Cuando pensamos en el ejemplo clásico de secuestro de sesión, pensamos en los ataques Man-in-the-Middle (MitM) de la vieja escuela que implicaban espiar el tráfico de red local no seguro para capturar credenciales o, más comúnmente, detalles financieros como datos de tarjetas de crédito. O bien, realizando ataques del lado del cliente que comprometan una página web, ejecutando JavaScript malicioso y utilizando secuencias de comandos entre sitios (XSS) para robar el ID de sesión de la víctima.

   Los atacantes recurren cada vez más al secuestro de sesiones para lograr una adopción generalizada de MFA. Los datos respaldan esto:

• Microsoft detectó 147.000 ataques de reproducción de tokens en 2023, un aumento interanual del 111% (Microsoft).
• Los ataques a las cookies de sesión ahora ocurren en el mismo orden de magnitud que los ataques basados ​​en contraseñas (Google).

Pero el secuestro de sesiones no es una técnica nueva, entonces, ¿qué ha cambiado?

El secuestro de sesión tiene una nueva apariencia

El secuestro de sesiones se ve bastante diferente hoy en día. El secuestro de sesión moderno, que ya no está basado en la red, es un ataque basado en la identidad que se realiza a través de Internet y tiene como objetivo aplicaciones y servicios basados ​​en la nube.

Si bien el medio es diferente, los objetivos son en gran medida los mismos: robar material de sesión válido (cookies, tokens, identificaciones) para "retomar" la sesión desde el dispositivo del atacante (un dispositivo remoto, navegador y ubicación diferentes).

A diferencia del secuestro de sesiones tradicional, que a menudo falla cuando se enfrenta a controles básicos como tráfico cifrado, VPN o MFA, el secuestro de sesiones moderno es mucho más confiable para eludir los controles defensivos estándar.

También vale la pena señalar que el contexto de estos ataques ha cambiado mucho. Teniendo en cuenta que alguna vez probablemente intentaba robar un conjunto de credenciales de dominio utilizadas para autenticarse en el Active Directory interno, así como en su correo electrónico y aplicaciones comerciales principales, hoy en día la superficie de identidad se ve muy diferente: con decenas o cientos de credenciales separadas y cuentas de usuario en un amplio conjunto de aplicaciones en la nube.

¿Por qué los atacantes quieren robar las sesiones?

En resumen: el robo de sesiones en vivo permite a los atacantes eludir los controles de autenticación como MFA. Si puede secuestrar una sesión existente, tendrá menos pasos de los que preocuparse: no tendrá que preocuparse por convertir nombres de usuario y contraseñas robados en una sesión autenticada.

Si bien, en teoría, los tokens de sesión tienen una vida útil limitada, en realidad pueden seguir siendo válidos por períodos más largos (generalmente alrededor de 30 días) o incluso indefinidamente mientras se mantenga la actividad.

Como se mencionó anteriormente, un atacante puede ganar mucho al comprometer una identidad. Si se trata de una identidad de IdP, como una cuenta de Okta o Entra con acceso SSO a sus aplicaciones posteriores, ¡perfecto! Si no, tal vez sea una aplicación valiosa (¿como Snowflake, tal vez?) con acceso a la mayor parte de los datos de sus clientes. O tal vez sea una aplicación menos atractiva, pero con integraciones interesantes que se pueden explorar.

No sorprende que se hable de la identidad como el nuevo perímetro de seguridad y que los ataques basados ​​en la identidad sigan apareciendo en los titulares.

Sin embargo, no todos los métodos de secuestro de sesiones son iguales, lo que significa que reaccionan de forma diferente a los controles a los que se enfrentan. Esto crea diferentes pros y contras según el enfoque elegido por el atacante.

Comparación de enfoques de secuestro de sesión

Para secuestrar una sesión, primero se deben robar las cookies de sesión asociadas con una sesión de usuario en vivo. En el sentido moderno, existen dos enfoques principales para esto:

• Utilizando kits de herramientas de phishing modernos como AitM y BitM.
• Usar herramientas que apuntan a datos del navegador, como infostealer.

Vale la pena señalar que ambos métodos se dirigen tanto al material de credenciales típico (por ejemplo, nombres de usuario y contraseñas) como a las cookies de sesión. Los atacantes no necesariamente eligen buscar cookies de sesión en lugar de contraseñas; más bien, las herramientas que utilizan admiten ambas cosas, ampliando los medios disponibles para ellos. Si se identifican cuentas sin MFA (y todavía hay muchas), las contraseñas funcionarán bien.

Ataques de phishing modernos: AitM y BitM

Los kits de herramientas de phishing modernos hacen que la víctima complete cualquier verificación de MFA como parte del proceso.

En el caso de Adversary-in-the-Middle (AitM) la herramienta actúa como un proxy, lo que significa que el atacante puede interceptar todo el material de autenticación, incluidos secretos como tokens de sesión.

Este ataque funciona mediante un Proxy web inverso que es posiblemente el enfoque más escalable y confiable desde el punto de vista de un atacante. Cuando una víctima visita un dominio malicioso, las solicitudes HTTP se pasan entre el navegador de la víctima y el sitio real a través del sitio malicioso. Cuando el sitio malicioso recibe una solicitud HTTP, la reenvía al sitio legítimo que está suplantando, recibe la respuesta y luego la reenvía a la víctima.

Las herramientas de código abierto que demuestran este método incluyen Modlishka, Muraena y el siempre popular Evilginx. En el mundo criminal, también hay disponibles conjuntos de herramientas privadas similares que se han utilizado en muchas infracciones en el pasado.

