Furto di Sessione Web: Web Session Cookie (T1550.004)

Il cuore di questa tecnica è concettualmente semplice: ottenere un cookie di sessione valido e iniettarlo in un contesto controllato dall'attaccante. In un esercizio red team, il modo più realistico per simularlo è costruire un proxy di phishing che intercetti la sessione durante l'autenticazione legittima della vittima.

Evilginx (open source) è il tool di riferimento. Funziona come un reverse proxy che si posiziona tra la vittima e il sito target, catturando credenziali e cookie di sessione in tempo reale — inclusi i token post-MFA. Dopo l'installazione, si configura un "phishlet" per il servizio target (ad esempio Microsoft 365 o Google Workspace), si registra un dominio simile a quello legittimo e si genera un lure URL da inviare alla vittima.

La sequenza operativa in laboratorio prevede tre passaggi fondamentali. Primo, configurare il dominio e il certificato TLS sul server Evilginx. Secondo, caricare il phishlet appropriato e impostare il redirect post-cattura. Terzo, attendere che la vittima simulata completi l'autenticazione — a quel punto il pannello di Evilginx mostrerà il cookie di sessione catturato.

Una volta ottenuto il cookie, l'iniezione nel browser è banale. In Chrome o Firefox, si apre la console sviluppatore (F12), si naviga nella tab "Application" → "Cookies", e si aggiunge manualmente il cookie con nome, valore, dominio e path corretti. In alternativa, l'estensione Cookie-Editor (open source) per browser Chromium e Firefox semplifica l'import/export in formato JSON.

Per un approccio più automatizzato da riga di comando, si può usare curl con il flag -b per specificare un file cookie in formato Netscape:

curl -b cookies.txt

In contesti di red teaming avanzato, il framework Mangle (open source) consente di manipolare token OAuth e session cookie estratti da browser compromessi, mentre ROADtools (open source) è specificamente progettato per interagire con ambienti Azure AD/Entra ID utilizzando token e cookie rubati.

Un aspetto critico da testare è la persistenza: molti servizi cloud non invalidano il cookie nemmeno dopo un cambio password, a meno che l'amministratore non revochi esplicitamente le sessioni attive. Il red team dovrebbe misurare la finestra di validità reale dei cookie in scope e documentarla nel report.

Il rilevamento del riutilizzo di cookie di sessione rubati è una delle sfide più insidiose per un SOC, perché l'accesso appare — dal punto di vista del server — perfettamente legittimo. Non c'è brute force, non c'è credential stuffing, non c'è nemmeno un evento MFA da analizzare. La chiave è cercare le incongruenze contestuali che tradiscono il cambio di ambiente.

La detection primaria su ambienti IaaS si basa sui log di AWS CloudTrail (a pagamento per funzionalità avanzate). L'analytic da implementare cerca accessi a risorse cloud tramite session token che non sono preceduti da un evento di autenticazione MFA entro una finestra temporale ragionevole. Il parametro TimeWindow va calibrato: un valore troppo stretto (sotto i 15 minuti) genera falsi positivi con utenti che lasciano tab aperte; un valore troppo largo (oltre le 4 ore) riduce la capacità di rilevamento. Il secondo asse è la geolocalizzazione: il parametro IPGeolocationDistance deve essere tarato per segnalare login fisicamente impossibili — ad esempio, un accesso da Milano seguito da uno da Mosca entro 20 minuti.

Per ambienti SaaS, le sorgenti critiche sono i log Microsoft 365 Unified Audit Log e i log Okta (a pagamento). La regola comportamentale più efficace rileva il riutilizzo di un cookie di sessione da un browser o dispositivo che devia dal profilo baseline dell'utente. Il parametro BrowserFingerprintMatch va gestito con attenzione: piccole differenze nello User-Agent (aggiornamenti minori del browser) sono normali, ma un passaggio da Chrome desktop a curl o python-requests è fortemente sospetto. Il SessionReuseTimeout dovrebbe generare alert quando un cookie viene riutilizzato dopo un gap anomalo rispetto alla creazione della sessione originale.

Il terzo scenario riguarda le suite Office. Quando un token di sessione web viene riutilizzato all'interno di applicazioni native come Outlook o Teams senza un corrispondente evento di token refresh sull'endpoint, siamo probabilmente di fronte a un'iniezione. Il parametro EndpointTokenSyncGap misura il delta accettabile tra il login locale e l'utilizzo cloud del token.

Come controllo preventivo, la mitigazione Software Configuration è fondamentale: configurare i browser aziendali per eliminare periodicamente i cookie persistenti riduce la finestra di esposizione. Strumenti come Ansible (open source), Chef (freemium) o Puppet (freemium) consentono di distribuire policy di configurazione browser su larga scala, mentre CIS-CAT (freemium) fornisce benchmark verificabili per le impostazioni di sicurezza delle applicazioni.

L'indagine forense su un caso di session cookie hijacking richiede di ricostruire due momenti distinti: il furto del cookie e il suo riutilizzo. Spesso il secondo è molto più visibile del primo, e conviene partire da lì per risalire all'origine.

