t1550-004-web-session-cookie

# T1550.004 - Web Session Cookie ## Técnica Pai [[t1550-use-alternate-authentication-material|T1550 - Use Alternaté Authentication Material]] ## Descrição Adversários utilizam cookies de sessão web roubados para autenticar em aplicações e serviços sem precisar das credenciais originais da vítima. Essa abordagem é especialmente poderosa porque contorna mecanismos de autenticação multifator (MFA) - a sessão já está autenticada, de modo que não há novo desafio de segundo fator. Cookies de autenticação são emitidos por aplicações web - incluindo serviços em nuvem, plataformas SaaS e suítes de produtividade como Microsoft 365 e Google Workspace - após o login bem-sucedido do usuário. O objetivo é evitar que as credenciais trafeguem repetidamente e reduzir a frequência de reautenticação. Na prática, esses tokens costumam ter válidade prolongada, mesmo quando o serviço não está sendo usado ativamente. Uma vez que o cookie é obtido - via [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] ou [[t1606-001-web-cookies|T1606.001 - Web Cookies]] - o atacante o importa num navegador sob seu controle e passa a operar como a vítima pelo tempo em que o token permanecer válido. A partir daí pode ler e-mails, exfiltrar documentos, acessar ambientes de nuvem e executar qualquer ação que o perfil comprometido permita. Grupos como o [[g1033-star-blizzard|Star Blizzard]] (Rússia) utilizam essa técnica de forma sistemática em campanhas contra alvos governamentais e de política externa, combinando-a com ataques de phishing para captura inicial do cookie. ## Como Funciona O fluxo típico de exploração envolve quatro etapas sequenciais: 1. **Captura do cookie** - o adversário utiliza malware (stealers), extensões de navegador maliciosas, man-in-the-browser ou phishing via adversary-in-the-middle (AiTM) para extrair o cookie de sessão autenticada do armazenamento do navegador da vítima. 2. **Exfiltração** - o cookie é enviado ao servidor de comando e controle (C2) ou coletado manualmente pelo atacante. 3. **Importação** - o cookie é injetado no navegador do atacante usando ferramentas de desenvolvedor, extensões ou utilitários de edição de cookies, associando a sessão ao domínio alvo. 4. **Acesso e movimentação** - o atacante navega pelo serviço como a vítima, sem disparar alertas de novo login, pois o token é visto como uma sessão legítima já estabelecida. Ataques AiTM - onde um proxy reverso fica interposto entre a vítima e o serviço legítimo - permitem captura em tempo real do cookie logo após o MFA ser resolvido pela própria vítima, tornando a proteção de segundo fator completamente ineficaz nesse cenário. ## Attack Flow ```mermaid graph TB A[Phishing / AiTM Proxy] --> B[Vítima autentica com MFA] B --> C[Cookie de sessão emitido pelo serviço] C --> D[Cookie interceptado ou extraído] D --> E[Exfiltração para C2 do atacante] E --> F[Importação no navegador do adversário] F --> G[Acesso autenticado ao serviço alvo] G --> H{Objetivo atingido} H --> I[Leitura de e-mails / exfiltração] H --> J[Acesso a ambientes IaaS / SaaS] H --> K[Movimento lateral via SSO] ``` ## Exemplos de Uso **Star Blizzard (Rússia):** grupo APT ligado ao FSB russo utiliza campanhas de spear-phishing altamente direcionadas contra diplomatas, pesquisadores de política externa e ONGs. Após capturar o cookie via proxy AiTM, acessa caixas de e-mail Microsoft 365 e Google Workspace das vítimas sem disparar alertas de novo login ou exigir MFA novamente. **Grupos de ransomware (acesso inicial):** corretores de acesso inicial (IABs) do ecossistema ransomware frequentemente comercializam cookies de sessão de painéis administrativos em nuvem, VPNs e ferramentas de gestão de TI capturados por infostealers como [[s1240-redline-stealer|RedLine Stealer]] e [[lumma-stealer|Lumma Stealer]]. **Campanhas de BEC (Business Email Compromise):** atacantes financeiros roubam cookies de sessão de plataformas de e-mail corporativo para interceptar transações financeiras e redirecionar pagamentos, sem nunca