Krümelmonster auf Beutezug
Mit dem zunehmenden Einsatz von Multi-Faktor-Authentifizierung suchen Cyberkriminelle einen Ersatz für ausgespähte oder geknackte Passwörter: Der Diebstahl von Cookies, die mit Identität und Authentifizierung verknüpft sind, bietet Angreifern neue Möglichkeiten zur Kompromittierung von Konten und Services.
Von Sean Gallagher, Washington/Baltimore (US/DC)
Malware, die Anmeldeinformationen stiehlt, gehört zu den wichtigsten Elementen eines Werkzeugkastens, den eine Vielzahl von Cyberkriminellen verwendet. Benutzerkontonamen und Kennwörter sind hier die offensichtlichsten Ziele – allerdings hat die zunehmende Verwendung von Multi-Faktor-Authentifizierung (MFA) zum Schutz webbasierter Dienste die Wirksamkeit dieses Ansatzes geschmälert. Daher gehen Angreifer zunehmend dazu über, mit Anmeldeinformationen verknüpfte Cookies zu stehlen: So können sie aktive oder kürzlich durchgeführte Web-Sitzungen kapern und die MFA umgehen. Der Clou für Cyberkriminelle: Der Google Chrome-Browser verwendet dieselbe Verschlüsselungsmethode, um sowohl MFA-Cookies als auch Von Sean Gallagher, Washington/Baltimore (US/DC) Kreditkartendaten zu speichern – beide sind daher etwa im Visier der Schadsoftware Emotet.
Die Bandbreite an Cyberkriminellen, die es auf Cookies abgesehen haben, ist groß: Am unteren Ende des Spektrums wird – häufig von Einsteigern – sogenannte Cookie-Harvesting-Malware zum Stehlen von Informationen verwendet, zum Beispiel per Raccoon Stealer Malware-as-a-Service oder dem RedLine Stealer Keylogger/Information-Stealer. Damit erbeuten Angreifer Cookies und Anmeldedaten in großen Mengen, um sie auf kriminellen Marktplätzen zu verkaufen.
Am oberen Ende des Spektrums erbeuten aktive Angreifer Cookies auf verschiedene Weise: In einigen Fällen haben Security-Experten von Sophos Beweise dafür entdeckt, dass Ransomware-Betreiber die gleiche Info Stealer-Malware wie weniger raffinierte Kriminelle verwenden. Zudem ließen sich häufig Attacken beobachten, bei denen legitime offensive Sicherheitstools wie Metasploit, Meterpreter oder Cobalt Strike genutzt wurden, um Cookie-Harvesting-Malware auszuführen oder Skripte zu starten, die Cookies aus den Caches der Browser abgreifen (siehe Abb. 5). Darüber hinaus existieren aber auch legitime Anwendungen und Prozesse, die mit Browser-Cookie-Dateien rechtmäßig interagieren: In seiner Telemetrie hat Sophos unter den Cookie-Snooping-Tools sogar Anti-Malware-Software, Auditing-Tools und Betriebssystem-Helfer gefunden.
„Pass the Cookie“-Angriffe
Browser speichern Cookies in einer Datei – bei Mozilla Firefox, Google Chrome und Microsoft Edge handelt es sich dabei um eine SQLite-Datenbank im Benutzerprofilordner. Ähnliche Dateien sind bei diesen Browsern auch für Browserverlauf, Website-Anmeldungen und Informationen zum automatischen Ausfüllen zuständig. Andere Anwendungen, die eine Verbindung zu Remote-Diensten herstellen, verfügen entweder über eigene Cookie Speicher oder haben in einigen Fällen Zugriff auf die entsprechenden Daten der Webbrowser.
Der Inhalt jedes Cookies in der Datenbank ist eine Liste von Parametern und Werten, welche die Browsersitzung mit der Remote-Website in Verbindung bringt (vgl. Abb. 1) – in einigen Fällen gibt es auch ein Token, das die Website nach der Benutzerauthentifizierung an den Browser weitergibt. Eines dieser Schlüssel Wert-Paare gibt die Gültigkeitsdauer des Cookies an – also wann etwa die Anmeldung erneuert werden muss.
