Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Cookie-Bite: Chiến Thuật Mới Đánh Cắp Phiên Đăng Nhập Từ Trình Duyệt Chrome

Updated
10 min read
Cookie-Bite: Chiến Thuật Mới Đánh Cắp Phiên Đăng Nhập Từ Trình Duyệt Chrome
N
Nguyễn Văn Trung
Part of seriesNewsletters

Trong bối cảnh các mối đe dọa an ninh mạng ngày càng tinh vi, một kỹ thuật tấn công mới mang tên Cookie-Bite đã được các nhà nghiên cứu bảo mật phát hiện công bố vào ngày 22/04/2025. Kỹ thuật này khai thác tiện ích mở rộng (extension) của trình duyệt Chrome để đánh cắp cookie phiên đăng nhập từ Azure Entra ID, qua đó vượt qua các biện pháp xác thực đa yếu tố (MFA) và duy trì quyền truy cập vào các dịch vụ đám mây như Microsoft 365, Outlook, hay Teams.

Thông tin chi tiết

MFA được thiết kế để ngăn chặn truy cập trái phép, nhưng các kẻ tấn công không ngừng phát triển các kỹ thuật để vượt qua hàng rào bảo mật này. Cookie-Bite là một ví dụ điển hình, cho phép kẻ tấn công đánh cắp danh tính người dùng thông qua việc chiếm đoạt cookie phiên, từ đó truy cập vào các dịch vụ đám mây mà không cần mật khẩu hay MFA.

Bằng cách sử dụng tiện ích trình duyệt độc hại và các script tự động hóa, kẻ tấn công có thể trích xuất và tái sử dụng cookie xác thực để giả mạo người dùng hợp pháp. Đặc biệt, chúng có thể mô phỏng hệ điều hành, trình duyệt, và mạng của nạn nhân để vượt qua các Chính sách Truy cập Có Điều kiện (Conditional Access Policies - CAP), duy trì quyền truy cập lâu dài mà không bị phát hiện.

Cookie-Bite là một cuộc tấn công dựa trên việc sử dụng một tiện ích Chrome độc hại hoạt động như một infostealer (phần mềm đánh cắp thông tin). Tiện ích này nhắm đến hai loại cookie quan trọng trong Azure Entra ID – dịch vụ quản lý danh tính và truy cập dựa trên đám mây của Microsoft:

  1. ESTAUTH: Đây là token phiên tạm thời, xác nhận rằng người dùng đã được xác thực và hoàn thành MFA. Cookie này có giá trị trong suốt phiên trình duyệt, tối đa 24 giờ, và sẽ hết hạn khi ứng dụng hoặc trình duyệt đóng.

  2. ESTSAUTHPERSISTENT: Đây là phiên bản cookie phiên bền vững, được tạo ra khi người dùng chọn tùy chọn "Giữ tôi đăng nhập" (Stay signed in) hoặc khi Azure áp dụng chính sách KMSI (Keep Me Signed In). Cookie này có thể tồn tại đến 90 ngày.

  1. Theo dõi sự kiện đăng nhập:

    • Tiện ích độc hại được lập trình để giám sát các sự kiện đăng nhập của nạn nhân bằng cách lắng nghe các cập nhật tab liên quan đến các URL đăng nhập của Microsoft (chẳng hạn như login.microsoftonline.com).

    • Khi phát hiện một sự kiện đăng nhập, tiện ích sẽ đọc tất cả cookie liên quan đến tên miền này.

  2. Trích xuất cookie:

    • Tiện ích lọc và trích xuất hai cookie mục tiêu (ESTAUTH và ESTSAUTHPERSISTENT).

    • Dữ liệu cookie được đóng gói dưới dạng JSON và gửi đến kẻ tấn công thông qua một Google Form, đảm bảo tính ẩn danh và khó bị phát hiện.

  3. Tự động hóa triển khai tiện ích:

    • Nếu kẻ tấn công có quyền truy cập vật lý hoặc từ xa vào thiết bị của nạn nhân, chúng có thể sử dụng PowerShell script chạy qua Windows Task Scheduler để tự động cài đặt lại tiện ích độc hại mỗi khi Chrome khởi động, tận dụng Developer Mode của trình duyệt.

    • Theo Varonis, sau khi đóng gói tiện ích vào tệp CRX và kiểm tra trên VirusTotal, không có nhà cung cấp bảo mật nào phát hiện tiện ích này là độc hại, cho thấy mức độ tinh vi và khả năng lẩn tránh cao.

  4. Tiêm cookie và vượt qua MFA:

    • Kẻ tấn công sử dụng công cụ hợp pháp như Cookie-Editor (một tiện ích Chrome khác) để nhập cookie bị đánh cắp vào trình duyệt của chúng, gắn với tên miền login.microsoftonline.com.

    • Sau khi làm mới trang, Azure Entra ID coi phiên của kẻ tấn công là đã được xác thực hoàn toàn, bỏ qua yêu cầu MFA và cấp quyền truy cập tương đương với nạn nhân.