precisar da senha da vítima. ## Detecção A detecção eficaz depende de análise comportamental da sessão - não basta verificar se o cookie é válido. Os principais indicadores de compromisso incluem: - Mesmo cookie de sessão sendo usado a partir de dois endereços IP diferentes ou em países distintos simultaneamente - User-agent ou fingerprint de navegador diferente do padrão histórico do usuário - Acesso fora do horário habitual do usuário combinado com atividade de alto volume (download em massa, criação de regras de redirecionamento de e-mail) - Login sem evento de autenticação MFA registrado no log do provedor de identidade ```yaml title: Uso de Cookie de Sessão a partir de IP Anômalo status: experimental logsource: category: authentication product: azure_ad detection: selection: EventID: 50140 ResultType: 0 AuthenticationMethod: "cookie" filter_normal_ip: IPAddress|cidr: - "10.0.0.0/8" - "172.16.0.0/12" - "192.168.0.0/16" condition: selection and not filter_normal_ip level: high tags: - attack.defense_evasion - attack.t1550.004 ``` Fontes de dados recomendadas para correlação: - Logs de autenticação do provedor de identidade (Azure AD, Okta, Google Workspace Admin) - Logs de acesso de aplicações SaaS com geolocalização de IP - Alertas de impossible travel (viagem impossível) de soluções CASB - Regras de detecção de infostealers no endpoint (EDR) para captura de cookies ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1054-software-configuration\|M1054]] | [[m1054-software-configuration\|M1054 - Software Configuration]] | Configurar válidade curta para tokens de sessão (ex: 1–8 horas) e habilitar binding de sessão por IP ou fingerprint de dispositivo nas plataformas que suportam esse recurso (Conditional Access no Azure AD, Device Trust no Okta). | | [[m1032-multi-factor-authentication\|M1032]] | M1032 - Multi-Factor Authentication | Preferir métodos MFA resistentes a phishing (FIDO2/passkeys) que vinculam a autenticação à origem da solicitação, tornando o cookie capturado inutilizável a partir de outro dispositivo ou origem. | | [[m1017-user-training\|M1017]] | M1017 - User Training | Treinar usuários para identificar páginas de phishing AiTM e válidar a URL do serviço antes de inserir credenciais ou aprovar prompts de MFA. | ## Contexto Brasil/LATAM No Brasil, o roubo de cookies de sessão tem crescido como vetor de comprometimento de contas corporativas, especialmente em plataformas Microsoft 365 e Google Workspace amplamente adotadas por empresas e órgãos de governo. O ecossistema de infostealers brasileiro - fortemente orientado a credenciais bancárias - tem expandido sua capacidade para captura de cookies de sessão corporativos, que são depois revendidos em fóruns clandestinos ou usados em ataques de BEC. Campanhas de [[g1044-apt42|APT42]] e grupos de espionagem iraniana registradas na região também utilizam phishing AiTM contra organizações de energia e governo na América Latina, com foco em plataformas de e-mail em nuvem. A ausência de políticas de Conditional Access e o uso de MFA baseado em SMS - vulnerável a SIM swap, prática comum no Brasil - amplificam o risco da técnica na região. Organizações do setor financeiro brasileiro precisam correlacionar logs de autenticação do provedor de identidade com alertas de impossible travel e mudanças de user-agent, práticas ainda pouco disseminadas fora dos grandes bancos. ## Referências - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - técnica complementar de captura - [[t1606-001-web-cookies|T1606.001 - Web Cookies]] - forge de cookies - [[t1550-use-alternate-authentication-material|T1550 - Use Alternaté Authentication Material]] - técnica pai - [[g1033-star-blizzard|Star Blizzard]] - principal grupo associado - [[lumma-stealer|Lumma Stealer]] - infostealer que captura cookies de navegador - [[t1111-multi-factor-authentication-interception|T1111 - MFA Interception]] - técnica relacionada de bypass de MFA - [[m1054-software-configuration|M1054 - Software Configuration]] --- *Fonte: MITRE ATT&CK - T1550.004*