Furto dei Cookie di Sessione Web: Steal Web Session Cookie (T1539)

Per simulare questa tecnica in un laboratorio red team occorre coprire tre scenari distinti: estrazione dei cookie dal file system, cattura via reverse proxy phishing e dump dalla memoria del processo browser.

Estrazione da disco — Windows. I browser Chromium memorizzano i cookie in un database SQLite protetto con DPAPI. La catena di attacco prevede prima la copia del file e poi la decifratura. Per localizzare il database su Chrome:

dir "%LOCALAPPDATA%\Google\Chrome\User Data\Default\Network\Cookies"

Una volta copiato il file, lo strumento SharpChromium (open source) consente di decifrare i cookie invocando le API DPAPI nel contesto dell'utente target. In alternativa, su un engagement con accesso post-exploitation, Mimikatz (open source) espone il modulo dpapi::chrome per estrarre e decifrare i cookie direttamente.

Estrazione da disco — Linux e macOS. Su Linux i cookie di Chrome risiedono in ~/.config/google-chrome/Default/Cookies, cifrati con una chiave derivata dal keyring di sistema. Su macOS il percorso è ~/Library/Application Support/Google/Chrome/Default/Cookies e la chiave è nel Keychain. Per Firefox, su tutti i sistemi operativi, il file cookies.sqlite nella cartella del profilo è leggibile direttamente con sqlite3:

sqlite3 ~/.mozilla/firefox/.default-release/cookies.sqlite "SELECT host, name, value FROM moz_cookies;"*

Reverse proxy phishing. Il framework Evilginx (open source) permette di configurare un phishlet — un template che descrive la pagina di login da clonare — e catturare automaticamente i cookie di sessione quando la vittima si autentica attraverso il proxy. In laboratorio si configura un phishlet con il comando interattivo phishlets hostname seguito da lures create, ottenendo un URL di phishing che cattura il token di sessione post-MFA.

Dump dalla memoria del processo. Con ProcDump (gratuito, Sysinternals) si acquisisce un dump del processo browser:

procdump -ma chrome.exe chrome_dump.dmp

Il dump può poi essere analizzato con strings o con tool specializzati per estrarre cookie in chiaro ancora presenti in memoria. Su macOS, la chiamata task_for_pid seguita da vm_read raggiunge lo stesso risultato.

Al termine dell'estrazione, il cookie può essere iniettato nel browser dell'attaccante tramite l'extension Cookie-Editor (open source) per verificare l'accesso alla sessione della vittima.

La detection del furto di cookie ruota intorno a due fasi osservabili: l'accesso anomalo ai file e alla memoria dei browser sull'endpoint, e il riutilizzo sospetto del token lato SaaS/cloud.

Log source critici. Su Windows l'analisi AN1402 richiede Sysmon (WinEventLog:Sysmon) e il log Security. L'evento Sysmon EventCode 1 (Process Create) va monitorato per processi non-browser che accedono ai percorsi dei cookie, come AppData\Local\Google\Chrome\User Data\Default\Network\Cookies. L'EventCode 10 (ProcessAccess) segnala quando un processo tenta di leggere la memoria di chrome.exe, firefox.exe o msedge.exe — un pattern tipico dei memory dumper. Su Linux (AN1403), auditd con regole SYSCALL sull'accesso ai file cookies.sqlite e sull'uso di ptrace verso processi browser fornisce la copertura equivalente. Su macOS (AN1404), i log unificati catturano le chiamate task_for_pid e vm_read.

Alert comportamentali chiave. Un buon alert correla due eventi entro una finestra temporale stretta: accesso al file cookie (o al processo browser) da parte di un eseguibile non-browser, seguito da attività di rete verso destinazioni esterne. La variabile di tuning [TimeWindow] è cruciale: un intervallo di 60-120 secondi riduce i falsi positivi senza perdere visibilità.

Lato SaaS (AN1406), i log di Google Workspace e Okta vanno monitorati per token reuse anomalo. L'alert deve scattare quando lo stesso session token compare da due User-Agent diversi o da due geolocalizzazioni incompatibili nel tempo (impossible travel). Le variabili [UserAgentAnomalyScore] e [GeoLocationAnomalyScore] permettono di calcolare la deviazione rispetto al profilo abituale dell'utente.

Gestione dei falsi positivi. I password manager e le extension di sincronizzazione dei browser accedono legittimamente ai database cookie. Occorre popolare la lista [AccessToolList] con gli hash dei processi approvati e aggiornare la whitelist [TargetProcessList] per escludere gli agent di gestione aziendale. Per le macro Office (AN1405), la regola sui log M365 Unified e Sysmon deve filtrare i percorsi target (MacroTargetPath) e le destinazioni HTTP anomale, concentrandosi sulle POST verso IP esterni non categorizzati.

Un approccio a due livelli — endpoint per la fase di raccolta, SaaS per la fase di riutilizzo — massimizza la copertura e consente di identificare il punto di ingresso anche quando l'esfiltrazione del cookie sfugge al primo alert.

La ricostruzione forense di un furto di cookie segue tre direttrici: artefatti su disco, tracce in memoria e indicatori lato servizio.