  5. Khai thác sâu hơn:

    • Với quyền truy cập, kẻ tấn công có thể sử dụng các công cụ như Graph Explorer để liệt kê người dùng, vai trò, và thiết bị trong tổ chức.

    • Chúng có thể gửi tin nhắn, truy cập cuộc trò chuyện trên Microsoft Teams, đọc hoặc tải email từ Outlook Web, hoặc thậm chí tìm kiếm thông tin nhạy cảm như mật khẩu lưu trữ trong email.

    • Các hành động nâng cao như nâng quyền (privilege escalation), di chuyển ngang (lateral movement), hoặc đăng ký ứng dụng trái phép cũng có thể được thực hiện thông qua các công cụ như TokenSmith, ROADtools, hoặc AADInternals.

Mặc dù được thiết kế để nhắm vào cookie của Microsoft, kỹ thuật này có thể được tùy chỉnh để đánh cắp cookie từ các dịch vụ khác như Google Workspace, Okta, AWS, hoặc thậm chí GitHub. Dưới đây là một số cookie mục tiêu phổ biến:

Nền tảng/Dịch vụCookie mục tiêuMục đích
Azure Entra IDESTSAUTH, ESTSAUTHPERSISTENTTruy cập Office 365, Teams, Azure Portal
Google Workspace/GmailSAPISID, SSID, HSID, APISID, NIDĐăng nhập lâu dài (Gmail, Drive, v.v.)
AWS Management Consoleaws-userInfo, aws-credsDuy trì phiên trên AWS Console
Okta (SSO)sid, DT, tQuản lý phiên trên Okta Portal
GitHubuser_session, dotcom_userPhiên đăng nhập trên GitHub.com

Kẻ tấn công sử dụng nhiều kỹ thuật khác nhau để đánh cắp cookie xác thực, bao gồm:

1. Tấn công Adversary-in-the-Middle (AITM):

  • AITM là một dạng tấn công lừa đảo nâng cao, sử dụng các công cụ proxy ngược như Evilginx, Modlishka, hoặc Muraena để chặn thông tin giữa nạn nhân và dịch vụ xác thực hợp pháp (như Microsoft 365 hoặc Google).

  • Khi nạn nhân đăng nhập, proxy sẽ ghi lại thông tin đăng nhập, token MFA, và cookie phiên, cho phép kẻ tấn công tái sử dụng để vượt qua MFA mà không cần mật khẩu.

2. Trích xuất từ bộ nhớ trình duyệt (Browser Process Memory Dumping):

  • Các trình duyệt như Chrome hoặc Edge giải mã cookie trong bộ nhớ khi phiên đăng nhập hoạt động. Infostealer có thể tiêm mã vào tiến trình trình duyệt (như chrome.exe) để đọc bộ nhớ này và trích xuất cookie dưới dạng văn bản thô, bỏ qua bước giải mã từ đĩa.

3. Tiện ích trình duyệt độc hại:

  • Các tiện ích độc hại, như trong trường hợp Cookie-Bite, được cài đặt dưới vỏ bọc công cụ hợp pháp nhưng yêu cầu quyền hạn quá mức. Chúng có thể:

    • Truy cập API lưu trữ của trình duyệt.

    • Chặn các yêu cầu mạng.

    • Tiêm mã JavaScript để đánh cắp cookie phiên theo thời gian thực.

  • Kỹ thuật này khó bị phát hiện vì không cần tiêm mã vào hệ thống hay giải mã đĩa, và dữ liệu bị đánh cắp được gửi trực tiếp đến máy chủ của kẻ tấn công.

  • Trình duyệt lưu trữ cookie trong cơ sở dữ liệu SQLite được mã hóa. Ví dụ:

    • Trên Windows: %LOCALAPPDATA%\Google\Chrome\User Data\Default\Network\Cookies (mã hóa bằng DPAPI).

    • Trên macOS: /Library/Application Support/Google/Chrome/Default/Cookies (bảo vệ bởi TCC).

  • Kẻ tấn công cần:

    • Truy cập cơ sở dữ liệu cookie và khóa mã hóa (ví dụ: khóa AES trong tệp Local State trên Windows).

    • Giải mã khóa AES bằng DPAPI hoặc đánh cắp DPAPI Master Key từ C:\Users\...\AppData\Roaming\Microsoft\Protect.

  • DPAPI gắn mã hóa với hồ sơ người dùng và máy, nên kẻ tấn công thường phải giải mã tại chỗ trên thiết bị nạn nhân.

Cookie bị đánh cắp thường được định giá dựa trên giá trị khai thác. Ví dụ, cookie từ các tài khoản doanh nghiệp (như Microsoft 365, Google Workspace) có giá trị cao hơn so với tài khoản mạng xã hội, vì chúng cho phép kẻ tấn công truy cập dữ liệu nhạy cảm, leo thang đặc quyền, hoặc di chuyển ngang trong toàn bộ mạng doanh nghiệp.

