Hijacking del Browser: Browser Session Hijacking (T1185)

Per comprendere davvero questa tecnica, iniziamo con il caso più documentato: Cobalt Strike. Il framework offre capacità native di browser pivoting attraverso il comando browser-pivot. Una volta ottenuto un beacon con privilegi elevati, l'attaccante può iniettarsi in un processo browser esistente:

beacon> browser-pivot spawn x64

Questo comando crea un proxy HTTP che eredita i cookie e le sessioni del browser vittima. Il traffico dell'attaccante viene instradato attraverso il browser compromesso, assumendone il contesto di sicurezza completo.

Per scenari più mirati, l'iniezione diretta richiede l'identificazione dei processi browser attivi. Su Windows, utilizzando PowerShell con privilegi elevati:

Get-Process chrome,msedge,firefox,iexplore | Select-Object Id,ProcessName,SessionId

Una volta identificato il processo target, l'iniezione può avvenire tramite tecniche di process hollowing o thread injection. TrickBot implementa un approccio diverso utilizzando web injects per modificare le pagine bancarie in tempo reale. La tecnica sfrutta hooks nelle API di rete del browser per intercettare e modificare il traffico HTTPS prima della decrittazione.

Su Linux, l'approccio richiede spesso l'uso di ptrace per agganciarsi ai processi browser:

sudo strace -p $(pgrep firefox) -e trace=network

Questo permette di osservare le chiamate di rete, ma per una manipolazione attiva servono tecniche più sofisticate come l'iniezione di librerie condivise tramite LD_PRELOAD.

IcedID dimostra una variante particolarmente elegante: mantiene una connessione live con il sito legittimo mentre presenta all'utente una versione spoofed. Il malware utilizza certificati TLS self-signed per la connessione locale, mantenendo però i certificati originali visibili nella barra degli indirizzi del browser.

Per testare in laboratorio la resistenza delle difese, considerate l'uso di form-grabbing implementato da Agent Tesla. Il malware monitora gli eventi di input sui form web per catturare credenziali prima dell'invio:

// Pseudo-codice per hook JavaScript document.addEventListener('submit', function(e) { var formData = new FormData(e.target); // Esfiltra dati prima del submit reale });

La complessità aumenta quando si considera il pivoting verso risorse intranet. Kimsuky ha dimostrato l'efficacia di estensioni browser malevole come TRANSLATEXT, che si maschera da Google Translate ma in realtà esfiltra dati dai form web.

La detection efficace del browser hijacking richiede un approccio multilivello che combini telemetria di processo, rete e autenticazione. Il punto di partenza critico è Sysmon EventID 10 (Process Access), configurato per catturare accessi cross-process verso i browser.

Configurate il filtro Sysmon per monitorare specificamente:

<ProcessAccess onmatch="include">
    <TargetImage condition="contains any">chrome.exe;msedge.exe;firefox.exe</TargetImage>
    <GrantedAccess mask="more than">0x1400</GrantedAccess>
</ProcessAccess>

Il valore 0x1400 cattura PROCESS_VM_READ e PROCESS_QUERY_INFORMATION, ma per injection detection servono maschere più ampie come 0x1FFFFF.

Per i Security Event Logs di Windows, correlate EventID 4672 (Special Logon) con successivi accessi a processi browser. Un pattern sospetto mostra:

1. Assegnazione di SeDebugPrivilege (4672)
2. Accesso a processo browser (Sysmon 10)
3. Caricamento modulo non firmato (Sysmon 7)
4. Nuove connessioni di rete dal browser (Sysmon 3)

La timeline detection diventa cruciale. Impostate una finestra di correlazione di 10-20 minuti per collegare questi eventi. Un singolo evento potrebbe essere benigno, ma la sequenza completa indica compromissione.

Per ridurre i falsi positivi, create allowlist per:

• Tool di automazione legittimi (Selenium WebDriver)
• Estensioni browser enterprise
• Software di sicurezza che interagisce con i browser

Il monitoraggio di rete aggiunge un layer critico. Configurate alert per:

• Connessioni browser verso range IP interni dopo orario lavorativo
• Accessi a SharePoint/webmail da browser senza corrispondente login utente
• Pattern di navigazione automatizzata (tempi tra richieste troppo regolari)

EventID 4673 (Sensitive Privilege Use) spesso precede l'hijacking. Monitorate l'uso di SeDebugPrivilege da processi non-amministrativi o sconosciuti.

Per ambienti con EDR, sfruttate la capacità di behavioral detection. Ursnif e Dridex mostrano pattern distintivi: injection seguita da connessioni verso domini bancari non standard o IP di proxy command & control.

La chiave è bilanciare sensibilità e rumore. Start con detection ad alta confidenza (sequenze complete di eventi) e gradualmente abbassate le soglie monitorando i false positive rate.

