Was ist Initialer Zugriff? MITRE ATT&CK® Initialer Zugriff Taktik | TA0001

GESCHRIEBEN VON

Karolina Koval

[post-views]

September 23, 2022 · 14 min zu lesen

Was ist Initialer Zugriff? MITRE ATT&CK® Initialer Zugriff Taktik | TA0001

Inhaltsverzeichnis:

Einige MITRE ATT&CK-Taktiken erfordern besondere Aufmerksamkeit von Sicherheitsexperten, und der Erste Zugriff gehört dazu. Denn wenn Angreifer nicht einbrechen, können sie ihre Angriffskette nicht auf eine andere Ebene bringen.

Anfang dieses Jahres zahlte Microsoft 13,7 Millionen US-Dollar an Bug-Bounties als Gegenleistung für die Entdeckung von 1.091 Schwachstellen und beeindruckenden 200.000 US-Dollar für eine nicht offengelegte Hyper-V-Schwachstelle. Das zeigt, wie wertvoll proaktive Cyberabwehr ist. Und höchstwahrscheinlich handelt es sich bei einem Großteil dieser neuen Schwachstellen um den Ersten Zugriff. Denn wie Sie später in diesem Beitrag sehen werden, geht es um weit mehr als nur um gestohlene Anmeldedaten. Der erste Zugriff ist potenziell überall.

Gemeinsame Eintrittspunkte für den ersten Zugriff

Der Erste Zugriff Taktik ist meistens der nächste Schritt nach solchen Taktiken wie Erkundung and Ressourcenentwicklung. Mit anderen Worten, bevor jemand tatsächlich durch die Tür geht, muss er entscheiden, wohin er gehen möchte, und sobald er dies getan hat, entscheiden, durch welche Tür und wie. Dasselbe gilt für Cyberangriffe. Zuerst könnten Angreifer das Netzwerk aktiv scannen und sehen, ob es verwundbare Punkte gibt, die sie ausnutzen können. Im Falle eines erfolgreichen Erkundungserfolgs würden sie spezifische Ziele auswählen, beispielsweise IPs, und die Methode des Eindringens wählen.

Beachten Sie, dass, wenn Sie einen APT-basierten Ansatz anwenden, Ihre Bedrohungserkennungsaktivitäten über die Fähigkeiten eines bestimmten Angreiferverhaltens in der Phase des ersten Zugriffs hinausgehen sollten. Einfach ausgedrückt, sobald jemand den ersten Zugriff erlangt, kann eine Vielzahl von Dingen getan werden. Selbst diejenigen, die für einen vermuteten Bedrohungsakteur untypisch sind. Beispielsweise spezialisieren sich Gruppen, die als Initial Access Brokers bezeichnet werden, lediglich darauf, Netzwerke zu kompromittieren und dann den Zugriff an andere Bedrohungsakteure zu verkaufen. Lassen Sie uns einen Überblick darüber geben, wie sie den ersten Zugriff erlangen.

Bevor wir in die Theorie eintauchen, vergessen Sie nicht, sich anzusehen, was unsere Cyber Threats Search Engine in Bezug auf die Taktik des ersten Zugriffs bietet. Sie können auch nach beliebigen Bedrohungs- oder schwachstellenbezogenen Schlüsselwörtern suchen, die Sie interessieren, und relevante Informationen und Erkennungsalgorithmen erkunden.

ERKENNUNGEN ERKUNDEN

Phishing

Ein legitimen Benutzer dazu zu bringen, eine alltägliche Aktion wie das Öffnen eines Dokuments in einer E-Mail auszuführen, ist eine der einfachsten Möglichkeiten für Angreifer, Malware mit einer Hintertür oder sogar einer direkten Nutzlast einzuschleusen (T1566).

Mit Malware infizierte E-Mails sehen oft nicht wie Spam oder Fälschungen aus. Diese Form des ersten Zugriffs gibt es seit Jahrzehnten, und es ist in der Tat überraschend, warum qualifizierte Fachleute, die in führenden Organisationen arbeiten, immer noch darauf ‚reinfallen‘ und auf bösartige Links klicken oder Anhänge herunterladen. Die Sache ist die, dass Gegner viel Aufwand betreiben, um Phishing-Nachrichten vertrauenswürdig erscheinen zu lassen.

Quelle: Stanford

Beachten Sie, dass die E-Mail von noreply@stanford.edu kommt, was wie eine legitime Adresse aussieht. Die E-Mail imitiert eine Sicherheitswarnung, die den Empfänger auffordert, sofort zu handeln.