Khuyến nghị

Để giảm thiểu nguy cơ từ Cookie-Bite và các cuộc tấn công tương tự, tổ chức cần triển khai các biện pháp bảo mật toàn diện, tập trung vào quản lý danh tính, giám sát, và kiểm soát tiện ích trình duyệt. Dưới đây là các khuyến nghị chuyên sâu:

1. Giám sát và phát hiện bất thường

  • Theo dõi đăng nhập bất thường: Microsoft đã gắn cờ các lần đăng nhập trong thử nghiệm của Varonis là "atRisk" do sử dụng VPN (risk type: anonymizedIPAddress). Tổ chức nên bật các công cụ như Microsoft Defender for Cloud Apps hoặc Azure Monitor để phát hiện các hành vi đăng nhập bất thường, chẳng hạn như:

    • Đăng nhập từ các vị trí địa lý không quen thuộc.

    • Đăng nhập từ thiết bị hoặc trình duyệt mới.

    • Nhiều lần đăng nhập trong thời gian ngắn từ các IP khác nhau.

  • Phân tích nhật ký (log): Sử dụng Azure Sentinel hoặc các giải pháp SIEM để phân tích nhật ký đăng nhập và cookie truy cập, giúp phát hiện sớm các hành vi đáng ngờ. Ví dụ, phát hiện hai lần đăng nhập thành công với cùng Session ID từ các vị trí hoặc trình duyệt khác nhau trong thời gian ngắn.

2. Áp dụng chính sách truy cập có điều kiện (Conditional Access Policies - CAP)

  • Hạn chế phạm vi đăng nhập:

    • Thiết lập CAP để chỉ cho phép đăng nhập từ các phạm vi IP đáng tin cậy (ví dụ: mạng nội bộ hoặc VPN công ty).

    • Yêu cầu thiết bị phải được quản lý bởi Microsoft Intune và tuân thủ các tiêu chuẩn bảo mật (như mã hóa, cập nhật OS).

  • Tắt tùy chọn "Stay signed in": Vô hiệu hóa chính sách KMSI để ngăn tạo cookie ESTSAUTHPERSISTENT, giảm thời gian hiệu lực của cookie phiên.

  • Bảo vệ token: Kết hợp CAP với Token Protection để đảm bảo token chỉ được sử dụng trên thiết bị hợp lệ.

3. Quản lý chặt chẽ tiện ích Chrome

  • Áp dụng chính sách Chrome ADMX:

    • Chỉ cho phép cài đặt các tiện ích được phê duyệt trước từ Chrome Web Store hoặc danh sách nội bộ.

    • Chặn người dùng cài đặt tiện ích từ các nguồn không rõ ràng.

  • Vô hiệu hóa Developer Mode:

    • Sử dụng Group Policy hoặc các công cụ quản trị để tắt hoàn toàn Developer Mode trên Chrome, ngăn chặn việc cài đặt tiện ích không ký (unsigned extensions).

  • Giám sát tiện ích:

    • Sử dụng các giải pháp như Google Workspace Admin hoặc endpoint security tools để kiểm tra và giám sát các tiện ích được cài đặt trên thiết bị của nhân viên.

4. Tăng cường bảo mật thiết bị

  • Triển khai EDR (Endpoint Detection and Response):

    • Sử dụng các giải pháp như CrowdStrike, Microsoft Defender for Endpoint, hoặc SentinelOne để phát hiện và chặn các hành vi độc hại, bao gồm việc chạy PowerShell script đáng ngờ.

  • Kiểm soát quyền truy cập thiết bị:

    • Áp dụng principle of least privilege (nguyên tắc quyền hạn tối thiểu) để giới hạn quyền của người dùng trên thiết bị, giảm nguy cơ kẻ tấn công triển khai script hoặc cài đặt tiện ích độc hại.

5. Nâng cao nhận thức và đào tạo

  • Đào tạo nhân viên:

    • Tổ chức các buổi đào tạo định kỳ về an ninh mạng, nhấn mạnh nguy cơ từ việc cài đặt tiện ích không rõ nguồn gốc hoặc nhấp vào liên kết độc hại.

    • Hướng dẫn nhân viên cách kiểm tra và báo cáo các tiện ích đáng ngờ.

  • Tăng cường cảnh báo:

    • Cung cấp các công cụ như browser extension scanners để nhân viên tự kiểm tra các tiện ích đã cài đặt.

6. Kiểm tra và cập nhật định kỳ

  • Kiểm tra cấu hình bảo mật:

    • Định kỳ đánh giá các chính sách CAP, quản lý tiện ích, và cấu hình MFA để đảm bảo chúng vẫn hiệu quả trước các mối đe dọa mới.

  • Cập nhật phần mềm:

    • Đảm bảo Chrome và các phần mềm khác luôn được cập nhật lên phiên bản mới nhất để vá các lỗ hổng bảo mật.

Tham khảo

Cookie-Bite: How Your Digital Crumbs Let Threat Actors Bypass MFA and Maintain Access to Cloud Environments

Cookie-Bite attack PoC uses Chrome extension to steal session tokens

#threat-intelligence#cookies

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.