L'analisi forense del browser hijacking richiede attenzione meticolosa agli artefatti di processo e rete. Iniziate dall'esame della memoria del processo browser compromesso. Tools come Volatility permettono di identificare injection artifacts:

volatility -f memory.dmp windows.malfind --pid [browser_pid]

Cercate regioni di memoria con permessi RWX (Read-Write-Execute) anomali, spesso indicativi di codice iniettato. Cobalt Strike lascia tracce distintive nei VAD (Virtual Address Descriptors) con pattern di allocazione specifici.

Il Prefetch di Windows conserva evidenze cruciali. File come CHROME.EXE-[HASH].pf mostrano:

• Timestamp di esecuzione anomali
• DLL caricate non standard
• Path di file acceduti durante l'hijacking

L'analisi del registry rivela modifiche alle configurazioni browser. Carberp modifica chiavi in: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Per form-grabbing, esaminate i browser profile databases. Chrome SQLite databases in: *%LOCALAPPDATA%\Google\Chrome\User Data\Default*

Contengono timestamp di form submissions che non corrispondono all'attività utente legittima. Agent Tesla e XLoader lasciano tracce nei campi di autocompletamento modificati.

La ricostruzione timeline beneficia dall'incrocio di multiple fonti:

1. Event logs per privilege escalation (4672, 4673)
2. Sysmon per process injection (EventID 8, 10)
3. Browser history/cache per navigazione anomala
4. Network logs per connessioni verso C2

IcedID presenta una sfida unica: mantiene due connessioni SSL simultanee. Cercate nei log di rete pattern di certificati self-signed in prossimità temporale con accessi a siti bancari legittimi.

Per Grandoreiro e Melcoz, l'overlay detection richiede screenshot analysis o, meglio, l'esame dei Windows message hooks. L'API Monitor può catturare retrospettivamente chiamate a SetWindowsHookEx usate per intercettare eventi UI.

Su sistemi Linux, /proc/[pid]/maps e /proc/[pid]/fd/ forniscono snapshot dello stato del processo. Correlate con auditd logs per ricostruire la sequenza di ptrace attach e successive modifiche.

L'artefatto più prezioso resta spesso il memory dump del browser al momento dell'incidente. Permette di recuperare JavaScript iniettato, certificati in memoria, e persino credenziali in chiaro se catturato durante l'autenticazione.

Kimsuky emerge come l'unico gruppo APT documentato per l'uso sistematico di browser session hijacking. Il gruppo nordcoreano, attivo dal 2012, ha evoluto le sue tecniche da semplice spear-phishing a sofisticate operazioni di collection attraverso browser compromise.

Il profilo operativo di Kimsuky rivela pattern distintivi:

• Target primari: think tank sudcoreani, esperti di politica nucleare, organizzazioni ONU
• Infrastruttura: overlap con Lazarus Group suggerisce condivisione limitata di risorse
• TTPs evolutive: dal 2023 integrano LLM commerciali per vulnerability research

L'operazione STOLEN PENCIL (2018) ha introdotto l'uso di form-grabbing specificamente calibrato per webmail governative. Operation Smoke Screen (2019) ha dimostrato capacità di pivoting attraverso browser compromessi per accedere a intranet diplomatiche.

La campagna più rilevante resta l'uso di TRANSLATEXT, mascherato da estensione Google Translate. L'approccio rivela sofisticazione crescente:

• Sfruttamento della fiducia degli utenti in brand noti
• Persistenza attraverso meccanismi di estensione browser nativi
• Esfiltrazione selettiva basata su keyword in lingua coreana

Geographic targeting analysis mostra espansione oltre la penisola coreana: Stati Uniti, Giappone, Russia ed Europa. Il focus resta su intelligence SIGINT relativa a:

• Politiche sanzionatorie
• Sviluppi nucleari
• Movimenti diplomatici regionali

Tool overlap analysis con altri attori DPRK suggerisce che Kimsuky mantiene capacità indipendenti per browser operations, mentre condivide infrastructure elements per C2 e initial access.

Le previsioni per l'evoluzione tattica includono:

• Targeting di browser mobile, particolarmente in regioni con alta penetrazione smartphone
• Integrazione con capability di AI-assisted social engineering
• Focus su piattaforme collaborative (Teams, Slack) accessibili via browser

Il timing degli attacchi correla con eventi geopolitici: summit internazionali, votazioni ONU su sanzioni, test missilistici regionali. Questo pattern permette di anticipare campagne durante periodi di tensione diplomatica elevata.

Framework MITRE ATT&CK T1185 documenta comprehensivamente questa tecnica. Le campagne Kimsuky STOLEN PENCIL e Smoke Screen forniscono case study reali. Risorse di detection includono Sysmon configuration guides e Cobalt Strike detection methodologies pubblicate da Red Canary e altri vendor di sicurezza.