det0507-detect-browser-session-hijacking-via-privilege-handle-access-and-remote-

# DET0507 — Detect browser session hijacking via privilege, handle access, and remote thread into browsers ## Descrição O sequestro de sessão de browser via acesso privilegiado a processos de navegador é uma técnica sofisticada em que adversários injetam código ou abrem handles para processos de navegador (Chrome, Firefox, Edge) para roubar cookies de sessão, tokens de autenticação e credenciais armazenadas na memória do processo. Diferente do simples roubo de arquivos de cookies, essa abordagem acessa dados de sessão em memória que não estariam disponíveis em arquivos do disco. A técnica está relacionada a [[t1185-browser-session-hijacking|T1185 — Browser Session Hijacking]] no MITRE ATT&CK. O acesso ao processo de navegador requer privilégios elevados ou exploração de vulnerabilidades para contornar as proteções de processo do browser (integrity levels, Protected Processes). Uma vez com acesso ao processo, adversários podem usar `ReadProcessMemory` para extrair tokens de sessão, cookies de autenticação e senhas armazenadas no gerenciador de senhas integrado. Malwares como [[s1240-redline-stealer|RedLine Stealer]], [[vidar-stealer|Vidar]] e [[s1148-raccoon-stealer|Raccoon]] utilizam variações dessa técnica para roubo de credenciais em escala. A criação de threads remotas em processos de navegador (`CreateRemoteThread` com destino chrome.exe ou firefox.exe) é um indicador crítico e raramente ocorre em uso legítimo. A correlação entre a tentativa de acesso ao processo de browser, chamadas a `ReadProcessMemory` e subsequente transmissão de dados para C2 constitui a cadeia de evidências desta técnica. ## Indicadores de Detecção - `CreateRemoteThread` com processo alvo sendo `chrome.exe`, `firefox.exe`, `msedge.exe` ou `brave.exe` - Processo não relacionado a browser abrindo handle para processo de navegador com acesso `PROCESS_VM_READ` - Chamada `ReadProcessMemory` em processo de browser por aplicação que não é debugger ou monitor de sistema - `OpenProcess` com flags de acesso de memória (`PROCESS_VM_READ`, `PROCESS_VM_WRITE`) para processo de browser - Escalada de privilégio para `SeDebugPrivilege` imediatamente antes de tentativa de acesso a processo de browser - Processo de stealer injetando DLL em chrome/firefox para interceptar tráfego de autenticação em memória - Acesso ao arquivo de cookies do browser enquanto o browser está em execução (contornando criptografia DPAPI) ## Técnicas Relacionadas - [[t1185-browser-session-hijacking|T1185 — Browser Session Hijacking]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[T1555.003-credentials-from-password-stores-credentials-from-web-browsers|T1555.003 — Credentials from Web Browsers]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] ## Analytics Relacionadas - [[an1398-analytic-1398|AN1398 — Analytic 1398]] --- *Fonte: [MITRE ATT&CK — DET0507](https://attack.mitre.org/detectionstrategies/DET0507)*