Siber güvenlik firması Sophos, Sophos X-Ops tarafından hazırlanan “Cookie stealing: the new perimeter bypass” başlıklı raporunda oturum açma çerezlerinin istismarının arttığına dikkat çekti.
Rapora göre; bu teknik, çok aşamalı kimlik doğrulama (MFA) güvenliğini aşarak kurumsal sistemlere sızmak için kullanılıyor. Saldırganlar güvenliği ihlal edilmiş sistemlerden çerez bilgilerini çalarken, etkinliklerini gizlemek için yasal görünümlü uygulamalardan yardım alıyor. Çaldıkları çerezleri kullanarak kurumsal web tabanlı uygulamalara ve bulut kaynaklarına erişim elde eden saldırganlar, bunları e-posta güvenliğini aşmak, daha geniş yetkilere sahip sistem erişimleri elde etmek üzere sosyal mühendisliğe alet etmek, veri veya kaynak kod havuzlarını değiştirmek gibi amaçlarla kullanıyor.
Oturum veya kimlik doğrulama bilgisi, kullanıcı web kaynağına giriş yaptığında web tarayıcısı tarafından daha sonraki girişleri kolaylaştırmak amacıyla çerez olarak kaydediliyor. Saldırganlar bu bilgiyi elde ederse, erişim belirtecini yeni web oturumuna enjekte ederek kimlik doğrulama sürecini atlayıp, tarayıcıyı kimliği doğrulanmış meşru bir kullanıcı olduğuna ikna edebiliyor. Bu teknik, özellikle MFA ile sağlanan ek kimlik doğrulama katmanını aşmak için kullanılıyor. Sorun, birçok meşru web tabanlı uygulamanın bazı durumlarda son kullanma tarihi bile olmayan uzun ömürlü çerezler kullanmasından kaynaklanıyor. Çerez sadece kullanıcı hizmetten çıkış yaptığında devre dışı kalıyor.
Hizmet olarak kötü amaçlı yazılım endüstrisinin gelişimi, giriş düzeyindeki saldırganların bile kimlik bilgisi hırsızlığı yapmasını kolaylaşıyor. Tek yapmaları gereken, şifreleri ve tanımlama bilgilerini toplu olarak ele geçirmek için Raccoon Stealer gibi bilgi çalmaya odaklı bir Truva atının kopyasını satın almak ve bunları Genesis gibi karanlık web ortamlarında satmak. Saldırı zincirinde yer alan fidye yazılımı operatörleri ve diğer gruplar, toplanan bu verileri daha sonra satın alıp kendi amaçları için kullanabiliyor.
Bununla birlikte Sophos, araştırdığı son iki olayda saldırganların özellikle hedef odaklı bir yaklaşımı benimsediğini gözlemledi. Bir örnekte saldırganlar Microsoft Edge tarayıcısından tanımlama bilgileri toplamak için hedef ağın içinde aylarını geçirdi. İlk güvenlik açığını bir istismar kiti aracılığıyla gerçekleştiren saldırganlar, erişim belirteçlerini almak için meşru bir derleyiciyi kötüye kullanmak amacıyla Kobalt Strike ve Meterpreter etkinliğinin kombinasyonundan faydalandı. Diğer örnekte saldırganlar, bir hafta boyunca tanımlama bilgisi dosyalarını çalan kötü amaçlı bir yükü bırakmak için meşru bir Microsoft Visual Studio bileşenini kullandı.
