標題：通過竊取Cookie發起的攻擊越來越多

隨著越來越多的企業轉向使用雲服務和多因素身份驗證，與身份和身份驗證相關的cookie 就為攻擊者提供了一條新的攻擊途徑。

憑據竊取惡意軟件是各類攻擊者經常使用的工具包的一部分。雖然用戶帳戶名和密碼是憑據竊取活動的最明顯目標，但越來越多地使用多因素身份驗證(MFA) 來保護基於Web 的服務已經使該方法不再有效。越來越多的攻擊者轉向竊取與證書相關的“cookie”來複製當前或最近的web會話，並在此過程中繞過MFA。

最新版的Emotet 殭屍網絡只是針對瀏覽器存儲的cookie 和其他憑據（例如存儲的登錄名和在某些情況下支付卡數據）的眾多惡意軟件家族之一。谷歌的Chrome 瀏覽器使用相同的加密方法來存儲多因素身份驗證cookie 和信用卡數據——這兩個都是Emotet的目標。

針對cookie 的攻擊範圍很廣，小到信息竊取惡意軟件，例如Raccoon Stealer 惡意軟件即服務和RedLine Stealer 鍵盤記錄器/信息竊取程序，它們都可以通過地下論壇購買，且通常被入門者用來批量盜取cookie和其他證書，並出售給犯罪市場。

美國藝電公司（Electronic Arts，NASDAQ: ERTS，簡稱EA）一名員工的cookie 就出現了明顯的洩漏。 黑客組織Lapsus$的成員聲稱從市場購買了一個被盜的會話cookie，使他們能夠訪問EA 的Slack 實例；這使他們能夠欺騙EA 員工的現有登錄名，並欺騙EA 的IT 團隊成員為他們提供網絡訪問權限。這使得Lapsus$ 能夠獲取780 GB 的數據，包括遊戲和圖形引擎源代碼，該企業隨後利用這些數據試圖勒索EA。

對於高級攻擊者來說，研究人員觀察到活躍的攻擊者以各種方式獲取cookie。在某些示例中，研究人員已經看到勒索軟件運營商使用了與不太複雜的攻擊者相同的信息竊取惡意軟件的證據。但研究人員也經常看到實際攻擊濫用合法的攻擊安全工具，例如Mimikatz、Metasploit Meterpreter 和Cobalt Strike，以執行cookie 收集惡意軟件或運行從瀏覽器緩存中獲取cookie 的腳本。

還有一些合法的應用程序和進程可以與瀏覽器的cookie文件交互。研究人員在Sophos 的遙測技術中發現了cookie-snooping檢測的反惡意軟件、審計工具和操作系統助手：例如，Bing 的壁紙更新程序可以訪問cookie來獲取新的桌面背景。但是，在篩選出這些良性來源後，我們看到每天有數千次訪問瀏覽器cookie 的嘗試超出了良性軟件行為的範圍。有時，隨著特定活動的啟動，這些檢測結果會急劇上升。此外，一些使用cookie 的合法應用程序可能會洩露它們，從而將令牌暴露給攻擊者。

進入存儲cookie的文件瀏覽器將cookie 存儲在文件中，對於Mozilla Firefox、Google Chrome 和Microsoft Edge，該文件是用戶配置文件文件夾中的SQLite 數據庫。類似的SQLite文件存儲瀏覽器歷史記錄，網站登錄和自動填充這些瀏覽器的信息。其他連接到遠程服務的應用程序有自己的cookie存儲庫，或者在某些情況下可以訪問web瀏覽器的cookie存儲庫。