Übrigens könnte es nicht einmal eine E-Mail sein – MITRE ATT&CK zeigt Fälle, in denen Malware über gefälschte Stellenangebote und Nachrichten in sozialen Medien verbreitet wurde.

Bösartige Links könnten basierend auf einer Vielzahl von Bedrohungsmodellen erstellt werden, abhängig von den Zielen der Angriffskampagnen. Manchmal führen sie den Benutzer zu einer gefälschten Anmeldeseite oder einer Rechnungsseite, um eine Zahlung zu leisten. Andere stehlen leise Sitzungstoken oder initiieren einen Drive-by-Download. Bei Anhängen wie trojanischen Word-Dokumenten, Zip-Dateien, Bildern und ausführbaren Dateien hat ATT&CK sie einer Spearphishing-Anhangsuntertechnik (T1566.001) hinzugefügt. Spearphishing impliziert ein genaues Targeting der Opfer. Bösartige Anhänge können jedoch auch in Massenkampagnen ohne spezifischen Fokus auf Unternehmen oder Einzelpersonen gesendet werden.

Drive-by-Kompromittierung

Eine Technik (T1189) im MITRE ATT&CK-Rahmenwerk beschreibt ein Szenario, in dem Angreifer versuchen, Exploit-Code über einen Browser zu liefern, während ein Opfer normale Aktivitäten wie das Surfen im Internet ausführt.

Sie haben wahrscheinlich schon von Typosquatting gehört – eine Art Angriff, bei dem eine gefälschte Domain registriert wird, die fast wie eine legitime aussieht, aber einen kleinen, schwer zu erkennenden Tippfehler enthält. Jedoch können auch echte Domains kompromittiert werden, wenn Gegner bösartigen Code in JavaScript, iFrames oder Cross-Site-Scripting (XSS) injizieren.

Weitere Fälle von Drive-by-Downloads umfassen bösartige Werbung und das Ausnutzen von integrierten Webanwendungsschnittstellen für Injektionsangriffe. Jede Art von Eingabefeld ist eine Gelegenheit für Angreifer, einem Zielsystem ein beliebiges Skript oder Code zu übermitteln.

Beispiele für eine Webanwendungsschnittstelle:

CLI – Kommandozeilenschnittstelle
GUI – grafische Benutzerschnittstelle
MDI – menügesteuerte Schnittstelle
FBI – formularbasierte Schnittstelle
NLI – natürsprachliche Schnittstelle

Eine andere Art des Angriffs, die sich mit dem ersten Zugriff befasst, nennt man Watering Hole – dabei wollen Angreifer Malware auf einer Website platzieren, die Inhalte für eine Gemeinschaft von Menschen hostet. Es ist ‚ein gutes Geschäft‘, weil sie, statt jedes Opfer einzeln anzugreifen, nur den Anbieter angreifen, und wenn dieser kompromittiert ist, erledigt er den Job für sie.

Ausnutzung öffentlicher Anwendungen

Die Technik (T1190) widmet sich einer Reihe von hochentwickelten Ausnutzungen auf der Ebene internetbasierter Software . Angreifer versuchen, Bugs, Glitches, Kollisionen und Designfehler auszunutzen, um in die Systeme der Opfer einzudringen. Wenn die Kompromittierung in der Cloud stattfindet, die heutzutage häufig verwendet wird, versuchen sie, aus der zugrunde liegenden Instanz oder dem Container zu entkommen und seitwärts oder weiter nach unten zum Host zu wechseln.

Um eine Vorstellung davon zu bekommen, welche Art von Software potenziell kompromittiert werden kann, schauen Sie sich die folgende Tabelle an.

Schwachstelle	Zugehörige Software
CVE-2017-3066	Apache BlazeDS-Bibliothek
CVE-2017-7269	Microsoft Windows Server 2003 R2
CVE-2017-10271	Oracle WebLogic Server
CVE-2018-13379	Fortinet FortiOS und FortiProxy
CVE-2019-0604	Microsoft SharePoint
CVE-2019-19781	Citrix Application Delivery Controller
CVE-2019-11510	Pulse Connect Secure
CVE-2019-9670	Synacor Zimbra Collaboration Suite
CVE-2019-18935	ASP.NET AJAX
CVE 2020-0688 CVE-2021-26855 CVE-2021-26857 CVE-2021-26858 CVE-2021-27065 CVE 2020-17144	Microsoft Exchange Server
CVE-2021-44228	Apache Log4j2
CVE-2020-10189	Zoho ManageEngine Desktop Central
CVE-2020-5902	BIG-IP

See https://cve.mitre.org/ um betroffene Versionen und detaillierte technische Beschreibungen zu entdecken.

