Furto di Cookie di Sessione: Use Alternate Authentication Material - Web Session Cookie (T1550.004)

Per replicare questa tecnica in ambiente controllato, iniziamo con l'estrazione dei cookie dal browser target. Su Windows, i cookie di Chrome si trovano nel database SQLite:

sqlite3 "%LOCALAPPDATA%\Google\Chrome\User Data\Default\Cookies"

La query SQL per estrarre i cookie decriptati richiede l'accesso alla master key di Chrome. In alternativa, strumenti come EvilGinx permettono di intercettare cookie durante il processo di autenticazione creando proxy phishing sofisticati.

Una volta ottenuti i cookie, l'importazione avviene tramite browser extension o manipolazione diretta. Con Python e Selenium:

driver.add_cookie({
    'name': 'session_token',
    'value': 'stolen_cookie_value',
    'domain': '.target.com'
})

Per sessioni Office 365, i cookie critici includono ESTSAUTH e ESTSAUTHPERSISTENT. L'estrazione richiede accesso amministrativo al sistema compromesso:

reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cookies"

Il riutilizzo dei cookie avviene importandoli in un browser pulito. Tools come Cookie-Editor o EditThisCookie semplificano il processo. Per sessioni API, curl accetta cookie direttamente:

curl -H "Cookie: session=stolen_value" https://api.target.com/data

Durante la campagna SolarWinds Compromise, gli attaccanti hanno forgiato cookie duo-sid per aggirare l'autenticazione Duo Security, dimostrando come anche MFA avanzati possano essere elusi con questa tecnica.

La detection efficace richiede correlazione tra eventi di autenticazione e utilizzo dei token. L'anomalia AN0201 identifica accessi cloud senza MFA precedente analizzando AWS CloudTrail. La logica detection verifica la presenza di AssumeRoleWithWebIdentity senza corrispondente ConsoleLogin nelle ultime 24 ore.

Per Office 365, monitorate il log unificato cercando pattern di riutilizzo token. L'anomalia AN0202 confronta il browser fingerprint della sessione originale con quello del riutilizzo. User-agent che passa da "Chrome/120.0" a "curl/7.68" indica possibile furto.

I parametri di tuning critici includono IPGeolocationDistance per identificare login geograficamente impossibili. Un valore di 500km cattura viaggi improbabili mantenendo basso il rumore. SessionReuseTimeout va calibrato sulla durata media delle sessioni legittime della vostra organizzazione.

La correlazione endpoint-cloud tramite AN0203 richiede visibilità su entrambi i layer. Se Outlook desktop non ha generato token refresh nelle ultime 4 ore ma il token viene usato su API Graph, probabilmente è stato rubato. Il parametro EndpointTokenSyncGap gestisce la tolleranza temporale.

Okta fornisce eventi specifici come user.session.impersonation che segnalano riutilizzo anomalo di sessioni. Splunk queries efficaci correlano:

• Nuovo device ID con sessione esistente
• Cambio drastico di geolocation senza logout
• Pattern di accesso API diversi dal baseline utente

I falsi positivi derivano principalmente da VPN aziendali e browser privacy-focused che randomizzano fingerprint. Create whitelist basate su IP range corporate e user-agent legittimi.

L'analisi forense dei cookie rubati inizia dal browser del sistema compromesso. Chrome memorizza i cookie nel path %LOCALAPPDATA%\Google\Chrome\User Data\Default\Cookies come database SQLite. Il timestamp creation_utc indica quando il cookie è stato creato, mentre last_access_utc rivela l'ultimo utilizzo.

Firefox conserva i cookie in cookies.sqlite con struttura simile. La tabella moz_cookies contiene il campo expiry che mostra la validità residua del token al momento del furto. Cookie con expiry a 30+ giorni sono target primari per gli attaccanti.

Per ricostruire il furto, correlate i Windows Event Log. L'EventID 4688 mostra l'esecuzione di processi che accedono ai file cookie. L'EventID 4663 registra accessi agli oggetti file, catturando letture sui database dei browser. La sequenza tipica mostra:

1. Elevazione privilegi (EventID 4672)
2. Accesso al profilo Chrome (EventID 4663)
3. Esecuzione tool di estrazione (EventID 4688)

Durante SolarWinds Compromise, i forensics hanno identificato l'uso di duo-sid forgiati analizzando i log di autenticazione Duo. I timestamp mostravano token validi usati ore dopo la scadenza teorica, evidenziando manipolazione diretta.

Gli artefatti di rete includono connessioni TLS verso domini di autenticazione senza handshake iniziale completo. Netflow rivela sessioni che iniziano direttamente con cookie authentication invece del normale flusso login.

Memory forensics con Volatility può recuperare cookie in chiaro dalla RAM del browser. Il plugin chromehistory estrae sessioni attive includendo token non ancora scritti su disco.

Il gruppo Star Blizzard ha perfezionato l'uso di EvilGinx per il furto di cookie in campagne contro organizzazioni governative. Il loro modus operandi prevede phishing iniziale seguito da harvesting automatizzato dei token di sessione. I cookie rubati vengono riutilizzati entro 24-48 ore per mantenere l'apparenza di sessioni legittime.

L'overlap di tecniche mostra come il furto di cookie sia spesso combinato con:

• T1606 (Forge Web Credentials) per creare token personalizzati
• T1539 (Steal Web Session Cookie) come fase preparatoria
• T1078 (Valid Accounts) per mantenere l'accesso

La campagna SolarWinds Compromise ha dimostrato l'evoluzione verso cookie forging avanzato. APT29 ha creato duo-sid validi sfruttando debolezze crittografiche, indicando capacità di reverse engineering dei meccanismi di autenticazione.

I pattern geografici mostrano concentrazione in paesi con forte adozione cloud. Target primari includono:

• Provider SaaS con single sign-on federato
• Organizzazioni con MFA soft-token
• Aziende con policy di sessione permissive

L'evoluzione prevista include:

• Automazione del cookie harvesting via malware modulari
• Marketplace underground specializzati in session token
• Tool di cookie forging basati su machine learning
• Exploit di vulnerabilità in identity provider

Le contromisure future richiederanno binding hardware dei token e continuous authentication basata su behavioral analytics.

La tecnica T1550.004 è documentata nel framework MITRE ATT&CK con esempi dalla campagna SolarWinds Compromise (C0024) attribuita ad APT29. Star Blizzard (G1033) rappresenta l'attore principale osservato. Detection tramite Sigma rules e configurazioni SIEM basate sulle anomalie descritte.