Sophos warnt in einem neuen Report davor, dass Cyberkriminelle zunehmend gestohlene Session-Cookies nutzen, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen und Zugriff auf Unternehmensressourcen zu erhalten. Mitunter handle es sich um gezielte Angriffe, so der Security-Anbieter. Dabei nutze die Angreiferseite legitime ausführbare Dateien, um ihre Aktivitäten zu verschleiern.
Sobald die Kriminellen mithilfe der Cookies Zugang zu Web-basierten, Cloud-basierten oder lokalen Unternehmensressourcen haben, können sie diese für weitere Angriffe nutzen, so Sophos weiter. Dazu zählen beispielsweise die Kompromittierung von E-Mails oder Social Engineering, um zusätzliche Systemzugänge zu ergaunern oder sogar Daten bis hin zu Quellcode-Repositories zu manipulieren.
„Im vergangenen Jahr haben wir beobachtet, dass Cyberkriminelle vermehrt auf Cookie-Diebstahl zurückgreifen, um die zunehmende Verbreitung von MFA zu umgehen“, so Sean Gallagher, Principal Threat Researcher bei Sophos. „Sie nutzen neue und verbesserte Malware, etwa Raccoon Stealer, um den Diebstahl von Authentifizierungs-Cookies, auch bekannt als Access Tokens, zu erleichtern.“ Sind Angreifer im Besitz von Session-Cookies, können sie sich frei m Netzwerk bewegen, warnt Gallagher.
Pass the Cookie
Sitzungs- oder Authentifizierungs-Cookies sind eine bestimmte Art von Cookie, die der Web-Browser speichert, wenn sich ein Benutzer bei Web-Ressourcen anmeldet. Gelangen Cyberkriminelle in ihren Besitz, können sie sogenannte „Pass the Cookie“-Angriffe (deutsch: „Reich den Keks rüber“) durchführen: Sie schleusen das Zugriffs-Token in eine neue Web-Sitzung ein und täuschen dadurch vor, ein authentifizierter Benutzer melde sich an. Damit ist keine weitere Authentifizierung mehr erforderlich.
Da beim MFA-Einsatz ebenfalls ein Token erstellt und im Web-Browser gespeichert wird, könne ein Krimineller dieselbe Angriffsart nutzen, um diese zusätzliche Authentifizierung zu umgehen, wie Sophos ausführt. Erschwerend komme hinzu, dass viele legitime Web-Anwendungen – zum Beispiel Twitter – langlebige Cookies anlegen, die selten oder nie ablaufen. Einige Cookies werden nur dann gelöscht, wenn sich der Benutzer ausdrücklich vom Dienst abmeldet.
Diese Angriffsart trifft heute, wie Sophos erläutert, auf zunehmende Arbeitsteilung bei den Kriminellen: Malware as a Service erleichtert es selbst eher unerfahrenen Cyberkriminellen, in das lukrative Geschäft mit dem Diebstahl von Zugangsdaten einzusteigen. Ein solcher Cybercrime-Anfänger müsse beispielsweise nur eine Kopie eines Trojaners wie Raccoon Stealer kaufen, um Daten wie Passwörter und Cookies in großen Mengen zu sammeln. Diese könne er dann auf kriminellen Marktplätzen wie Genesis anbieten (LANline berichtete). Andere Kriminelle in der Angriffskette, zum Beispiel Ransomware-Betreiber, können diese Daten dann kaufen und durchforsten und für ihre Angriffe nutzen.
Cookie-Diebstahl immer strategischer
Bei zwei der jüngsten Vorfälle, die Sophos untersucht hat, verfolgten die Angreifer hingegen einen gezielteren Ansatz. In einem Fall verbrachten sie Monate im Netzwerk des betroffenen Unternehmens und sammelten Cookies des Microsoft Edge Browsers. Die initiale Kompromittierung erfolgte über ein Exploit-Kit. Anschließend nutzten sie eine Kombination aus Cobalt-Strike- und Meterpreter-Aktivitäten, um über ein legitimes Compiler-Tool die Zugriffs-Token abzugreifen. Im anderen Fall nutzten die Kriminellen eine legitime Microsoft-Visual-Studio-Komponente, um eine Malware auszubringen, die eine Woche lang Cookie-Dateien abfing.
„Während wir in der Vergangenheit massenhaften Cookie-Diebstahl beobachten konnten, gehen Cyberkriminelle jetzt gezielt und präzise vor, um Cookies zu stehlen“, sagt Gallagher. In Zeiten des Web-basierten digitalen Arbeitsplatzes gebe es „keine Grenzen für die bösartigen Aktivitäten, die Angreifer*innen mit gestohlenen Sitzungscookies durchführen können.“ Für dieses Problem gebe es keine einfache Lösung: „Zwar können Dienste beispielsweise die Lebensdauer von Cookies verkürzen, was jedoch bedeutet, dass sich die Benutzer*innen häufiger neu authentifizieren müssen“, so der Security-Fachmann. Er rät den Unternehmen, Malware-Erkennung mit einer Verhaltensanalyse zu kombinieren.