Wie Sie sehen können, neigen Angreifer in der Phase des ersten Zugriffs dazu, Software für Kommunikation, Management, Webdienste und sogar Sicherheitslösungen auszunutzen. Daher ist es äußerst wichtig, öffentliche Anwendungen sofort zu aktualisieren, sobald neue Versionen verfügbar sind. Andernfalls ist es sehr herausfordernd, die Cybersecurity-Haltung aufrechtzuerhalten. Um effektiv mit ungepatchten Schwachstellen umzugehen, ziehen Entwicklungsteams zunehmend in Betracht, nach links zu verschieben und sichere Code-Praktiken und Sicherheitstests während des gesamten CI/CD-Pipelines anzuwenden.

Die obige Tabelle ist nur ein kleiner Teil dessen, was im Bedrohungsumfeld vor sich geht. Verständlicherweise ist es schwierig, den Schwankungen und Mutationen einer überwältigenden Vielzahl von Schwachstellen zu folgen. Sicherheitsexperten bemühen sich, diese auf Trends zu reduzieren, um es einfacher zu machen. Beispielsweise OWASP Top 10 and CWE Top 25 heben die ‚beliebtesten‘ Arten von Exploits hervor, sodass Sie darüber nachdenken können, wie Sie ganze Familien von Schwachstellen mindern können, anstatt Überraschungen bei jedem einzelnen Produkt, jeder Bibliothek oder jedem Dienstprogramm, das Sie verwenden, zu erwarten.

Kompromittierung legitimer Benutzerkonten

Gültige Konten Technik (T1078) beschreibt eine Situation, in der Angreifer Zugang erhalten, indem sie reale Benutzerkonten kompromittieren. Dies können Konten von Mitarbeitern sowie vertrauenswürdige Konten von Drittparteien wie Geschäftspartnern oder Auftragnehmern sein. Diese Technik ist normalerweise mehrstufig und impliziert die Kombination anderer Initialzugriffstechniken wie Phishing, Drive-by-Kompromittierung, externe Remote-Dienste und Exploitation öffentlicher Anwendungen.

Zum Beispiel, laut Forschungumfasste ein berüchtigter Uber-Einbruch eine ganze Reihe von Schritten:

Ein persönliches Gerät eines Uber-Auftragnehmers wurde mit Malware infiziert, die Anmeldedaten preisgab.
Ein Angreifer kaufte Benutzername/Passwort eines Uber-Auftragnehmers im Dark Web.
Startete einen MFA-Erschöpfung Angriff auf das gewählte Opfer mit einem Unternehmenskonto. Der Gegner bombardierte den Nutzer mit Push-Benachrichtigungen und wandte soziale Ingenieurskunst an (sich als IT-Teammitglied auf WhatsApp ausgebend), bis das Opfer kapitulierte und den letzten Authentifizierungsschritt ausführte.
Danach registrierte der Angreifer sein eigenes Gerät für MFA und erhielt Zugriff auf das Intranet von Uber über eine interne VPN-Verbindung.
Der Akteur fand PowerShell-Skripte, die hartkodierte Administratorkennwörter enthielten.
Mit diesen Anmeldedaten loggten sie sich in eine Plattform für privilegierte Kontenverwaltung (PAM) ein.
Von dort aus konnten sie frei durch mehrere Cloud-Umgebungen der Organisation navigieren.

Unser Team hat Regeln zur Erkennung möglicher MFA-Überschwemmungen erstellt – die Ausnutzung zu Beginn des Uber-Angriffs. Schauen Sie sich diese in unserer Cyber Threats Search Engine an.

ERKENNUNGEN ERKUNDEN

Ausnutzung externer Remote-Dienste

Technik T1133 bezieht sich auf Versuche des ersten Zugriffs über Remote-Dienste. Wie sie sich vorstellen können, ist der Fernzugriff auf eine interne Ressource über einen verschlüsselten Kanal ohne die Notwendigkeit, irgendetwas zu brechen, genau das, was Gegner brauchen. Aber wie dringen sie tatsächlich ein?

Der direkteste Weg, dies zu tun, besteht darin, Zugriff auf das Konto eines legitimen Benutzers zu erhalten, was auch mit einer Technik für gültige Konten (T1078) zusammenhängt.

Wenn es um containerisierte Umgebungen geht, könnte Authentifizierung nicht erforderlich sein für den ersten Zugriff. Stattdessen können Angreifer eine exponierte API eines Docker- oder Kubernetes-Servers, einer Webanwendung oder eines Kubelets ausnutzen. Zum Beispiel ist Doki ein krypto-bezogener Backdoor, der sich durch einen offenen API-Port des Docker-Daemons eingeschlichen hat.