Artefatti disco — Windows. Il punto di partenza è il database SQLite dei cookie del browser compromesso. Il file Cookies di Chrome, situato nel profilo utente, registra i timestamp last_access_utc e creation_utc in formato WebKit (microsecondi dal 1° gennaio 1601). Confrontando l'ultimo accesso legittimo dell'utente con eventuali accessi fuori orario si identifica la finestra di compromissione. Il journal NTFS ($UsnJrnl:$J) e il Master File Table ($MFT) rivelano se il file è stato copiato: un CLOSE senza corrispondente apertura da parte del processo browser è un indicatore forte. I Prefetch files (C:\Windows\Prefetch) documentano l'esecuzione di tool come procdump.exe o stealer custom, con timestamp di prima e ultima esecuzione.

Artefatti disco — Linux e macOS. Su Linux, i log di auditd con la regola sull'accesso a cookies.sqlite registrano il PID, l'utente e il percorso completo. Il timestamp del file system (stat con i campi atime/ctime) completa il quadro. Su macOS, i log unificati catturano le chiamate di accesso alla memoria dei processi browser e l'accesso al file Cookies.binarycookies di Safari, come documentato per il malware XCSSET che usa scp per copiare questo file.

Tracce in memoria. Se un dump di memoria è disponibile (RAM acquisition o crash dump), tool come Volatility 3 (open source) consentono di cercare stringhe cookie nei processi browser. I cookie in chiaro appaiono come coppie nome=valore nei buffer di heap. Un approccio efficace è cercare i nomi dei cookie di sessione noti della piattaforma target (es. SSID, HSID, SID per Google, ESTSAUTHPERSISTENT per Entra ID).

Indicatori lato servizio. La SolarWinds Compromise (C0024) dimostra l'importanza dei log SaaS nella ricostruzione: APT29 ha copiato le directory dei profili Chrome per ottenere i cookie e poi ha riutilizzato i token da infrastrutture diverse. I log di accesso cloud rivelano sessioni con lo stesso cookie ma da IP, ASN o device fingerprint differenti. I log IdP (Okta, Entra ID) registrano eventi di tipo "session resumed" senza il corrispondente evento di autenticazione — un'anomalia che diventa un pivot fondamentale nella timeline.

La sequenza forense ottimale è: identificare il timestamp di accesso anomalo al file cookie su disco → correlare con l'esecuzione di processi sospetti nei Prefetch/auditd → verificare nei log SaaS il momento in cui il cookie rubato è stato riutilizzato → ricostruire la finestra di esposizione.

Il furto di cookie di sessione è adottato trasversalmente da attori state-sponsored e gruppi a orientamento finanziario, ma con approcci operativi molto diversi.

APT29 e la SolarWinds Compromise (C0024). Il caso più significativo resta la campagna di supply chain che ha coinvolto SolarWinds Orion tra il 2019 e il 2021. APT29 ha copiato le directory dei profili Chrome degli utenti target per estrarre i cookie, inserendo questa tecnica in una catena d'attacco che comprendeva token theft, password spraying e abuso di API. L'impatto ha raggiunto organizzazioni governative, tecnologiche e di consulenza in Nord America, Europa, Asia e Medio Oriente. Questo pattern — furto di cookie come complemento dell'abuso di token e credenziali — è una firma operativa dell'attore.

Kimsuky (G0094) impiega malware specializzato come TRANSLATEXT per rubare ed esfiltrare cookie dal browser, con particolare attenzione ai servizi coreani Naver, Kakao e Daum. Questo targeting regionale suggerisce operazioni di intelligence focalizzate sulla penisola coreana e sulla diaspora. Star Blizzard (G1033) si distingue per l'uso diretto di EvilGinx come strumento di phishing proxy, catturando i cookie di sessione in transito — un approccio che bypassa l'MFA a livello architetturale.

Sandworm Team (G0034) utilizza info-stealer per raccogliere cookie come parte di operazioni distruttive più ampie, dove il credential access è funzionale al movimento laterale. APT42 (G1044) sviluppa malware custom per sottrarre dati di login e cookie dai browser più diffusi, concentrandosi su target legati alla politica mediorientale.

Sul versante finanziario, Scattered Spider (G1015) si affida a stealer commodity come Raccoon Stealer per raccogliere cookie in campagne di social engineering contro aziende tecnologiche, mentre Evilnum (G0120) e LuminousMoth (G1014) utilizzano tool post-exploitation — rispettivamente il malware EVILNUM e strumenti non attribuiti — per il furto di cookie in contesti di spionaggio nel settore finanziario e governativo del Sud-Est asiatico. Lotus Blossom (G0030) completa il quadro ricorrendo a tool pubblicamente disponibili.

Il trend emergente è la convergenza tra info-stealer commodity (Raccoon Stealer, Lumma Stealer, RedLine Stealer, DarkGate) e operazioni APT: gli stessi malware servono sia il cybercrime sia lo spionaggio, rendendo l'attribuzione più complessa. L'adozione di reverse proxy phishing (EvilGinx) da parte di attori state-sponsored come Star Blizzard segnala che il bypass dell'MFA tramite furto di cookie è ormai una capacità operativa standard, non più esclusiva dei red team.

Framework MITRE ATT&CK v16 — T1539 (Steal Web Session Cookie), TA0006 (Credential Access). Campagna C0024 (SolarWinds Compromise). Detection: AN1402, AN1403, AN1404, AN1405, AN1406. Tool di detection: Sysmon, auditd, Volatility 3. Integrato con conoscenza professionale per tool e procedure operative.