Sul lato endpoint della vittima, il punto di partenza è il database dei cookie del browser. Chrome li memorizza in un file SQLite (Cookies) nella directory del profilo utente, tipicamente sotto %LOCALAPPDATA%\Google\Chrome\User Data\Default\Network su Windows. Firefox utilizza un file analogo (cookies.sqlite) nella cartella del profilo. Con DB Browser for SQLite (open source) si possono esaminare i cookie attivi, le date di creazione e ultimo accesso, e verificare se un cookie è stato esportato o se il file ha subìto accessi anomali da processi non-browser.

I timestamp dei file sono cruciali. Su Windows, l'analisi dei $MFT e dei $UsnJrnl con tool come MFTECmd di Eric Zimmerman (open source) permette di identificare accessi al file Cookies da parte di processi sospetti. Se l'attaccante ha usato malware per estrarre i cookie, il file avrà un pattern di accesso in lettura da un processo diverso dal browser.

Sul versante cloud, dove il cookie rubato viene effettivamente utilizzato, gli Azure AD Sign-in Logs (per ambienti Microsoft) e i CloudTrail Logs (per ambienti AWS) sono le fonti primarie. La timeline deve evidenziare sessioni che iniziano senza un corrispondente evento di autenticazione interattiva. In Azure AD, un accesso con AuthenticationRequirement impostato su "previously satisfied" ma proveniente da un IP o dispositivo mai visto prima è un indicatore forte.

Per la campagna SolarWinds Compromise (C0024), l'analisi forense ha rivelato un pattern specifico: APT29 ha utilizzato cookie rubati per accedere a risorse cloud e ha forgiato un cookie duo-sid per bypassare l'MFA Duo Security sugli account email. In uno scenario forense simile, bisogna cercare nei log del provider MFA l'assenza di challenge per sessioni che risultano autenticate — il gap tra "sessione attiva" e "challenge MFA completato" è la firma dell'attacco.

Lo strumento Hindsight (open source) è particolarmente utile per l'analisi forense dei browser Chromium, poiché estrae e correla cookie, cronologia, download e dati di sessione in un formato analizzabile. Per Firefox, FOCA o l'analisi diretta del database SQLite con query mirate rappresentano l'approccio standard.

Due attori documentati hanno impiegato questa tecnica in modi distinti ma complementari, offrendo pattern di attribuzione e anticipazione preziosi.

Star Blizzard (G1033), gruppo legato alla Russia e focalizzato su operazioni di spionaggio, ha utilizzato Evilginx come strumento per rubare cookie di sessione e bypassare l'MFA sugli account email delle vittime. Il modus operandi di Star Blizzard segue un pattern consolidato: spear phishing mirato verso obiettivi di alto valore (ricercatori, giornalisti, figure governative), con redirect verso portali di login proxati da Evilginx. Il cookie catturato diventa la chiave per accedere alla casella di posta senza che la vittima si accorga di nulla. Questo profilo indica un gruppo che privilegia l'accesso persistente e silenzioso alle comunicazioni rispetto alla distribuzione di malware, un pattern tipico delle operazioni di intelligence collection.

La campagna SolarWinds Compromise (C0024), condotta da APT29 tra agosto 2019 e gennaio 2021, rappresenta l'applicazione più sofisticata di questa tecnica su scala globale. APT29 non si è limitato a rubare cookie: ha forgiato un cookie duo-sid per aggirare l'MFA Duo Security, dimostrando una comprensione profonda dei meccanismi di autenticazione dei prodotti specifici in uso presso le vittime. Questa campagna ha colpito organizzazioni governative, consulenziali, tecnologiche e di telecomunicazioni in Nord America, Europa, Asia e Medio Oriente, attraverso un attacco alla supply chain che ha sfruttato il processo di build di SolarWinds Orion.

Il pattern geografico è chiaro: entrambi gli attori sono attribuiti alla Russia e operano con obiettivi di intelligence strategica. La convergenza sull'uso di session cookie hijacking suggerisce che questo vettore sia considerato affidabile e a basso rischio di rilevamento all'interno della dottrina operativa russa.

Dal punto di vista predittivo, l'evoluzione probabile prevede un aumento dell'uso di questa tecnica man mano che l'adozione dell'MFA si diffonde. Se le organizzazioni investono in MFA resistente al phishing (FIDO2, passkey), gli attaccanti si sposteranno sempre più verso il furto di sessioni post-autenticazione, rendendo il cookie hijacking il bypass preferito. Il Threat Intelligence team dovrebbe monitorare lo sviluppo di nuove varianti di proxy di phishing e l'emergere di marketplace underground dove i cookie di sessione vengono venduti come commodity.

Framework MITRE ATT&CK v16: T1550.004 (Web Session Cookie), TA0005, TA0008, G1033 (Star Blizzard), C0024 (SolarWinds Compromise), M1054 (Software Configuration), DET0074. Integrato con conoscenza professionale per tool e procedure operative.