det0509-detection-of-web-session-cookie-theft-via-file-memory-and-network-artifa

# DET0509 — Detection of Web Session Cookie Theft via File, Memory, and Network Artifacts ## Descrição O roubo de cookies de sessão web permite que adversários se autentiquem em serviços online sem necessidade de credenciais, contornando autenticação multifator (MFA). Cookies de sessão de plataformas como Office 365, Google Workspace, AWS Console e sistemas SaaS corporativos têm válidade prolongada e podem ser reutilizados por adversários em sessões "pass-the-cookie". A técnica é mapeada como [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] no MITRE ATT&CK. O roubo pode ocorrer via três vetores principais: arquivo (leitura dos bancos de dados de cookies do browser em disco), memória (extração de cookies em memória via injeção de processo) e rede (interceptação via proxy AiTM — Adversary-in-the-Middle). Ferramentas como [[evilginx2|EvilGinx2]], [[modlishka|Modlishka]] e [[muraena|Muraena]] são proxies AiTM amplamente usados em campanhas de phishing modernas que coletam cookies de sessão enquanto realizam MFA legítima para o usuário. Grupos como [[g1015-scattered-spider|Scattered Spider]] e [[g0016-apt29|APT29]] documentadamente utilizam essa técnica. A detecção multi-vetor requer: monitoramento de acesso a arquivos de cookies de browsers (SQLite databases em perfis de usuário), análise de memória de processos de browser para acesso não autorizado, e detecção de sessões autenticadas originadas de IPs/geolocalizações inconsistentes com o histórico do usuário — indicativo de reutilização de cookie roubado. ## Indicadores de Detecção - Leitura do arquivo `Cookies` ou `Network` do Chrome/Firefox por processo que não é o próprio browser - Acesso ao banco SQLite de cookies em `%APPDATA%\Local\Google\Chrome\User Data\Default\` por processo externo - Autenticação bem-sucedida em serviço SaaS a partir de IP/ASN nunca antes usado pelo usuário (Impossible Travel) - Session token apresentado em nova sessão inconsistente com User-Agent ou fingerprint de dispositivo anteriores - Proxy AiTM detectado por análise de certificado TLS intermediário inconsistente com serviço legítimo - Múltiplas sessões simultâneas autenticadas com o mesmo session token em localizações geográficas distintas - Acesso a recursos corporativos via cookie de sessão imediatamente após phishing de credenciais reportado ## Técnicas Relacionadas - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1185-browser-session-hijacking|T1185 — Browser Session Hijacking]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[T1555.003-credentials-from-password-stores-credentials-from-web-browsers|T1555.003 — Credentials from Web Browsers]] ## Analytics Relacionadas - [[an1402-analytic-1402|AN1402 — Analytic 1402]] - [[an1403-analytic-1403|AN1403 — Analytic 1403]] - [[an1404-analytic-1404|AN1404 — Analytic 1404]] - [[an1405-analytic-1405|AN1405 — Analytic 1405]] - [[an1406-analytic-1406|AN1406 — Analytic 1406]] --- *Fonte: [MITRE ATT&CK — DET0509](https://attack.mitre.org/detectionstrategies/DET0509)*