數據庫中每個cookie 的內容都是參數和值的列表，一個鍵值存儲，用於標識與遠程網站的瀏覽器會話，在某些情況下，還包括在用戶身份驗證後由網站傳遞給瀏覽器的令牌。其中一個鍵值對指定cookie的過期時間，即cookie在必須更新之前的有效時間。

cookies.sqlite 文件中的一些cookie

竊取cookie的原因很簡單：與web服務身份驗證相關的cookie可能被攻擊者用於“傳遞cookie”攻擊，試圖偽裝成最初向其發出cookie的合法用戶，並在沒有登錄挑戰的情況下獲得對web服務的訪問權。這類似於“傳遞哈希”攻擊，它使用本地存儲的身份驗證哈希來訪問網絡資源，而無需破解密碼。

合法的網絡服務活動

“傳遞cookie”攻擊是如何發起攻擊的

這可能導致對web服務(如AWS或Azure)、軟件即服務和協作服務的利用，以進一步暴露或橫向移動數據，如商業電子郵件洩露、訪問云數據存儲，或使用劫持的Slack會話引誘其他受害者下載惡意軟件或暴露其他可用於訪問的數據。

許多基於web的應用程序執行額外的檢查以防止會話欺騙，例如根據發起會話的位置檢查請求的IP地址。但是，如果cookie 被同一網絡內的手動鍵盤攻擊者使用，那麼這些措施可能不足以阻止攻擊。而為桌面和移動結合使用而構建的應用程序可能不會始終如一地使用地理位置。

有些cookie竊取攻擊可能完全從目標本身的瀏覽器中遠程發起。 HTML注入攻擊可以使用插入易受攻擊的網頁的代碼來利用其他服務的cookie，這允許訪問目標在這些服務上的個人信息，並允許更改密碼和電子郵件。

盜取cookie 的成本收益通常，惡意軟件運營商會使用付費下載服務和其他無針對性的方法，以低成本和不費力的方式收集盡可能多的受害者cookie 和其他相關憑據。這種類型的竊取器部署非常類似於Raccoon Stealer 和我們看到的其他惡意軟件活動，這些惡意軟件活動通過dropper 來傳播。

ISO 或ZIP 文件中的惡意軟件包通過搜索引擎優化提升的惡意網站作為盜版或“破解”商業軟件包的安裝程序。基於ISO 的傳播包也被廣泛用於代替惡意軟件垃圾郵件活動中的惡意文檔，這主要是因為微軟最近屏蔽了來自互聯網的Office文件中的宏。

研究人員在一個大學網絡上看到的“下載即服務”示例中，竊取的惡意軟件包含在一個從網站下載的虛假軟件安裝程序中，很可能是一個廣告盜版商業軟件。安裝程序通過用戶下載的300 兆ISO 文件的形式傳播，大型ISO 文件經常被用於阻止惡意軟件檢測軟件的文件掃描。

ISO 包含BLENDERINSTALLER3.0.EXE，這是一個來自另一個軟件包的重新利用的軟件安裝實用程序。該釋放程序使用PowerShell 命令和使用AutoIT（一種經常被惡意軟件運營商濫用的合法工具）創建的可執行文件安裝多個文件，以從.ISO 中提取惡意軟件，並從Discord 的內容傳播網絡下載其他惡意軟件文件。然後，惡意軟件包通過.NET 進程（使用.NET 框架中的jsc.exe）注入一系列命令，以從Chrome 中獲取cookie 和登錄數據。

一個虛假的安裝程序/信息竊取cookie程序

高度複雜的攻擊過程惡意垃圾郵件還與其他偽裝附件一起使用，通常針對特定行業或國家的企業。 2021 年10 月，一名土耳其計算機用戶收到了一封電子郵件，其附件是一個XZ壓縮文件。這包含一個偽裝的可執行文件，“ürün örnekleri resmi pdf.exe”（翻譯為“產品樣本圖像pdf.exe”）。該可執行文件是一個使用Delphi 編程語言（稱為“BobSoft Mini Delphi”）構建的自解壓惡意軟件dropper。

