當談到企業網絡威脅時，憑證被理所當然地視為該領域的鑰匙。當有效憑據打開前門時，為什么要對脆弱的系統或人使用惡意代碼？

當前的最佳實踐通常認為多因素身份驗證 (MFA) 和密碼管理器足以降低帳戶劫持的風險。但不幸的是，地下網絡犯罪組織很快就適應了。通過infostealer惡意軟件和 cookie 盜竊進行會話劫持是一種越來越流行的旁路 MFA 方法。在過去的 12 個月里，Recorded Future 在地下站點上看到了數千次此類技術的引用。

好消息是，組織可以通過遵循最佳實踐、重新配置入侵檢測工具和增強威脅情報來進行反擊。

為什么 Cookie 如此受歡迎

我們在2021年發現了14905個涉及網絡犯罪的地下站點，包括關鍵詞“cookie”、“會話cookie”和“會話劫持”。為什么如此受歡迎呢?因為HTTP cookie用于管理用戶會話，存儲用戶個性化偏好并跟蹤用戶行為。如果攻擊者能夠竊取用于向內部或第三方應用程序驗證用戶身份的“魔法cookie”，他們就可以完全匿名地劫持用戶會話，看起來與合法用戶完全相同。

Infostealer 惡意軟件的設計正是為了做到這一點。一旦他們掌握了被盜的 cookie，一種相對簡單的“傳遞 cookie” 后利用技術使攻擊為者能夠劫持用戶的會話。這樣做的好處不是竊取密碼，而是允許他們繞過 MFA 檢查點。會話通常在 7 天或更長時間后超時，從而為訪問敏感的 Web 應用程序和服務、竊取數據、部署勒索軟件等提供了足夠多的機會。

讓事情變得更容易

具有商業頭腦的網絡犯罪分子知道如何發現商機。這就是為什么 cookie 通常包含在易于使用的軟件包中，例如在英語和俄語網絡犯罪商店 Genesis Store 上宣傳的“機器人”或“日志”。除了會話 cookie，這些包還包括帳戶憑據、IP 地址和瀏覽器指紋?？梢詫⑦@些數據導入一個名為 Genesis Security 的瀏覽器插件中，使攻擊者能夠在帳戶接管和會話劫持攻擊中偽裝成受害者。

如果網絡訪問需要 MFA，初始訪問代理還會在出售被盜憑據的同時出售cookie。利用infostealer惡意軟件和會話劫持來破壞身份是臭名昭著的 Lapsus 組織的一項關鍵策略，該組織聲稱從包括三星(Samsung)、微軟(Microsoft)和英偉達(Nvidia)在內的眾多大型科技公司竊取數據。我們還看到了惡意軟件即服務的變體，包括 RedLine 和 Vidar，它們能夠竊取具有相關會話令牌的憑證對。

這并不是說這項技術特別新。美國網絡安全和基礎設施安全局 (CISA) 在 2021 年 1 月就 cookie 被盜發出警告。但隨著 MFA 變得越來越流行，規避它的嘗試也將變得越來越普遍。

這就是為什么組織必須更新自己的策略和安全策略，以減輕不斷演變的帳戶和會話劫持威脅。 

MFA 和密碼管理器必須仍然是事實。但安全團隊也可以探索更頻繁地執行 MFA 的解決方案的可能性。這種情況多久發生一次取決于你：每天登錄夠不夠，每次登錄是否太多？你想給你的用戶創造多少摩擦？哪些應用程序需要施加如此多的壓力？這些問題由你來考慮?？紤]監控你的組織被泄露的身份——這將減少攻擊者竊取與身份相關的信息并將其轉售以供其他攻擊者使用的窗口。你可以更進一步，在 Recorded Future，我們將這種身份情報直接連接到我們的 IAM 提供商，通過自動重置密碼和審核來加速這種威脅的分類。有了這些信息的API，自動化劇本在你的SOC中變得可行和可擴展。

不幸的是，安全不是一個目的地，而是一個持續的旅程。為了避免在這條道路上出現更多的坎坷，明智的做法是應對來自信息竊取者和會話劫持的威脅。