Sophos 首席威脅研究員 Sean Gallagher 表示：「在過去一年中，我們看到攻擊者越來越常竊取 cookie 來解決 MFA 日益普及的情形。攻擊者開始採用新版本和改進的資訊竊取惡意軟體，例如 Raccoon Stealer，以簡化取得驗證 cookie 的動作，也就是存取權杖。一旦攻擊者取得工作階段 cookie，他們就可以在網路中自由移動，冒充合法使用者。」

工作階段或驗證 cookie 是使用者登入 Web 資源時，由 Web 瀏覽器儲存的一種特定類型的 cookie。如果攻擊者獲得它們，那麼就可以進行「pass-the-cookie」攻擊，將存取權杖插入到新的 Web 工作階段中，誘使瀏覽器相信它是經過驗證的使用者，免除驗證的需要。此外使用 MFA 時，也會在 Web 瀏覽器上建立和儲存權杖，因此相同的攻擊手法一樣能繞過這一層額外的驗證。雪上加霜的是，許多合法 Web 應用程式的 cookie 是幾乎不會或是永不過期；其他 cookie 則是只有在使用者明確退出服務時才會過期。

在惡意軟體即服務行業出現後，即使是新手也能容易地竊取憑證。例如，他們只需購買一份如 Raccoon Stealer 的資訊竊取木馬程式，然後大量收集密碼和 cookie 等資料，即可在犯罪市場上出售它們，包括 Genesis。攻擊鏈上的其他犯罪分子 (如勒索軟體集團) 隨後可以購買這些資料，然後進行篩選，挖出他們認為對攻擊有用的任何東西。
但相反的，在 Sophos 調查的最近兩起事件中，攻擊者採取了更具針對性的方法。在一個案例中，攻擊者在目標網路中花費了數個月時間從 Microsoft Edge 瀏覽器收集 cookie。最初的入侵是透過一個漏洞利用工具套件進行的，然後攻擊者結合使用 Cobalt Strike 和 Meterpreter 來濫用合法的編譯器工具，以抓取存取權杖。在另一個案例下，攻擊者使用合法的 Microsoft Visual Studio 元件下載了一個惡意裝載，然後抓取了一整週的 cookie 檔案。

Gallagher 說：「雖然過去我們看到過大量 cookie 遭竊，但攻擊者現在正在採取有針對性和精確的方法來竊取 cookie。由於工作場所大多轉型成使用網路，因此攻擊者可以使用竊來的工作階段 cookie 進行難以計數的惡意活動。他們可以竄改雲端基礎架構、修改商業電子郵件、說服其他員工下載惡意軟體，甚至重寫產品程式碼。基本上他們想做什麼都做得到。

「使問題更棘手的是，目前沒有簡單的解法。例如，雖然可以透過服務來縮短 cookie 的使用期限，但這意味著使用者必須更頻繁地重新進行驗證。而且攻擊者會使用合法應用程式來抓取 cookie，代表公司需要將惡意軟體偵測與行為分析結合起來。」

若要了解工作階段 cookie 竊取以及攻擊者如何利用該技術進行惡意活動的更多資訊，請閱讀 Sophos.com 上的完整報告《Cookie 竊取：繞過外圍防禦的新手法》。

- 新聞稿有效日期，至2022/09/18為止

上一篇：Epson BT-45C系列AR智慧眼鏡 三大強化提升生產力
下一篇：港股稀缺標的百奧賽圖今日開啟招股