AIO APEX
Security

اینفوستیِلرها (Infostealers) نشست‌های (Sessions) سرقت‌شده را به مسیر جدید نفوذ تبدیل می‌کنند

اشتراک‌گذاری:
اینفوستیِلرها (Infostealers) نشست‌های (Sessions) سرقت‌شده را به مسیر جدید نفوذ تبدیل می‌کنند

سال‌ها بود که برنامه‌های آگاهی‌رسانی امنیتی بر محافظت از درب ورودی تمرکز داشتند: از رمزهای عبور قوی استفاده کنید، MFA را فعال کنید، مراقب لینک‌های فیشینگ باشید. این کنترل‌ها همچنان مهم هستند، اما چشم‌انداز تهدید به شکلی تغییر کرده که بسیاری از سازمان‌ها هنوز آن را به طور کامل درک نکرده‌اند. در سال ۲۰۲۶، بدافزارهای سارق اطلاعات (infostealer malware) به طور فزاینده‌ای ارزشمند شده‌اند، نه فقط به این دلیل که رمزهای عبور را به تنهایی سرقت می‌کنند، بلکه به این دلیل که نشست‌های احراز هویت شده مرورگر (authenticated browser sessions)، توکن‌ها (tokens) و کوکی‌ها (cookies) را می‌دزدند که به مهاجمان اجازه می‌دهد تا کاملاً فرآیند ورود (login flow) را دور بزنند. مسیر نفوذ از سرقت اعتبارنامه به سرقت نشست (session theft) در حال تغییر است.

این فرضیه ناخوشایند اما واضح است: پشته‌های هویتی مدرن (modern identity stacks) در لحظه احراز هویت (authentication) در قوی‌ترین حالت خود هستند و در دقایق، ساعت‌ها یا روزهای پس از آن بسیار ضعیف‌تر عمل می‌کنند. اگر کاربری با موفقیت وارد سیستم شود و مرورگر مصنوعات نشست (session artifacts) را که این ورود را اثبات می‌کنند، ذخیره کند، یک infostealer روی نقطه پایانی (endpoint) ممکن است اصلاً نیازی به شکست دادن MFA نداشته باشد. این بدافزار می‌تواند به سادگی وضعیتی را سرقت کند که نشان می‌دهد MFA قبلاً انجام شده است. این امر یک لپ‌تاپ به خطر افتاده را به یک بسته قابل حمل از اعتماد تبدیل می‌کند.

چرا سرقت نشست (Session Theft) اینقدر خطرناک است؟

تیم‌های امنیتی اغلب از هویت (identity) به عنوان مرز جدید یاد می‌کنند. این درست است، اما ناقص است. نشست مرورگر (browser session) به طور فزاینده‌ای به مرز عملیاتی تبدیل شده است. ایمیل‌های شرکتی، کنسول‌های مدیریت SaaS، سیستم‌های CRM، پلتفرم‌های توسعه‌دهنده، ابزارهای همکاری و برنامه‌های وب داخلی، همگی برای ادامه کار به نشست‌های احراز هویت شده پایدار (persistent authenticated sessions) متکی هستند. کاربران هر چند دقیقه یک بار رمز عبور را دوباره وارد نمی‌کنند و درخواست‌های MFA را تایید نمی‌کنند، زیرا این کار غیرقابل تحمل خواهد بود. این راحتی ضروری است. همچنین قابل سوءاستفاده است.

هنگامی که یک مهاجم کوکی‌های نشست (session cookies) یا توکن‌های احراز هویت (authentication tokens) مرتبط را سرقت می‌کند، ممکن است دسترسی فوری به محیط هدف پیدا کند، بدون اینکه رمز عبور را بداند و بدون اینکه چالش جدیدی از MFA را فعال کند. در عمل، این می‌تواند قدرتمندتر از سرقت اعتبارنامه باشد. رمزهای عبور را می‌توان تغییر داد. نشست‌ها را می‌توان همین الان مورد سوءاستفاده قرار داد. در برخی محیط‌ها، نشست‌های سرقت‌شده همچنین راهی آرام‌تر را برای حرکت مهاجمان فراهم می‌کنند، زیرا فعالیت ظاهراً از یک زمینه کاربری (user context) از قبل مورد اعتماد می‌آید.

اینفوستیِلرها به واسطه‌های دسترسی سازمانی (Enterprise Access Brokers) تبدیل شده‌اند

در گذشته، بدافزارهای infostealer عمدتاً در زمینه کلاهبرداری مصرف‌کننده، رمزهای عبور ذخیره شده در مرورگر و دیتابیس‌های مخفی اعتبارنامه مورد بحث قرار می‌گرفتند. این چارچوب‌بندی اکنون تهدید را دست‌کم می‌گیرد. موج فعلی به طور فزاینده‌ای با افشای هویت سازمانی (enterprise identity exposure) گره خورده است. مهاجمان می‌دانند که یک پروفایل مرورگر می‌تواند حاوی دسترسی به پورتال‌های SSO، کنسول‌های ابری (cloud consoles)، سیستم‌های مالی، ابزارهای توسعه و پلتفرم‌های پیام‌رسانی باشد. یک آلودگی موفق می‌تواند کل یک محیط کاری را تحویل دهد.

به همین دلیل است که infostealerها یک لایه دسترسی اولیه (initial-access layer) بسیار مؤثر برای عملیات‌های جنایی بزرگ‌تر هستند. بدافزار کار جمع‌آوری اطلاعات را انجام می‌دهد. بازارهای واسط و مهاجمان پایین‌دستی، درآمدزایی را انجام می‌دهند. یک نشست (session) که به یک ارائه‌دهنده هویت سازمانی (enterprise identity provider) گره خورده است، می‌تواند ارزش بسیار بیشتری از یک رمز عبور مستقل داشته باشد، زیرا چندین مرز اعتماد را به طور همزمان فرو می‌ریزد.

MFA همچنان ضروری است، اما دیگر پایان ماجرا نیست

این بخشی است که بسیاری از سازمان‌ها برای برقراری ارتباط با آن، بدون تضعیف اعتماد کاربران به MFA، با مشکل مواجه هستند. احراز هویت چندعاملی (MFA) ضروری باقی می‌ماند. این سیستم حجم عظیمی از سوءاستفاده‌های عمومی از اعتبارنامه را مسدود می‌کند و هزینه فیشینگ را بالا می‌برد. مشکل اینجاست که MFA از رویداد ورود (login event) محافظت می‌کند، نه از هر مصنوع پایین‌دستی (downstream artifact) که پس از موفقیت ورود ایجاد می‌شود. اگر این مصنوعات قابل حمل باشند، مهاجمان می‌توانند نتیجه MFA را بدون تکرار چالش به ارث ببرند.

این بدان معناست که سازمان‌ها باید از نگاه کردن به MFA به عنوان خط پایان دست بردارند. این یک کنترل در زنجیره‌ای طولانی‌تر است که شامل بهداشت نقطه پایانی (endpoint hygiene)، محافظت از نشست (session protection)، تعیین محدوده توکن (token scoping)، تشخیص ناهنجاری (anomaly detection)، اعتماد به دستگاه (device trust) و پاسخ سریع به نقض مشکوک نشست (session compromise) می‌شود. یک ورود تمیز به معنای یک نشست (session) تمیز برای همیشه نیست.

مرورگر به نقطه ضعف اصلی تبدیل شده است

بیشتر کارهای مدرن اکنون در مرورگر انجام می‌شود، که آن را هم ضروری و هم کم‌دفاع می‌کند. مرورگرها کوکی‌ها (cookies)، داده‌های تکمیل خودکار، توکن‌ها (tokens)، فضای ذخیره‌سازی محلی (local storage)، وضعیت افزونه‌ها و ردیابی‌های جریان‌های کاری حساس را ذخیره می‌کنند. کارکنان از آن‌ها برای برنامه‌های شرکتی، برنامه‌های شخصی و اغلب هر دو روی یک دستگاه استفاده می‌کنند. کار از راه دور و ترکیبی، مرز بین این دو را بیشتر محو می‌کند، به خصوص در نقاط پایانی (endpoints) بدون مدیریت یا با مدیریت سبک.

این ترکیب، اینفوستیِلرها را به یک هدف غنی تبدیل می‌کند. هنگامی که بدافزار از طریق یک دانلود مخرب، به‌روزرسانی جعلی، سایت حمله گذرایی (drive-by site)، نرم‌افزار کرک شده یا فریب مهندسی اجتماعی (social engineering lure) روی نقطه پایانی (endpoint) قرار می‌گیرد، مرورگر به گنجینه‌ای از داده‌های بلافاصله قابل استفاده تبدیل می‌شود. مهاجمان نیازی به پایداری کامل ندارند اگر بتوانند نشست‌های (sessions) ارزشمند را به سرعت به دست آورند و ظرف چند ساعت آن‌ها را بفروشند یا استفاده کنند.

چرا مدافعان باید به چرخه حیات نشست (Session Lifecycle) فکر کنند؟

دفاع در برابر این دسته از تهدیدات به معنای درک چرخه حیات یک نشست (session lifecycle) است، نه فقط قدرت احراز هویت. نشست‌های (sessions) با ارزش بالا چقدر دوام می‌آورند؟ چه رویدادهایی احراز هویت مجدد را اجباری می‌کنند؟ آیا refresh tokens یا کوکی‌های طولانی مدت بیش از حد مجاز هستند؟ آیا سازمان می‌تواند نشست‌ها را محکم‌تر به دستگاه‌ها، زمینه شبکه یا اعتبارنامه‌های (credentials) پشتیبانی شده توسط سخت‌افزار گره بزند؟ آیا استفاده مجدد مشکوک از نشست (suspicious session reuse) به اندازه کافی سریع تشخیص داده می‌شود تا اهمیت داشته باشد؟

این سوالات تیم‌های هویت و نقطه پایانی (endpoint) را به یکدیگر نزدیک‌تر می‌کنند. نشستی که در لایه برنامه (application layer) معتبر به نظر می‌رسد، ممکن است همچنان مشکوک باشد اگر نقطه پایانی (endpoint) زیرین نشانه‌هایی از نقض را نشان دهد. برعکس، یک هشدار EDR ممکن است اولویت بالاتری داشته باشد اگر روی ماشینی قرار گیرد که نشست‌های (sessions) ممتاز SaaS را در خود نگه می‌دارد. سازمان‌هایی که این موضوع را به خوبی مدیریت می‌کنند، آنهایی هستند که این سیگنال‌ها را با هم همبسته‌سازی می‌کنند، نه اینکه امنیت هویت و نقطه پایانی (endpoint security) را به عنوان برنامه‌های جداگانه در نظر بگیرند.

کاهش تهدید بیشتر معماری‌محور می‌شود

پاسخ‌های فنی امیدوارکننده‌ای وجود دارد. اتصال اعتبارنامه (credential binding) پشتیبانی شده توسط سخت‌افزار (hardware-backed)، توکن‌های (tokens) با عمر کوتاه‌تر، دسترسی مشروط قوی‌تر (conditional access)، مرورگرهای سازمانی امن (secure enterprise browsers)، ایزوله‌سازی مرورگر (browser isolation) و تشخیص بهتر استفاده مجدد از توکن (token reuse) همگی می‌توانند ارزش مصنوعات سرقت شده را کاهش دهند. کار گوگل روی نشست‌های (sessions) متصل به دستگاه (device-bound session) یکی از نشانه‌هایی است که فروشندگان پلتفرم (platform vendors) مشکل را درک می‌کنند. اما هیچ یک از این دفاعیات یک راه‌حل قطعی واحد (silver bullet) نیست و بسیاری از آنها در بین برنامه‌ها و سیستم‌عامل‌ها ناهماهنگ هستند.

به همین دلیل است که معماری بیش از شعارهای آگاهی‌رسانی اهمیت دارد. تیم‌های امنیتی باید محافظت از نشست‌های ممتاز (privileged session protection) را اولویت‌بندی کنند، پایداری غیرضروری را کاهش دهند، محدوده توکن (token scope) را محدود کنند، سفر غیرممکن (impossible travel) و استفاده مجدد غیرمعمول (unusual reuse) را رصد کنند و کنترل‌ها را در مورد دستگاه‌های بدون مدیریت سفت و سخت‌تر کنند. آن‌ها همچنین باید فرض کنند که کاربران همچنان از طریق مرورگر وارد بسیاری از سیستم‌های حیاتی می‌شوند، زیرا کار اینگونه انجام می‌شود. پاسخ این نیست که مرورگر را حذف کنیم. بلکه باید از آن مانند زیرساخت‌های حیاتی دفاع کرد.

رهبران اکنون چه چیزی را باید تغییر دهند؟

اول، دفترچه‌های راهنمای واکنش به حادثه (incident response playbooks) را بازبینی کنید. اگر یک دستگاه مشکوک به آلودگی infostealer باشد، آیا سازمان فقط رمز عبور را بازنشانی می‌کند، یا نشست‌ها (sessions) و توکن‌ها (tokens) را در تمام برنامه‌های کلیدی نیز لغو می‌کند؟ دوم، نقشه‌ای از محل قرارگیری نشست‌های مرورگر (browser sessions) با بالاترین ارزش خود تهیه کنید. سوم، سیاست‌ها را در مورد خطر افزونه‌های مرورگر، دستگاه‌های بدون مدیریت و ذخیره‌سازی محلی داده‌های حساس بازبینی کنید. چهارم، مطمئن شوید که کارکنان درک می‌کنند که یک دانلود مخرب می‌تواند حساب‌ها را به خطر بیندازد، حتی اگر هرگز رمز عبور را در یک صفحه جعلی تایپ نکرده باشند.

این‌ها اقدامات عملی هستند، نه نظری. سرقت نشست (session theft) پنجره زمانی مدافعان برای واکنش را کوچک می‌کند. در برخی موارد، مهاجم می‌تواند تقریباً بلافاصله از سرقت به دسترسی منتقل شود. این باعث می‌شود که سرعت مهار به اندازه پیشگیری مهم باشد.

تغییر بزرگ‌تر

اینفوستیِلرها (Infostealers) به این دلیل موفق هستند که از یک واقعیت ساختاری در مورد امنیت مدرن سوءاستفاده می‌کنند: وضعیت احراز هویت شده (authenticated state) ارزشمند است. همانطور که شرکت‌ها هویت را متمرکز می‌کنند و کار را به برنامه‌های مبتنی بر مرورگر سوق می‌دهند، محتویات یک نشست (session) فعال به اندازه اعتبارنامه‌هایی که آن را ایجاد کرده‌اند، حساس می‌شوند. مهاجمان این موضوع را به سرعت دریافته‌اند. بسیاری از مدافعان هنوز در حال رسیدن به این درک هستند.

نسل بعدی امنیت هویت با میزان خوب محافظت سازمان‌ها از نشست (session) پس از ورود کاربر تعریف خواهد شد. رمزهای عبور هرگز تمام ماجرا نبودند، و در سال ۲۰۲۶ اهمیت آن‌ها حتی کمتر هم شده است. مسیر نفوذ جدید چیزی است که پس از موفقیت ورود اتفاق می‌افتد.

enterprise-securitybrowser-securityinfostealerssession-cookiesmfaidentity-security
اشتراک‌گذاری:
سرقت نشست: مسیر جدید نفوذ با Infostealers و دفاع سازمان‌ها | AIO APEX