Bei weiteren Beobachtungen von Verfahrensbeispielen in MITRE ATT&CK könnten Sie feststellen, dass VPN-Verbindungen in der Mehrheit der Fälle des ersten Zugriffs verwendet werden. Andere erwähnte Verbindungen sind SSH, VNC, RDP, OWA und Citrix.

Ausnutzung von Software-Lieferketten

Moderne Software ist ständig im Wandel, sodass die Angriffsfläche für Lieferketten ebenfalls zunimmt. Wie von Googledemonstriert, können an mehreren Punkten der Entwicklungsprozesse Schwachstellen gefunden werden. Und sie haben mit mehreren MITRE ATT&CK-Taktiken zu tun, einschließlich des Ersten Zugriffs und der entsprechenden Technik, Kompromittierung der Lieferkette (T1195).

Erster Zugriff durch Lieferkettenkompromittierung geht mit dem Einsatz anspruchsvoller Methoden einher, die nicht unbedingt das Hacken der Identitäts- und Zugriffskontrolltools beinhalten müssen. Zum Beispiel:

Malware wird in gute Software gepackt, wie im Fall von SolarWinds. Der Angriff begann Berichten zufolge mit einer Code-Injektion.
Ausnutzung der Projektinfrastruktur. Ein prominentes Beispiel ist Abhängigkeitsverwirrung, aufgedeckt von Forscher Alex Birsan.
Anwendung neuer Vektoren für gepatchte Schwachstellen. Beispielsweise hat die iranische APT MERCURY Log4j 2 über SysAid-Apps für den ersten Zugriff ausgenutzt, was zuvor nicht beobachtet wurde.

Einstiegspunkte für Zugangspunktangriffe über Lieferketten können kompromittierte Websites, digitale Zertifizierungsstellen, Open-Source-Bibliotheken, falsch konfigurierte öffentliche Cloud-Speicher-Buckets und mehr umfassen. Ein schneller Verweis von National Counterintelligence and Security Center (NCSC) könnte nützlich sein.

Kompromittierung vertrauenswürdiger Geschäftskanäle

Vertrauenswürdige Partnerschaften auf Software-Ebene beinhalten die Zusammenarbeit mit Managed Service Providern (MSP), die privilegierten Zugang zu den digitalen Ressourcen von Organisationen haben. Diese Anbieter wurden von Angreifern als Hauptvektor (T1199) ins Visier genommen, um Zugang zu hochkarätigeren Zielen zu erhalten.

Es macht für Gegner Sinn, ein weniger geschütztes Opfer zu finden, das eine vertrauensvolle Beziehung zu einer größeren Organisation hat und dieses zuerst zu kompromittieren. Dazu könnten sie eine Vielzahl von Techniken anwenden, die auch mit einer Zugangstechniktaktik (TA0005) verbunden sind.

Gezielte Angriffe beinhalten komplexe Abfolgen bösartiger Aktivitäten, bei denen die Ausnutzung vertrauenswürdiger Beziehungen integraler Bestandteil einer ausgeklügelten Operation ist. Beispielsweise verwendete die Sandworm-Gruppe Spearphishing zu Beginn ihrer Angriffe und setzte mit einer Vielzahl von Malware-Stämmen wie NotPetya fort. Sie versuchten sogar, ihre eigene Malware zu verschleiern, um sie wie Lazarus-Beispiele aussehen zu lassen. Während einer der Angriffsphasen nutzten sie eine dedizierte Verbindung zwischen Regierungsorganisationen, um sich von einem Netzwerk zum anderen zu bewegen.

Ausnutzung von Wechseldatenträgern & Hardware

Techniken, genannt Replikation über Wechseldatenträger (T1091) und Hardware-Zugänge (T1200) beschreiben hauptsächlich die Verwendung von physischen Medien und Firmware, um unerlaubten Zugang zu digitalen Infrastrukturen von Unternehmen zu erlangen. Warum möchten Gegner verschiedene Arten von Geräten für die Taktik des Ersten Zugriffs ausnutzen? Meistens geht es um eine native Funktion – Autorun. Zum Beispiel, sobald ein Wechseldatenträger in ein anderes System eingeführt wird, beginnt es automatisch, bestimmte Prozesse auszuführen. Wenn also ein Malware-Executable in ein Gerät eingepflanzt wird, infiziert es sofort den Zielhost.