Spannend sind Cookies, die mit der Authentifizierung bei Webdiensten verknüpft sind: Angreifer können diese für „Pass the Cookie Attacks“ verwenden, bei denen sie versuchen, sich als der rechtmäßige Benutzer auszugeben, für den das Cookie ursprünglich ausgestellt wurde – und zwar ohne Anmeldeaufforderung (Abb.2).
Viele webbasierte Anwendungen führen zwar Prüfungen durch, um das sogenannte Session-Spoofing zu verhindern – dazu gehört beispielsweise die Überprüfung der IP-Adresse der Anfrage mit dem Ort, an dem die Sitzung initiiert wurde. Nutzt jemand die Cookies jedoch aus demselben Netzwerk heraus wie sein Opfer, reichen diese Maßnahmen möglicherweise nicht aus, um einen Missbrauch zu verhindern. Zudem verwenden Anwendungen, die für eine Kombination aus Desktop- und Mobilnutzung entwickelt wurden, die Geolokalisierung möglicherweise nicht konsequent.
Angriffs-Beispiele
Häufig nutzen Malware-Betreiber kostenpflichtige Download-Dienste und andere ungezielte Methoden, um möglichst viele Cookies und Anmeldeinformationen zu geringen Kosten und mit wenig Aufwand zu sammeln. Diese Art der Stealer-Bereitstellung ähnelt sehr stark der von Raccoon Stealer und anderen Malware-Kampagnen, die über „Dropper as a Service“ verbreitet wurden: Hierbei verbreiten Kriminelle über bösartige Websites Malware-Pakete in ISO- oder ZIP-Dateien, die sie durch Suchmaschinenoptimierung als Installationsprogramme für raubkopierte oder geknackte kommerzielle Softwarepakete anpreisen. ISO-basierte Pakete werden mittlerweile auch häufig als Ersatz für bösartige Dokumente in Malware-Spam-E-Mail Kampagnen verwendet, vor allem seit Microsoft kürzlich Makros in Office-Dateien aus dem Internet gebannt hat.
In einem Fall von Download as a Service, den Sophos-Spezialisten in einem College-Netzwerk beobachtet haben, war die Stealer-Malware ineinem gefälschten Software-Installationsprogramm verpackt: Es wurde von einer Website heruntergeladen, die höchstwahrscheinlich für raubkopierte kommerzielle Software warb. Das Installationsprogramm war dabei in einer 300 MB großen ISO-Datei enthalten. Dabei handelt es sich um eine bewährte Taktik der Angreifer: Große ISO-Dateien dienen häufig dazu, um Datei-Scans durch Malware-Erkennungssoftware zu behindern.
Die bewusste ISO-Datei enthielt blenderinstaller-3.0.exe, ein Software-Installationsprogramm aus einem anderen Software-Paket: Dieser Dropper installiert mehrere Dateien, indem er einen PowerShell-Befehl und eine mit AutoIT – einem legitimen Tool, das Malware-Betreiber häufig missbrauchen (www.autoitscript.com) – erstellte ausführbare Datei verwendet, um Malware aus der ISO-Datei zu extrahieren und weitere schädliche Dateien aus dem Content-Delivery-Network (CDN) von Discord herunterzuladen. Das Malware-Paket injiziert dann eine Reihe von Befehlen über einen .NET-Prozess (mit jsc.exe aus dem .NET-Framework), um sowohl Cookies als auch Anmeldedaten von Chrome abzugreifen.
Gezielte Angriffe statt massenhafter Attacken
Bösartige Spam-E-Mails verwenden auch andere „getarnte“ Anhänge und zielen oft auf Unternehmen bestimmter Branchen oder an bestimmten Orten: Im Oktober 2021 erhielt beispielsweise ein türkischer Computernutzer eine E-Mail mit dem Anhang einer XZ-Archivdatei. Diese enthielt eine ausführbare Datei mit der Bezeichnung „ürün örnekleri resmi pdf.exe“, was übersetzt Bedrohung MFA-Cookie-Missbrauch „Produktmusterbild pdf.exe“ bedeutet. Bei dem ausführbaren Anhang handelte es sich um einen selbstextrahierenden Malware-Dropper, der mit der Programmiersprache Delphi erstellt wurde („BobSoft Mini Delphi“).
