एमएफए का बढ़ता उपयोग “पास-द-कुकी” हमलों को बढ़ावा देता है
चोरी की सत्र कुकीज़ का उपयोग करके बायपास करने की सिद्ध तकनीक बहु-कारक प्रमाणीकरण (एमएफए) सुरक्षा और प्रमुख प्रणालियों तक पहुंच हाल के महीनों में काफी बढ़ गई है। सोफोस.
ऐसे हमले, जिन्हें अक्सर पास-द-कुकी हमले कहा जाता है, निश्चित रूप से नए नहीं हैं। वास्तव में, वे लंबे समय से साइबर अपराधियों के शस्त्रागार में एक स्थापित उपकरण रहे हैं, क्योंकि अंततः, वे हमलावरों को वैध उपयोगकर्ता व्यक्तियों का प्रतिरूपण करने की अनुमति देते हैं और एक वैध उपयोगकर्ता कुछ भी कर सकते हैं। ।
जून 2022, Microsoft ने फलियाँ बिखेरी एक विशाल फ़िशिंग अभियान जिसने पासवर्ड चुराने के लिए फ़िशिंग साइटों का उपयोग करने वाले 10,000 ग्राहकों पर हमला किया, साइन-इन सत्रों को हाईजैक किया, और शीर्ष एमएफए सुविधाओं को बायपास किया। और इससे पहले कई चेतावनी दी गई थी। अमेरिकी साइबर एजेंसी CISA की चेतावनी 2021 की शुरुआत में।
वे इस तरह काम करते हैं। एक वेब ब्राउज़र द्वारा संग्रहीत एक सत्र या प्रमाणीकरण कुकी, जब कोई उपयोगकर्ता वेब-आधारित संसाधन में लॉग इन करता है, यदि चोरी हो जाता है, तो ब्राउज़र को यह सोचने के लिए एक नए वेब सत्र में इंजेक्ट किया जाता है कि प्रमाणित उपयोगकर्ता मौजूद है और नहीं कर सकता है। आपको अपनी पहचान साबित करनी होगी। जब एमएफए चल रहा होता है तो ऐसे टोकन वेब ब्राउज़र में भी बनाए और संग्रहीत किए जाते हैं, इसलिए टोकन को बायपास करने के लिए उसी तकनीक का आसानी से उपयोग किया जा सकता है।
यह समस्या इस तथ्य से बढ़ जाती है कि कई वेब-आधारित अनुप्रयोगों में लंबे समय तक चलने वाली कुकीज़ होती हैं जो शायद ही कभी समाप्त होती हैं या केवल तभी समाप्त होती हैं जब उपयोगकर्ता स्पष्ट रूप से सेवा से लॉग आउट करता है।
नई रिपोर्ट में कुकी चोरी: नई सीमा बाईपाससोफोस के नवगठित एक्स-ऑप्स डिवीजन ने कहा कि एमएफए टूल की बढ़ती लोकप्रियता के कारण ये हमले अधिक प्रचलित हो रहे हैं।
एक्स-ऑप्स के अनुसार, पास-द-कुकी हमलों तक पहुंच हमलावरों के लिए तुच्छ है, अक्सर क्रेडेंशियल डेटा और कुकीज़ एकत्र करने के लिए इन्फोस्टीलर जैसे कि रैकून स्टीलर की प्रतियां प्राप्त करना, जिनकी आपको आवश्यकता होती है उन्हें बंडल करके डार्क वेब पर दूसरों (यहां तक कि रैंसमवेयर गिरोह) को बेच दें।
सोफोस के प्रिंसिपल थ्रेट रिसर्चर शॉन गैलाघेर कहते हैं, “हमलावर प्रमाणीकरण कुकीज़ (एक्सेस टोकन के रूप में भी जाना जाता है) प्राप्त करने की प्रक्रिया को सरल बनाने के लिए सूचना-चोरी करने वाले मैलवेयर के नए और बेहतर संस्करणों की ओर रुख कर रहे हैं।” “यदि किसी हमलावर के पास सत्र कुकी है, तो वे नेटवर्क के चारों ओर स्वतंत्र रूप से घूम सकते हैं और एक वैध उपयोगकर्ता का प्रतिरूपण कर सकते हैं।”
कुकी चोरी एक अधिक लक्षित हमला होता जा रहा है, जिसमें हमलावर अक्सर एक नेटवर्क के भीतर से कुकी डेटा को स्क्रैप करते हैं और अपनी गतिविधियों को छिपाने के लिए वैध निष्पादन योग्य का उपयोग करते हैं। एक्स-ऑप्स कहते हैं।
सोफोस द्वारा नियंत्रित एक मामले में, हमलावर ने एक्सेस स्थापित करने के लिए एक शोषण किट का उपयोग किया और फिर वैध कंपाइलर टूल का दुरुपयोग करने और एक्सेस टोकन को स्क्रैप करने के लिए कोबाल्ट स्ट्राइक और मीटरप्रेटर टूल के संयोजन का उपयोग किया। उन्होंने पीड़ितों के नेटवर्क के अंदर माइक्रोसॉफ्ट एज ब्राउज़र से कुकीज़ एकत्र करने में महीनों बिताए।
अंतिम लक्ष्य पीड़ित के वेब-आधारित या क्लाउड-होस्टेड संसाधनों तक पहुंच प्राप्त करना है। इसका उपयोग आगे के कारनामों के लिए किया जा सकता है जैसे कि व्यावसायिक ईमेल से समझौता करना, अतिरिक्त सिस्टम तक पहुंच प्राप्त करने के लिए सोशल इंजीनियरिंग, या पीड़ित डेटा को संशोधित करना। या एक स्रोत कोड भंडार।
गैलाघेर ने कहा, “जबकि हमने ऐतिहासिक रूप से कुकी चोरी की उच्च मात्रा देखी है, हमलावर अब कुकीज़ चुराने के लिए लक्षित और सटीक दृष्टिकोण अपना रहे हैं।” “इतने सारे कार्यस्थलों के वेब-आधारित होने के कारण, एक हमलावर चोरी की सत्र कुकीज़ के साथ जिस प्रकार की दुर्भावनापूर्ण गतिविधियों को अंजाम दे सकता है, वह अंतहीन है।
“आप अपने क्लाउड इन्फ्रास्ट्रक्चर के साथ छेड़छाड़ कर सकते हैं, अपने व्यावसायिक ईमेल से समझौता कर सकते हैं, अन्य कर्मचारियों को मैलवेयर डाउनलोड करने के लिए कह सकते हैं, या अपने उत्पाद के कोड को फिर से लिख सकते हैं। केवल उनकी अपनी रचनात्मकता की सीमा है।”
गलाघेर कहते हैं: उदाहरण के लिए, सेवाएं कुकीज़ के जीवन को छोटा कर सकती हैं, जिसका अर्थ है कि उपयोगकर्ताओं को अधिक बार पुन: प्रमाणित करना पड़ता है, और हमलावर कुकीज़ को पुनः प्राप्त करने के लिए वैध अनुप्रयोगों का उपयोग कर सकते हैं। उद्यमों को व्यवहार विश्लेषण के साथ मैलवेयर का पता लगाना चाहिए। “
