Dirottamento di Sessioni Browser: Browser Session Hijacking (T1185)

La simulazione di questa tecnica in laboratorio si articola in due scenari principali: il browser pivoting tramite proxy injection e il form grabbing tramite hooking del browser. Entrambi richiedono un contesto di esecuzione privilegiato, quindi il primo passo è sempre ottenere SeDebugPrivilege o una shell high-integrity.

Scenario 1 — Browser Pivoting con Cobalt Strike

In un engagement con Cobalt Strike (a pagamento), il browser pivoting è nativo. Dalla Beacon console, una volta ottenuta una sessione con privilegi adeguati, il comando è diretto:

browserpivot <PID> <x86|x64>

dove il PID è quello di un processo browser attivo con sessione autenticata. Cobalt Strike inietta un proxy nel processo target e lo espone su una porta locale. A quel punto si configura il proprio browser per usare quel proxy SOCKS e si naviga l'intranet della vittima ereditandone cookie e certificati.

Per individuare il PID del browser giusto si usa:

ps

dalla Beacon, oppure lato Windows nativo:

tasklist /FI "IMAGENAME eq chrome.exe" /V

Scenario 2 — Injection manuale con tool open source

Per chi opera senza framework commerciali, la catena è più articolata. Si parte con l'enumerazione dei processi browser tramite Process Hacker (open source) o dalla PowerShell:

Get-Process chrome, msedge, firefox -ErrorAction SilentlyContinue | Select-Object Id, ProcessName, MainWindowTitle

L'injection vera e propria può essere simulata con tecniche di DLL injection classica. Lo strumento Shellcode Inject di sRDI (open source) consente di convertire una DLL in shellcode posizion-indipendente e iniettarla in un processo target. In laboratorio, un proof-of-concept minimale usa l'API Windows CreateRemoteThread dopo aver aperto il processo con OpenProcess e access rights PROCESS_ALL_ACCESS (0x1FFFFF).

Scenario 3 — Form Grabbing

Per simulare il form grabbing in stile Agent Tesla o XLoader, si può usare BeEF — Browser Exploitation Framework (open source). Una volta agganciato un browser vittima tramite l'hook JavaScript, il modulo "Get Form Values" cattura in tempo reale i dati inseriti nei form. Il comando per avviare BeEF:

sudo beef-xss

Dopo l'avvio, dall'interfaccia web si seleziona il browser agganciato e si lancia il modulo dalla categoria "Network" → "Get Form Values".

Un aspetto critico da verificare durante il test: il browser crea un processo separato per ogni tab, quindi l'injection in un processo specifico eredita solo i permessi e le sessioni di quel tab. Documentare nel report quale processo è stato iniettato e quali sessioni erano attive.

La detection di questa tecnica poggia su un principio cardine: nessun software legittimo dovrebbe iniettare thread o DLL non firmate nei processi del browser. La catena osservabile segue una sequenza precisa — acquisizione di privilegi, apertura del processo browser con diritti di scrittura, injection, e infine traffico di rete anomalo dal browser verso risorse intranet.

Log source primari

I log fondamentali sono due: WinEventLog:Security e WinEventLog:Sysmon. Da Sysmon, gli eventi chiave sono tre. L'EventCode 10 (ProcessAccess) segnala quando un processo apre un handle verso un browser con access mask sospette come 0x1FFFFF (PROCESS_ALL_ACCESS) o combinazioni di VM_WRITE + VM_OPERATION + CREATE_THREAD. L'EventCode 8 (CreateRemoteThread) cattura la creazione di thread in processi remoti — un browser che riceve un thread da un processo estraneo è altamente anomalo. L'EventCode 7 (ImageLoad) rileva il caricamento di DLL non firmate o con firme sconosciute all'interno dei processi browser.

Logica di correlazione

L'alert più efficace correla eventi in una finestra temporale di 10-20 minuti:

1. Un processo acquisisce SeDebugPrivilege (EventCode 4672 su Security log)
2. Lo stesso utente/processo apre un handle verso chrome.exe, msedge.exe, firefox.exe o iexplore.exe con access mask di injection (Sysmon EventCode 10)
3. Si osserva un CreateRemoteThread o un ImageLoad non firmato nel processo browser (Sysmon EventCode 8 o 7)
4. Il browser genera traffico verso range intranet inusuali per quel profilo utente

Gestione dei falsi positivi

I falsi positivi principali arrivano da tre sorgenti: strumenti di automazione browser come Selenium WebDriver, software di accessibilità che interagiscono con il DOM, e aggiornamenti automatici dei browser che caricano DLL temporanee. La mitigazione è una allowlist basata sul signer del modulo e sul processo padre. I driver Selenium, ad esempio, hanno un percorso e una firma prevedibili che vanno inseriti in ParentAllowList.

Per il contesto utente, restringere l'analisi ai workstation amministrative e ai server dove il browser non dovrebbe essere automatizzato riduce significativamente il rumore. In ambienti con PAM attivo — CyberArk (a pagamento), BeyondTrust (a pagamento) — correlare l'uso del browser da account privilegiati con le sessioni PAM registrate aggiunge un livello di confidenza all'alert.

L'analisi forense di un browser session hijacking produce artefatti su due piani: le tracce dell'injection nel processo e le evidenze dell'attività svolta attraverso il browser compromesso. La ricostruzione della timeline parte dal secondo piano e risale al primo.

