły dotyczące firmware. Nie wiadomo jednak, czy włamanie było spowodowane kradzieżą ciasteczek.
Inne możliwości kradzieży ciasteczek mogą być łatwe do złamania, jeśli są to produkty typu software-as-a-service, takie jak Amazon Web Services (AWS), Azure czy Slack. Może się to zacząć od tego, że hakerzy mają podstawowy dostęp, ale podstępem zmuszają użytkowników do pobrania złośliwego oprogramowania lub udostępnienia poufnych informacji. Takie usługi mają tendencję do pozostawania otwartymi i działającymi w sposób ciągły, co oznacza, że ich ciasteczka nie wygasają.
Sophos zauważa, że użytkownicy mogą regularnie czyścić swoje pliki cookie, aby utrzymać lepszy protokół; oznacza to jednak konieczność ponownego uwierzytelnienia za każdym razem.
Cyberprzestępcy, biorący udział w tych atakach, stosowały różne taktyki i techniki – w tym phishing, próby logowania metodą brute force oraz prawdopodobnie atak typu „pass-the-cookie” – próbując wykorzystać słabości w praktykach bezpieczeństwa w chmurze swoich potencjalnych ofiar ” – ostrzega analiza.
Ataki typu pass-the-cookie polegają na tym, że napastnicy kradną ciasteczka uwierzytelniające z przeglądarek zagrożonych komputerów. Umożliwia to napastnikom obejście różnych protokołów uwierzytelniania, ponieważ plik cookie zawiera ostateczny token uwierzytelniający wydany po przejściu wszystkich środków bezpieczeństwa. Ponadto takie pliki cookie mogą pozostać przez dłuższy czas, co daje atakującym dużo czasu i swobody.
Agencja CISA ostrzegła również, że napastnicy nie poprzestali na tym, lecz próbowali narażać na szwank kolejne konta, wykorzystując swoje pierwsze konto do phishingu innych kont w tej samej organizacji, używając własnych usług hostingowych organizacji do umieszczania własnych złośliwych załączników, dzięki czemu wyglądały one na bardziej autentyczne.
„W jednym przypadku organizacja nie potrzebowała wirtualnej sieci prywatnej (VPN), aby uzyskać dostęp do sieci korporacyjnej. Chociaż serwer terminali znajdował się w obrębie zapory ogniowej, ze względu na postawę pracy zdalnej, serwer terminali został skonfigurowany z otwartym portem 80, aby umożliwić pracownikom zdalnym dostęp do niego – pozostawiając sieć organizacji podatną na ataki. Hakerzy próbowali to wykorzystać, wykonując próby logowania metodą brute force” – dodano w analizie.

CISA zaleca organizacjom następujące kroki w celu wzmocnienia ich praktyk bezpieczeństwa w chmurze:

  • Wdrożenie polityki dostępu warunkowego (CA) w oparciu o potrzeby Państwa organizacji.
  • Ustalenie poziomu bazowego dla normalnej aktywności sieciowej w Państwa środowisku.
  • Rutynowy przegląd logów logowania do Active Directory oraz ujednoliconych logów audytowych pod kątem anomalii.
  • Egzekwowanie MFA.
  • Rutynowy przegląd reguł i alertów przekierowania poczty elektronicznej utworzonych przez użytkownika lub ograniczenie przekierowania.
  • Posiadanie planu łagodzenia skutków lub procedur; zrozumienie, kiedy, jak i dlaczego należy resetować hasła i unieważniać tokeny sesji.
  • Przestrzegać zalecanych wskazówek dotyczących zabezpieczenia dostępu uprzywilejowanego.
  • Rozważenie polityki, która nie pozwala pracownikom na używanie osobistych urządzeń do pracy. Należy przynajmniej korzystać z zaufanego rozwiązania do zarządzania urządzeniami mobilnymi.
  • Rozwiązywanie żądań klientów wewnątrz sieci.
  • Rozważyć ograniczenie użytkownikom możliwości przekazywania wiadomości e-mail na konta spoza Państwa domeny.
  • Umożliwienie użytkownikom wyrażenia zgody tylko na integrację z aplikacjami, które zostały wcześniej zatwierdzone przez administratora.
  • Audytowanie reguł poczty elektronicznej za pomocą możliwych do wyegzekwowania alertów za pośrednictwem Centrum Bezpieczeństwa i Zgodności lub innych narzędzi wykorzystujących Graph API do ostrzegania administratorów o nietypowej aktywności.
  • Wdrożenie MFA dla wszystkich użytkowników, bez wyjątku.
  • Dostęp warunkowy powinien być rozumiany i wdrażany z nastawieniem „zero zaufania”.
  • Upewnić się, że logowanie dostępu użytkowników jest włączone. Przekazywać logi do urządzenia zarządzającego informacjami o bezpieczeństwie i zdarzeniami w celu ich agregacji i monitorowania, aby nie tracić możliwości wglądu w logi poza okresami logowania.
  • Wykorzystać politykę CA do blokowania starszych protokołów uwierzytelniania.
  • Sprawdzić, czy wszystkie instancje maszyn wirtualnych w chmurze z publicznym IP nie mają otwartych portów Remote Desktop Protocol (RDP). Umieścić każdy system z otwartym portem RDP za zaporą ogniową i wymagać od użytkowników korzystania z VPN, aby uzyskać dostęp przez zaporę.
  • Skupić się na świadomości i szkoleniu. Uświadomić pracownikom, jakie są zagrożenia – np. oszustwa phishingowe – i w jaki sposób są one dostarczane. Ponadto należy zapewnić użytkownikom szkolenie w zakresie zasad i technik bezpieczeństwa informacji oraz ogólnych, pojawiających się zagrożeń i podatności w zakresie cyberbezpieczeństwa.
  • Ustanowienie systemu zgłaszania pracowników bez winy i zapewnienie, że pracownicy wiedzą, z kim mają się kontaktować, gdy zauważą podejrzaną aktywność lub gdy uznają, że padli ofiarą cyberataku. Zapewni to możliwość szybkiego i skutecznego zastosowania odpowiedniej, ustalonej strategii łagodzenia skutków.
  • Upewnić się, że istniejące wbudowane produkty do filtrowania i wykrywania (np. dotyczące spamu, phishingu, złośliwego oprogramowania oraz bezpiecznych załączników i linków) są włączone.
  • Organizacje korzystające z M365 powinny również rozważyć następujące kroki:
    – Przypisać kilku (od jednego do trzech) zaufanych użytkowników jako menedżerów ds. elektronicznego odkrywania (lub eDiscovery), którzy będą przeprowadzać kryminalistyczne przeszukiwanie treści w całym środowisku M365 (skrzynki pocztowe, Teams, SharePoint i OneDrive) w poszukiwaniu dowodów złośliwej działalności.
    – Wyłączenie remotingu PowerShell do Exchange Online dla zwykłych użytkowników M365. Wyłączenie dla użytkowników nieadministracyjnych zmniejszy prawdopodobieństwo wykorzystania skompromitowanego konta użytkownika do uzyskania programowego dostępu do konfiguracji lokatora w celu przeprowadzenia rozpoznania.
    – Nie zezwalać na nieograniczoną liczbę nieudanych prób logowania. Aby skonfigurować te ustawienia, patrz Konfiguracja inteligentnej blokady hasła i raporty aktywności logowania.

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM