Descripción de la Tecnica
Steal Web Session Cookie es una técnica de ciberseguridad relacionada con el MITRE ATT&CK, perteneciente al grupo attack-pattern. Esta técnica permite a un atacante obtener cookies de sesión de aplicaciones web o servicios, lo que les permite acceder a estos recursos como un usuario autenticado sin necesidad de credenciales. Las cookies de sesión suelen ser válidas durante períodos prolongados, incluso cuando la aplicación no está en uso activo. Estas cookies pueden almacenarse en disco duro, en la memoria del navegador o en otros sistemas operativos, según lo indicado en MITRE: T1539.
Como Funciona
Un atacante puede utilizar técnicas como el phishing, la inyección de código malicioso o la explotación de vulnerabilidades para robar cookies de sesión. Una vez obtenidas, estas cookies actúan como un token de autenticación, permitiendo al atacante acceder a recursos protegidos sin necesidad de iniciar sesión nuevamente. La duración prolongada de las cookies aumenta el riesgo de exposición si no se gestionan adecuadamente.
Actores que la Utilizan
Esta técnica es utilizada por actores maliciosos que buscan aprovecharse de vulnerabilidades en sistemas web para obtener acceso no autorizado. No hay datos específicos sobre actores particulares, pero se considera una práctica común en ataques de tipo credential stuffing o session hijacking.
Detección
La detección de esta técnica implica monitorear el uso inusual de cookies de sesión y verificar que las aplicaciones web tengan prácticas de gestión de sesiones seguras. Herramientas como sistemas de seguridad informática (SIEM) o sistemas de detección en punto final pueden ayudar a identificar actividades sospechosas relacionadas con la manipulación de cookies. Además, se recomienda revisar registros de acceso y comprobar que las sesiones estén protegidas contra ataques de tipo session fixation.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo de esta técnica, es fundamental implementar medidas como: - Encriptación de cookies con protocolos seguros (HTTPS). - Generación aleatoria y única de tokens de sesión. - Revocación periódica de sesiones para minimizar el tiempo de exposición. - Monitoreo continuo de actividades en aplicaciones web y sistemas de autenticación. - Actualización constante de parches y configuraciones de seguridad para cerrar vulnerabilidades conocidas.