Der Dropper installierte seinerseits mehrere ausführbare Dateien (Abb. 4): Die erste war die legitime Microsoft Visual Studio-Komponente msbuild.exe, die normalerweise zum Kompilieren und Ausführen von Programmierprojekten dient – sie kann Projektdateien oder XML-Dateien mit Skripten über die Befehlszeile übergeben und diese starten (https://lolbas-project.github.io/lolbas/Binaries/Msbuild/).
Die zweite ausführbare Datei wurde aus dem Discord-CDN abgerufen und entschlüsselt: Es handelte sich um den Phoenix Keylogger – also einen Informationsdieb. QuasarRat, ein in C# geschriebenes Tool für den Fernzugriff, wurde ebenfalls zu einem bestimmten Zeitpunkt abgelegt.
Im Laufe der darauf folgenden Woche nutzte der Angreifer den installierten Remote-Access-Trojaner (QuasarRAT), um den Keylogger zu starten und Befehle über MSBuild auszuführen – diese griffen dann auf die Cookie-Dateien des Zielrechners zu.
Die genannten Beispiele stellen nur einen kleinen Teil des Spektrums der Internetkriminalität dar, der auf den Diebstahl von Cookies abstellt. Auch gezieltere, interaktive Angriffe haben es teilweise auf Cookies abgesehen (Abb. 5) und einfache Schutzmaßnahmen können derartige Aktivitäten möglicherweise nicht erkennen, wenn Kriminelle hierbei legitime ausführbare Dateien missbrauchen, die bereits vorhanden waren (sog. „Living off the Land Attacks“ – LotL) oder als Tools im Rahmen der Attacke eingebracht werden.
Gegenmaßnahmen
Cookie-Diebstahl wäre nicht annähernd eine so große Bedrohung, wenn nicht so viele Anwendungen sehr langlebige Zugriffs-Cookies verwenden würden – so nutzt etwa Slack eine Kombination aus dauerhaften und sitzungsspezifischen Cookies, um die Identität und Authentifizierung der Benutzer zu überprüfen. Während Sitzungscookies gelöscht werden, wenn der Nutzer den Browser schließt, bleiben einige Anwendungen (wie Slack) in manchen Umgebungen auf unbestimmte Zeit geöffnet: Ihre Cookies laufen dann möglicherweise nicht schnell genug ab, um zu verhindern, dass ein Angreifer sie missbrauchen kann. Und Single-Sign-on-Tokens einiger MFA-Mechanismen können die gleiche potenzielle Bedrohung darstellen, wenn Nutzer ihre Sitzungen nicht schließen, sich also explizit abmelden, was angesichts des zusätzlichen Aufwands durch die MFA oft „unbeliebt“ ist.
Im Umkehrschluss verringert regelmäßiges Löschen von Cookies und anderen Authentifizierungsinformationen für Browser die Angriffsfläche, welche die Browser-Profildateien, Cookies und Tokens bieten. Die Verschärfung der Cookie-Richtlinien geht jedoch mit Kompromissen einher: Die Verkürzung der Lebensdauer von Cookies bedeutet, dass sich Benutzer häufiger neu authentifizieren müssen. Und einige webbasierte Anwendungen, die Clients auf Basis von Electron oder ähnlichen Entwicklungsplattformen nutzen, können Probleme mit der Cookie-Verarbeitung haben.
Ein wirkungsvoller Malware-Schutz muss gegen derartige Bedrohungen diverse Verhaltensregeln prüfen, um den Missbrauch von Cookies durch Skripte und nicht vertrauenswürdige Programme zu verhindern. Gute Lösungen sollten entsprechende Malware anhand einer Reihe von Speicher- und Verhaltensmustern aber durchaus erkennen können.
Sean Gallagher ist seit über 20 Jahren als Sicherheitsforscher, Technologiejournalist und Informationstechnikexperte tätig. Heute arbeitet er als Senior Threat Researcher bei Sophos.