這個dropper依次安裝了幾個可執行程序。第一個是合法的Microsoft Visual Studio組件(msbuild.exe)。 MSBuild 通常用於編譯和執行編碼項目，它可以在命令行上傳遞項目文件或包含腳本的XML 文件，並啟動它們。由於該文件是受信任的Microsoft 二進製文件，因此可以將其打包到dropper 中，以掩蓋惡意軟件的惡意性質。

第二個可執行文件是從Discord 內容傳播網絡中檢索並解密的，它是Phoenix 鍵盤記錄器，一個信息竊取者。 QuasarRat 也在某個時候被釋放，這是一個用C# 編寫的遠程訪問工具。

在接下來的一周中，攻擊者使用安裝的QuasarRAT啟動了Phoenix信息竊取程序並通過MSBuild 執行命令。 MSBuild 構建和執行的命令訪問了目標設備上的cookie 文件。

Malspam/Phoenix 竊取的過程

有針對性的利用竊取cookie 不僅僅是一項自動化活動。在某些情況下，這也是積極的攻擊者尋求加深對目標網絡滲透的努力的一部分。在這些情況下，攻擊者利用網絡上的攻擊入口來部署利用工具，並使用這些工具來傳播他們的訪問權限。隨著越來越多的有價值的數據從網絡轉移到雲服務中，這些攻擊者通過竊取cookie和抓取web登錄數據來增加這些服務的橫向移動。

研究人員在2022年6月發現了一個這種類型的長期攻擊活動，其中竊取cookie是持續數月的Cobalt Strike 和Meterpreter 活動的一部分。攻擊者專門針對Microsoft Edge 瀏覽器中的cookie。首先，他們能夠使用Impacket 漏洞利用工具包通過Windows SMB 文件傳輸從初始入口點傳播，將Cobalt Strike 和Meterpreter 釋放到網絡內的目標計算機上。

竊取cookie

接下來，攻擊者在目標系統上放置了一個合法Perl 腳本解釋器的副本，以及之前基於Impacket 的攻擊中看到的Perl 腳本文件（名為c）和批處理文件（execute.exe）。然後他們使用Meterpreter 傳遞以下命令字符串：

Perl腳本訪問目標計算機上的cookie文件，並將內容輸出到一個名為_output的臨時文件。該批處理文件將_output 的內容傳回給攻擊者並刪除了Perl 腳本。其餘的shell 命令關閉了屏幕輸出，刪除了批處理文件，並終止了命令shell。

這三個示例僅代表cookie 竊取網絡犯罪的冰山一角。竊取信息的惡意軟件越來越多地將竊取cookie作為其功能的一部分，而低成本高收益使得銷售竊取的cookie成為一項可行的業務。但更有針對性的攻擊者也以cookie 為目標，他們的活動可能無法被簡單的反惡意軟件防禦檢測到，因為他們濫用了合法的可執行文件，包括已經存在和作為工具帶來的合法可執行文件。

如果沒有這麼多應用程序使用長期訪問cookie，那麼cookie 竊取幾乎不會構成威脅。例如，Slack結合使用持久cookie和特定於會話的cookie來檢查用戶的身份和身份驗證。當瀏覽器關閉時，會話cookie會被清除，但其中一些應用程序(如Slack)在某些環境中仍然無限期地打開。這些cookie過期的速度可能不夠快，無法防止被盜時被人利用。如果用戶不關閉會話，與一些多因素身份驗證相關聯的單點登錄令牌可能會造成同樣的潛在威脅。

定期清除瀏覽器的cookie和其他認證信息可以減少瀏覽器配置文件提供的潛在攻擊面，企業可以使用一些基於Web 的平台的管理工具來縮短cookie 保持有效的允許時間範圍。

但強化cookie政策是有代價的。縮短cookie的生命週期意味著用戶需要進行更多的重新身份驗證。而且，一些利用基於Electron或類似開發平台的客戶端的基於web的應用程序可能有它們自己的cookie處理問題。例如，他們可能有自己的cookie 存儲，攻擊者可以在Web 瀏覽器存儲的上下文之外專門針對這些存儲。