複選題
14. 關於 MITRE ATT&CK 中的瀏覽器會話劫持（Browser Session Hijacking）技術，下列哪些正確？
(A) 可透過資安認知訓練（Awareness Training）來緩解此技術
(B) 可分析登入會話（Logon Session）的產生狀態來偵測此技術
(C) 可透過使用者帳戶管理（User Account Management）來緩解此技術
(D) 僅能透過分析程序存取（Process Access）與程序修改 （Process Modification）狀態來偵測此技術

https://attack.mitre.org/techniques/T1185/

以下提供對 MITRE ATT&CK 中「Browser Session Hijacking（瀏覽器會話劫持）」技術的說明，並逐一分析各選項，判斷其正確性。

什麼是「Browser Session Hijacking」？

• Browser Session Hijacking 通常指攻擊者盜用使用者已建立的瀏覽器會話（Session），例如：
  • 取得使用者的 Session Cookie 或 Token
  • 竊取使用者與網站（伺服器）間的認證資訊
  • 使攻擊者能以受害者的身分執行動作或存取敏感資料

常見做法包括：

1. 竊取 Cookie（例如透過釣魚、惡意程式、XSS、惡意瀏覽器外掛等）
2. Sidejacking / Man-in-the-Middle 攻擊（攔截未加密的網路流量）
3. Session Fixation（誘使使用者使用攻擊者指定的 Session ID）
4. 惡意程式植入，在使用者端瀏覽器或記憶體中直接讀取會話資訊。

選項逐一分析

1. (A) 可透過資安認知訓練（Awareness Training）來緩解此技術

   • 正確。
   • 資安認知訓練可提醒使用者：
     • 不要隨意點擊可疑連結或下載附件，避免 Cookie / Token 被釣取。
     • 注意釣魚電郵、網頁誘騙（防止 XSS、偽造登入頁）。
     • 清楚 Session 維護觀念（登出機制、避免在公用電腦儲存登入狀態等）。
   • 因此能在一定程度上降低瀏覽器會話被竊取的風險。

2. (B) 可分析登入會話（Logon Session）的產生狀態來偵測此技術

   • 正確。
   • 在偵測端（如 SIEM 或應用程式伺服器端）可監看使用者 Session 的異常行為，例如：
     • 同一個帳戶同時間、不同地區或短時間內於多異地登入
     • 突然出現與平時習慣不符的瀏覽器 / IP / 裝置指紋
   • 這些都可能顯示 Session 被劫持、共享或盜用。

3. (C) 可透過使用者帳戶管理（User Account Management）來緩解此技術

   • 正確。
   • 健全的帳戶管理包含：
     • 強制定期重設密碼 / Token
     • 多因素驗證（MFA）
     • 對可疑或長時間閒置的 Session 執行自動登出
     • 快速停用可疑帳戶或已洩漏 Session
   • 這些做法能降低會話被長期盜用的風險。

4. (D) 僅能透過分析程序存取（Process Access）與程序修改（Process Modification）狀態來偵測此技術

   • 錯誤（或至少不夠完整）。
   • 「僅能」兩字過於絕對。確實可以在端點層面（Endpoint）觀察是否有惡意程式或瀏覽器外掛存取 Session 資訊（例如 API Hook、讀取記憶體、修改瀏覽器程序），這可能是其中一種偵測方式。
   • 但瀏覽器會話劫持還可以透過網路層或應用層的種種分析（如 (B) 所述的登入行為監測）來發現。並非「只能」靠程序層級的存取/修改分析來偵測。

結論

• (A)、(B)、(C)：皆是緩解或偵測瀏覽器會話劫持的正確作法。
• (D)：描述過於絕對，並非僅能靠分析程序存取/修改的方式來偵測該技術，因此此敘述不正確。

答案：

(A) (B) (C) 為正確選項。