- استخدام ملفات تعريف الارتباط المسروقة في اجتياز مستويات التحقق من الهوية والوصول إلى الموارد المؤسسية
كتب : باكينام خالد
كشفت شركة سوفوس ، العالمية المتخصصة لحلول الجيل الجديد للأمن السيبراني، عن إطلاق تقريرها Sophos X-Ops بعنوان "سرقة ملفات تعريف الارتباط: الطريقة الجديدة لتجاوز المحيط الخارجي"، والذي أظهر بأن المجرمين السيبرانيين رفعوا من وتيرة استهداف الثغرات عبر سرقة ملفات تعريف الارتباط لاستخدامها في اجتياز إمكانات التحقق المتعدد والوصول إلى الموارد المؤسسية. وفي بعض الحالات، تعتبر سرقة ملفات تعريف الارتباط بحد ذاتها هجمة عالية التركيز، يحصل فيها المهاجمون على البيانات من نظام ما في الشبكة ويستخدمون ملفات قانونية لتكون واجهة تخفي أنشطتهم الخبيثة. وبعد أن يتمكن المهاجم من الدخول إلى الموارد السحابية وموارد الويب التابعة للمؤسسة باستخدام ملفات تعريف الارتباط، يصبح بوسعه استخدامها لمزيد من الهجمات كاختراق البريد الإلكتروني وهجمات الهندسة الاجتماعية للتغلغل في النظام بشكل أكبر – وحتى تغيير البيانات والسيطرة على رموز المصادر.
في هذا السياق قال شون جالاجر، كبير باحثي التهديدات لدى سوفوس: "شهدنا على مدى العام الماضي ازدياد الهجمات التي حوّلت سرقة ملفات تعريف الارتباط إلى وسيلة للالتفاف على أنظمة التحقق المتعدد من الهوية. فقد انتقل المهاجمون إلى نسخ محسّنة وحديثة من برمجيات سرقة المعلومات، مثل Raccoon Stealer وغيرها لتبسيط أمر الحصول على ملفات تعريف الارتباط الخاصة بالتحقق من الهوية. وفي حال حصول المهاجم على تلك الملفات، سيصبح بإمكانه التحرك بحريّة في الشبكة وانتحال شخصية المستخدمين القانونيين."
يذكر أن ملفات تعريف الارتباط للجلسات – أو تلك الخاصة بالتحقق من الهوية – هي نوع محدد من ملفات تعريف الارتباط التي يتم تخزينها في متصفح الويب عندما يقوم المستخدمين بتسجيل دخوله إلى موارد الويب. وفي حال حصول المهاجمين على تلك الملفات، فإن بوسعهم تنفيذ هجمة لتمرير تلك الملفات وبالتالي التمكن من دخول الويب من جديد عبر خداع المتصفح واعتقاده بأنه تحقق من هوية المستخدم بالفعل، وبالتالي لا حاجة لتكرار التحقق. ويضمن ذلك للمهاجم القدرة على اجتياز طبقة تحقق أخرى، فيما تتفاقم المشكلة نظرًا لأن العديد من تطبيقات الويب القانونية تستخدم ملفات تعريف الارتباط ذات الصلاحية طويلة الأمد والتي نادرًا ما تنتهي صلاحيتها أو لا تنتهي أبدًا – أما ملفات تعريف الارتباط الأخرى فتصبح غير سارية في حال تسجيل المستخدم خروجه من الخدمة.
ونظرًا لوجود قطاع يوفر البرمجيات كخدمة، فقد أصبح من السهل على المهاجمين المبتدئين أن يمارسوا سرقة كلمات المرور، فكل ما عليهم – على سبيل المثال – هو شراء نسخة من برمجيات سرقة المعلومات مثل Raccoon Stealer لجمع البيانات ككلمات المرور او ملفات تعريف الارتباط بكميات كبيرة ومن ثم بيعها في أسواق إجرامية منها Genesis.وحينها يمكن لمجرمين آخرين مثل مهاجمي برمجيات طلب الفدية شراء تلك البيانات وتصفيتها للاستفادة من أي شيء يمكنهم تحويله إلى هجمة مفيدة لهم.
تجدر الإشارة إلى أن اثنتين من الهجمات الأخيرة التي حققت فيها سوفوس شهدتا اتخاذ مقاربة أكثر تركيزًا، حيث أمضى المهاجمون في واحدة من الهجمات عدة أشهر داخل الشبكة المستهدفة للحصول على ملفات تعريف الارتباط من متصفح مايكروسوفت إيدج. تم الاختراق الأولي باستخدام برمجيات اختراق جاهزة، ثم استعمل المهاجم مزيجًا من أنشطة Cobalt Strike و Meterpreter لإساءة استخدام أدوات قانونية والحصول على حقوق الوصول إلى التطبيقات. وفي حالة أخرى، استعمل المهاجم احد مكونات Microsoft Visual Studio لإيصال برمجيات خبيثة تمكنت من سرقة ملفات تعريف الارتباط لأسبوع كامل.
أضاف جالاجر: "شهدنا سرقة ملفات تعريف الارتباط بكميات كبيرة في السابق ولكن المهاجمين الآن يعملون بشكل دقيق ومركّز لسرقتها، ونظرًا لانتقال قدر كبير من الأعمال إلى الويب، فإن هناك عددًا غير محدود من الأنشطة الخبيثة التي يستطيع المهاجمون القيام بها في الشبكات عند سرقة ملفات تعريف الارتباط. فبوسعهم التلاعب بالبنية التحتية السحابية واختراق البريد الإلكتروني وإقناع الموظفين بتنزيل البرمجيات الخبيثة أو حتى إعادة كتابة الأكواد للمنتجات – لا حدود للأفكار التي يمكن أن يطبقوها."
أكد وما يزيد الأمور تعقيدًا هو عدم وجود حل بسيط، فالخدمات قد تقصر حياة تلك الملفات ولكن ذلك سيعني اضطرار المستخدمين لإعادة التحقق من الهوية باستمرار بينما يلجأ المهاجمون لسرقة ملفات تعريف الارتباط من التطبيقات القانونية مما يعني أن على الشركات دمج الحماية من البرمجيات الخبيثة مع التحليل السلوكي للسيطرة على تلك المشكلة."
لمعرفة المزيد عن سرقة ملفات تعريف الارتباط وكيفية استغلال المجرمين السيبرانيين لها في اختراق الشبكات والأنشطة الخبيثة، يمكنكم قراءة التقرير الكامل سرقة ملفات تعريف الارتباط: الطريقة الجديدة لتجاوز المحيط الخارجي على الموقع Sophos.com.
