Çalınan oturum ama çerezleri şirketlerin geleceğini riske atıyor
Saldırganlar çaldıkları oturum tanımlama bilgileriyle çok faktörlü kimlik doğrulamayı aşabiliyor, meşru kullanıcıların kimliğine bürünerek kurumsal ağlarda serbestçe dolaşıp işletmenin verisini, itibarını ve geleceğini tehlikeye atabiliyor.
Sophos X-Ops tarafından hazırlanan “Cookie stealing: the new perimeter bypass” başlıklı raporunda oturum açma çerezlerinin istismarının arttığına dikkat çekti. Bu teknik, çok aşamalı kimlik doğrulama (MFA) güvenliğini aşarak kurumsal sistemlere sızmak için kullanılıyor. Saldırganlar güvenliği ihlal edilmiş sistemlerden çerez bilgilerini çalarken, etkinliklerini gizlemek için yasal görünümlü uygulamalardan yardım alıyor. Çaldıkları çerezleri kullanarak kurumsal web tabanlı uygulamalara ve bulut kaynaklarına erişim elde eden saldırganlar, bunları e-posta güvenliğini aşmak, daha geniş yetkilere sahip sistem erişimleri elde etmek üzere sosyal mühendisliğe alet etmek, veri veya kaynak kod havuzlarını değiştirmek gibi amaçlarla kullanıyor.
Sophos Araştırma Lideri Sean Gallagher, şunları söylüyor: “Saldırganlar geçtiğimiz yıl boyunca kullanımı giderek artan çok aşamalı kimlik doğrulama güvenliğini aşabilmek için oturum çerezlerini çalmaya başladılar. Bu işi basitleştirmek için Raccoon Stealer gibi bilgi çalmaya yönelik kötü amaçlı yazılımların yeni ve gelişmiş sürümlerine yöneliyorlar. Oturum çerezlerini ele geçiren saldırganlar hedefledikleri ağda meşru kullanıcıları taklit ederek serbestçe dolaşabiliyorlar.”
Oturum veya kimlik doğrulama bilgisi, kullanıcı web kaynağına giriş yaptığında web tarayıcısı tarafından daha sonraki girişleri kolaylaştırmak amacıyla çerez olarak kaydediliyor. Saldırganlar bu bilgiyi elde ederse, erişim belirtecini yeni web oturumuna enjekte ederek kimlik doğrulama sürecini atlayıp, tarayıcıyı kimliği doğrulanmış meşru bir kullanıcı olduğuna ikna edebiliyor. Bu teknik, özellikle MFA ile sağlanan ek kimlik doğrulama katmanını aşmak için kullanılıyor. Sorun, birçok meşru web tabanlı uygulamanın bazı durumlarda son kullanma tarihi bile olmayan uzun ömürlü çerezler kullanmasından kaynaklanıyor. Çerez sadece kullanıcı hizmetten çıkış yaptığında devre dışı kalıyor.
Hizmet olarak kötü amaçlı yazılım endüstrisinin gelişimi, giriş düzeyindeki saldırganların bile kimlik bilgisi hırsızlığı yapmasını kolaylaşıyor. Tek yapmaları gereken, şifreleri ve tanımlama bilgilerini toplu olarak ele geçirmek için Raccoon Stealer gibi bilgi çalmaya odaklı bir Truva atının kopyasını satın almak ve bunları Genesis gibi karanlık web ortamlarında satmak. Saldırı zincirinde yer alan fidye yazılımı operatörleri ve diğer gruplar, toplanan bu verileri daha sonra satın alıp kendi amaçları için kullanabiliyor.
Bununla birlikte Sophos, araştırdığı son iki olayda saldırganların özellikle hedef odaklı bir yaklaşımı benimsediğini gözlemledi. Bir örnekte saldırganlar Microsoft Edge tarayıcısından tanımlama bilgileri toplamak için hedef ağın içinde aylarını geçirdi. İlk güvenlik açığını bir istismar kiti aracılığıyla gerçekleştiren saldırganlar, erişim belirteçlerini almak için meşru bir derleyiciyi kötüye kullanmak amacıyla Kobalt Strike ve Meterpreter etkinliğinin kombinasyonundan faydalandı. Diğer örnekte saldırganlar, bir hafta boyunca tanımlama bilgisi dosyalarını çalan kötü amaçlı bir yükü bırakmak için meşru bir Microsoft Visual Studio bileşenini kullandı.
Gallagher, şunları ekliyor: “Geçmişte toplu çerez hırsızlığı olayları görmüş olsak da, saldırganlar artık çerezlerin peşine düşerken hedefli bir yaklaşımı benimsiyor. Çoğu işletme web tabanlı hale geldiğinden, saldırganların çaldıkları oturum çerezleriyle gerçekleştirebilecekleri kötü niyetli faaliyetlerin sınırı yok. Bulut altyapılarından gezebilirler, iş e-postalarına müdahale edebilirler, çalışanları kötü amaçlı yazılım indirmeye ikna edebilirler, hatta içerdeki ürünler için yeniden kod yazabilirler. Bu durumun basit bir çözümünün olmaması işi daha da zorlaştırıyor. Saldırganlar çerezleri çalmak için meşru uygulamalara yönelmesi, şirketlerin kötü amaçlı yazılım tespitini davranışsal analizlerle birleştirmesini zorunluluk haline getiriyor.”
Sophos X-Ops ekibinin hazırladığı raporun tamamını Cookie Stealing: the new perimeter bypass adresinde bulabilirsiniz.