Browser-in-the-Middle (BitM) va un paso más allá. En lugar de actuar como un proxy web inverso, esta técnica engaña al objetivo para que controle directamente el propio navegador del atacante de forma remota mediante enfoques de control y uso compartido de la pantalla del escritorio como VNC y RDP. Esto permite al atacante recopilar no solo el nombre de usuario y la contraseña, sino también todos los demás secretos y tokens asociados que acompañan al inicio de sesión. En este caso, la víctima no está interactuando con un clon o proxy de un sitio web falso. Literalmente controlan de forma remota el navegador del atacante para iniciar sesión en la aplicación legítima sin darse cuenta. Es el equivalente virtual de un atacante que le entrega su computadora portátil a la víctima, le pide que inicie sesión en Okta y luego se lleva la computadora portátil. 

   En términos prácticos, el enfoque más común para implementar esta técnica es utilizar el proyecto de código abierto noVNC, que es un cliente VNC basado en JavaScript que permite utilizar VNC en el navegador. Probablemente el ejemplo más conocido de una herramienta ofensiva que implementa esto es EvilnoVNC, que activa instancias Docker de VNC y proporciona acceso a ellas, al mismo tiempo que registra las pulsaciones de teclas y las cookies para facilitar el compromiso de la cuenta.

   A diferencia del MitM tradicional, que suele ser muy oportunista, el AitM tiende a ser mucho más específico, ya que es producto de una campaña de phishing. Si bien AitM escala mucho mejor que los ataques MitM tradicionales (que eran muy locales), con AitM estás naturalmente enfocado en cuentas que pertenecen a una aplicación o servicio específico según la aplicación que estés emulando o el sitio que estés suplantando.

Ladrones de información (infostealer)

Por otro lado, los ladrones de información tienden a ser menos específicos que AitM: son mucho más oportunistas. Esto es particularmente evidente cuando se observan los mecanismos de entrega típicos de infostealers: infectando sitios web (o complementos), publicidad maliciosa, sitios de descarga P2P, foros de juegos, anuncios en redes sociales, repositorios públicos de GitHub… y la lista continúa.

Algunas estadísticas recientes muestran el alcance del problema:

• Casi la mitad del malware detectado el año pasado por Sophos se centró específicamente en los datos de las víctimas, y la mayoría de ese malware se clasificó como ladrones de información.
• El malware que roba información representó casi el 10 por ciento de la actividad que Red Canary pudo asociar con amenazas nombradas el año pasado. También encontraron un aumento en el malware ladrón dirigido a macOS en comparación con años anteriores.
• Las credenciales robadas continuaron ubicándose como el principal método de acceso inicial para las infracciones analizadas por Verizon.
• La cantidad de ataques de repetición de tokens está aumentando: Microsoft detectó 147.000 ataques en 2023, un aumento del 111% año tras año.   

 Hay buenas razones para esto cuando se habla de secuestro de sesión:

• Los ladrones de información se dirigen a todas las cookies de sesión guardadas en los navegadores de la víctima, así como a toda la demás información y credenciales guardadas, lo que significa que se ponen en riesgo más sesiones como resultado de un ataque de ladrón de información en comparación con un ataque AitM más dirigido que solo resultará en el compromiso de una única aplicación/servicio (a menos que sea una cuenta de IdP utilizada para SSO con otras aplicaciones posteriores).
• Debido a esto, los ladrones de información son bastante flexibles. En el caso de que existan controles a nivel de aplicación que impidan el acceso a la sesión desde el dispositivo del delincuente (como controles estrictos de bloqueo de IP que requieren una dirección IP de oficina específica que no se pueda eludir mediante redes proxy residenciales), puede intentarlo otras aplicaciones. Si bien es común tener controles más sólidos, por ejemplo, en su inicio de sesión de M365, es menos probable que se implementen para aplicaciones posteriores, lo que puede ser igual de fructífero para un atacante. Incluso si normalmente se accede a estas cuentas a través de SSO, un atacante aún puede robar y reanudar las sesiones con las cookies de sesión sin necesidad de autenticarse en la cuenta de IdP.

¿Pero el EDR no bloquea a los infostealers?

No necesariamente. Los mejores EDR probablemente detectarán a la mayoría de los ladrones de información comerciales, pero los atacantes están innovando continuamente y, en particular, se sabe que grupos de amenazas más sofisticados y con mejores recursos desarrollan paquetes de malware personalizados o hechos a medida para evadir la detección. Así que es un juego del gato y el ratón y siempre hay excepciones que se escapan de la red, o vulnerabilidades que pueden explotarse para sortearlas, como esta falla en Microsoft Defender SmartScreen, que recientemente fue explotada para entregar malware de robo de información.

Las infecciones por Infostealer a menudo se remontan al compromiso de dispositivos no administrados, como en organizaciones que respaldan BYOD o en el caso de contratistas externos que utilizan sus propios equipos. Y la mayoría de los ataques históricos de robo de información se han atribuido a dispositivos personales. Sin embargo, dado que los perfiles del navegador se pueden sincronizar entre dispositivos, un dispositivo personal comprometido puede fácilmente resultar en el compromiso de las credenciales corporativas:

1. El usuario inicia sesión en su cuenta personal de Google en su dispositivo de trabajo y guarda el perfil.
2. El usuario habilita la sincronización de perfiles (es fácil de hacer y el diseño lo recomienda) y comienza a guardar secretos corporativos en el administrador de contraseñas del navegador.
3. El usuario inicia sesión en su dispositivo personal y el perfil se sincroniza.
4. Recogen una infección de robo de información en su dispositivo personal.
5. Todas las credenciales guardadas, incluidas las corporativas, son robadas por el malware.