Illegaler Zugang zu Unternehmensdaten
Sophos Cybersecurity, Threat Research, Cookies
Das Sophos X-Ops Team beschreibt in seinem aktuellen Report “Cookie stealing: the new perimeter bypass“, dass Cyberkriminelle zunehmend gestohlene Session-Cookies nutzen, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen und Zugriff auf Unternehmensressourcen zu erhalten. In einigen Fällen ist der Cookie-Diebstahl eine gezielte Attacke, bei der Cookie-Daten von kompromittierten Systemen ausgelesen werden. Dabei nutzen die Kriminellen legitime ausführbare Dateien, um ihre Aktivitäten zu verschleiern.
Sobald sie mithilfe der Cookies einen Zugang zu web- oder cloudbasierten oder Unternehmens-Ressourcen haben, können sie diese für weitere Angriffe nutzen. Dazu gehören beispielsweise die Kompromittierung von E-Mails oder Social Engineering, um zusätzliche Systemzugänge zu ergaunern oder sogar für die Änderung von Daten oder Quellcode-Repositories zu sorgen.
„Im vergangenen Jahr haben wir beobachtet, dass Cyberkriminelle vermehrt auf Cookie-Diebstahl zurückgreifen, um die zunehmende Verbreitung von MFA zu umgehen. Sie nutzen neue und verbesserte Malware – etwa Raccoon Stealer – um den Diebstahl von Authentifizierungs-Cookies, auch bekannt als Access Tokens, zu vereinfachen”, sagt Sean Gallagher, Principal Threat Researcher bei Sophos. „Wenn Angreifende im Besitz von Session-Cookies sind, können sie sich frei in einem Netzwerk bewegen.“
An der Authentifizierung vorbei: „Pass-the-Cookie“-Angriffe
Sitzungs- oder Authentifizierungs-Cookies sind eine bestimmte
Art von Cookie, die von einem Webbrowser gespeichert werden, wenn sich
ein Benutzer bei Webressourcen anmeldet. Sobald Cyberkriminelle in ihren
Besitz gelangen, können sie einen “Pass-the-Cookie”-Angriff
durchführen, bei dem sie das Zugriffstoken in eine neue Web-Sitzung
einschleusen und dem Browser vorgaukeln, es melde sich ein
authentifizierter Benutzer an. Damit ist keine weitere Authentifizierung
mehr erforderlich. Da bei der Verwendung von MFA auch ein Token
erstellt und in einem Webbrowser gespeichert wird, kann derselbe Angriff
verwendet werden, um diese zusätzliche Authentifizierungsebene zu
umgehen. Erschwerend kommt hinzu, dass viele legitime webbasierte
Anwendungen langlebige Cookies anlegen, die selten oder nie ablaufen;
Einige Cookies werden nur dann gelöscht, wenn sich der Benutzer
ausdrücklich vom Dienst abmeldet.
Dank Malware-as-a-Service wird es selbst für eher unerfahrene Cyberkriminelle immer einfacher, in das lukrative Geschäft mit dem Diebstahl von Zugangsdaten einzusteigen. Sie müssen beispielsweise nur eine Kopie eines Trojaners wie Raccoon Stealer kaufen, um Daten wie Passwörter und Cookies in großen Mengen zu sammeln und können sie dann auf kriminellen Marktplätzen wie Genesis anbieten. Andere Kriminelle in der Angriffskette, wie z. B. Ransomware-Betreiber, können diese Daten dann kaufen und durchforsten, um alles, was sie für ihre Angriffe als nützlich erachten, zu nutzen.
Der Cookie-Diebstahl wird immer strategischer
Bei zwei der jüngsten Vorfälle, die Sophos untersuchte,
verfolgten die Angreifenden hingegen einen gezielteren Ansatz. In einem
Fall verbrachten sie Monate im Netzwerk des Zielunternehmens und
sammelten Cookies des Microsoft Edge Browsers. Die erste
Kompromittierung erfolgte über ein Exploit-Kit. Anschließend nutzten sie
eine Kombination aus Cobalt-Strike- und Meterpreter-Aktivitäten, um
über ein legitimes Compiler-Tool die Zugriffstoken abzugreifen. In einem
anderen Fall nutzten die Angreifenden eine legitime
Microsoft-Visual-Studio-Komponente, um eine bösartige Malware
abzusetzen, die eine Woche lang Cookie-Dateien abfing.
„Während wir in der Vergangenheit massenhaften Cookie-Diebstahl
beobachten konnten, gehen Cyberkriminelle jetzt gezielt und präzise vor,
um Cookies zu stehlen. Da ein großer Teil des Arbeitsplatzes inzwischen
webbasiert ist, gibt es keine Grenzen für die bösartigen Aktivitäten,
die Angreifer:innen mit gestohlenen Sitzungscookies durchführen können.
Sie können Cloud-Infrastrukturen manipulieren, geschäftliche E-Mails
kompromittieren, andere Mitarbeitende zum Herunterladen von Malware
überreden oder sogar Code für Produkte umschreiben. Die einzige Grenze
ist ihre eigene Kreativität”, so Gallagher. „Erschwerend kommt hinzu,
dass es keine einfache Lösung gibt. Zwar können Dienste beispielsweise
die Lebensdauer von Cookies verkürzen, was jedoch bedeutet, dass sich
die Benutzer:innen häufiger neu authentifizieren müssen. Da
Angreifer:innen legitime Anwendungen nutzen, um Cookies abzugreifen,
müssen Unternehmen die Erkennung von Malware mit einer Verhaltensanalyse
kombinieren.”