Artefatti dell'injection

Il punto di partenza è il log Sysmon, se era attivo durante l'incidente. Gli eventi EventCode 10 con TargetImage che punta a un browser e GrantedAccess contenente diritti di injection sono la prima ancora temporale. Da qui si identifica il SourceImage — il processo che ha eseguito l'injection — e si ricostruisce la sua catena di esecuzione risalendo con EventCode 1 (ProcessCreate).

Se Sysmon non era configurato, gli artefatti alternativi includono i dump della memoria del processo browser. Con Volatility 3 (open source) si analizza un memory dump per identificare DLL iniettate:

python3 vol.py -f <memory_dump> windows.dlllist --pid <browser_pid>

Le DLL senza percorso coerente con l'installazione del browser o senza firma valida sono indicatori forti. Il plugin malfind è ancora più diretto nell'identificare regioni di memoria con permessi PAGE_EXECUTE_READWRITE, tipiche dello shellcode iniettato:

python3 vol.py -f <memory_dump> windows.malfind --pid <browser_pid>

Artefatti dell'attività browser

Il secondo livello della timeline riguarda cosa l'avversario ha fatto una volta dentro il browser. I database SQLite della cronologia browser sono fondamentali. Per Chrome, il file History nella directory del profilo utente contiene la tabella urls con timestamp di visita. Accessi anomali a risorse intranet — SharePoint, OWA, portali interni — in orari incoerenti con il profilo utente sono indicatori chiave.

I cookie persistenti meritano attenzione particolare. Il file Cookies (Chrome) o cookies.sqlite (Firefox) può rivelare sessioni rubate o duplicate. La presenza di cookie di sessione per servizi interni in un profilo che normalmente non vi accede è un elemento probante.

Per i casi di web inject, come quelli operati da IcedID o Ursnif, l'artefatto distintivo è il certificato TLS. IcedID in particolare utilizza un certificato self-signed mantenendo simultaneamente la connessione al sito legittimo. Nel certificate store di Windows, accessibile con:

certutil -store -user My

la presenza di certificati self-signed non riconducibili all'infrastruttura aziendale è un segnale da inserire nella timeline. I log proxy aziendali, se disponibili, possono inoltre rivelare il pattern di doppia connessione — una verso il sito legittimo e una verso l'infrastruttura C2 — caratteristico di questo tipo di attacco.

Il panorama degli attori che sfruttano il browser session hijacking si divide nettamente in due categorie: un singolo gruppo APT nation-state e un ecosistema esteso di malware commodity, prevalentemente orientato al settore finanziario.

Kimsuky (G0094) è l'unico gruppo APT direttamente associato a questa tecnica. Il gruppo nordcoreano utilizza il form grabbing per estrarre credenziali email e password dai moduli web, coerentemente con il suo focus primario sulla raccolta di intelligence — credenziali che poi abilitano accessi successivi a caselle email di target diplomatici, accademici e governativi. La scelta del form grabbing rispetto al browser pivoting più sofisticato riflette un approccio pragmatico: Kimsuky punta al contenuto delle comunicazioni, non all'accesso laterale via browser.

L'ecosistema banking trojan domina numericamente questa tecnica. TrickBot, Dridex, QakBot, IcedID, Ursnif e Grandoreiro condividono un pattern operativo comune: web inject che modificano le pagine di online banking per intercettare credenziali o manipolare transazioni. L'evoluzione è significativa: IcedID, ad esempio, impiega certificati self-signed combinati con connessioni parallele al sito legittimo, creando un man-in-the-browser sofisticato che preserva URL e certificati corretti nella barra del browser. Grandoreiro e Melcoz, entrambi di origine latinoamericana, aggiungono overlay a schermo intero per bloccare l'utente mentre operano sulla sessione bancaria in background.

Un filo rosso collega tool offensivi di alto livello e crimeware. Cobalt Strike implementa il browser pivoting come funzionalità nativa — e la sua diffusione in ambito sia red team sia criminal-use rende questa capability accessibile anche ad attori meno sofisticati che ottengono copie crackate del framework. Agent Tesla e XLoader, due infostealer diffusissimi nei mercati underground, implementano il form grabbing come componente standard del loro toolkit di raccolta, abbassando ulteriormente la barriera d'ingresso.

Chaes merita una menzione separata per il suo approccio: utilizza il modulo Puppeteer per controllare Chrome programmaticamente, un metodo che si distingue dall'injection classica e pone sfide di detection diverse, dato che Puppeteer interagisce con il browser attraverso il protocollo DevTools piuttosto che tramite injection di memoria.

La proiezione per il threat intelligence è chiara: la tecnica rimane rilevante sia nel contesto APT sia nel crimeware, con una tendenza all'aumento della sofisticazione nelle modalità di evasione — certificati self-signed che replicano l'esperienza legittima, overlay grafici convincenti, e automazione browser via protocolli di debug piuttosto che injection tradizionale.

Framework MITRE ATT&CK v16 — Tecnica T1185 (Browser Session Hijacking), Tattica TA0009 (Collection). Gruppo: G0094. Software: S0154, S0266, S0331, S0384, S0386, S0483, S0484, S0530, S0531, S0631, S0650, S1201, S1207. Mitigazioni: M1017, M1018. Detection: DET0507, AN1398. Integrato con conoscenza professionale per tool e procedure operative.