Beispielsweise wurde eine modulare Backdoor namens CHOPSTICK von APT28 in mehreren Kampagnen eingesetzt. Grundsätzlich können sie wählen, welche Varianten zu verwenden sind und wann, indem sie Malware vor der Ausführung und auch zur Laufzeit kompilieren. Einer der CHOPSTICK Proben nutzte Luftlücken/geschlossene Netzwerke aus, indem er Nachrichten zwischen einem Register, lokalen Verzeichnissen und USB-Geräten weiterleitete.

Das Pflanzen von bösartiger Hardware, um ein Unternehmen anzugreifen, mag unmöglich erscheinen, aber Forscher zeigen, dass es einen Angreifer nur $200kosten könnte. Der Proof-of-Concept (PoC), veröffentlicht in Wired, schlägt vor, wie ein winziger Chip, kleiner als ein Fingernagel, nahtlos zu einer legitimen Hauptplatine einer Cisco-Firewall hinzugefügt werden kann. Dieses PoC ist inspiriert von einer faszinierenden Enthüllung die besagt, dass chinesische Mikrochips in den Hauptplatinen eines der führenden Hersteller gefunden wurden. Zu den anderen Arten von Hardware-Zusätzen gehören Pwn-Plugs, ATM-Karten-Skimmer, WiFi Pineapples und LAN-Turtles.

Bildnachweis: Bloomberg. Die Größe des chinesischen Spionage-Chips.

Wie man Initialzugriff erkennt

Vorausgesetzt, Sie haben alle erforderlichen Logging-Geräte, Software und Konfigurationen an Ort und Stelle, lassen Sie uns versuchen, die Muster zur Erkennung von Initialzugriff in ein paar allgemeine Punkte zu verdichten:

Wie im Fall Uber, versuchen Sie, die Anzahl der MFA Push-Benachrichtigungsereignisse pro eindeutiger Sitzungs-ID/Nutzer über einen kurzen Zeitraum zu erkennen, sowie deren entsprechende Erfolg/Misserfolg-Ausgänge. Ausreißer könnten auf einen MFA-Fatigue-Angriff hindeuten.
Ein weiteres Uber-Problem, das für alle zu einer Lektion wurde, sind hartcodierte Anmeldedaten in PowerShell-Skripten. Verwenden Sie Quellcode-Analysetools und Disassembler, um hartcodierte Geheimnisse zu erkennen und bewährte Praktiken zur Risikominderung anzuwenden. Siehe Empfehlungen von MITRE, wie beides zu tun ist.
Unzureichende Eingangsvalidierung ist eine allgegenwärtige Schwachstelle, die zusammen mit allen Arten von Code-Injection-Angriffen die Risiken des Initialzugriffs erhöht. Siehe unseren Medium-Blogbeitrag, in dem wir einen AWS-IAM Fall analysieren und eine Erkennungslogik anbieten.
Überwachen der Prozesserstellung, Datei- und Laufwerkserstellung sowie Dateierstellung auf Wechseldatenträgern.
Phishing-Erkennung might include the use of Detonationskammern and Anti-Spoofing- Maßnahmen beinhalten.

Vergessen wir nicht, dass Cybersecurity nicht nur aus Protokollüberwachung besteht, sondern auch aus dem richtigen Management.

Deshalb empfehlen wir, die folgenden Ansätze zur Erkennung von Initialzugriff zu erforschen:

Schulen Sie Ihre Mitarbeiter. Initialer Zugang beginnt oft mit Social Engineering. Mitarbeiter sollten ordnungsgemäß geschult werden, bösartige Aktivitäten zu erkennen und an ein Sicherheitsteam zu melden.
Führen Sie Bedrohungsmodellierung durch. Identifizieren Sie Bedrohungen, Eintrittswahrscheinlichkeiten, Prioritäten und Mittel zur Erkennung/Abmilderung. Bedrohungsmodellierung kann sich auf Assets, Cyberkriminalitätsgruppen oder Software konzentrieren. Verwenden Sie Methodologien um Bedrohungsmodellierung in einer agilen Umgebung anzuwenden, sie skalierbar zu machen und die Einhaltung zu optimieren.
Seien Sie der „Bösewicht“. Gehen Sie proaktiv auf Bedrohungssuche, indem Sie Penetrationstests, ethisches Hacking und Fuzz-Testing anwenden. Stress-testen und verbessern Sie Ihre Systeme, bevor Angreifer eine Chance haben, sie auszunutzen.

Nun lassen Sie uns zu SOC Primes spannendsten benutzerdefinierten Erkennungen für die Taktik des Initialzugriffs übergehen. Unser Team hat die neuesten Sigma-Regeln ausgewählt, die es wert sind, derzeit erkundet zu werden.

Vermeidung des Erstzugriffs durch Hacker

Um ein Baseline-Sicherheitsmodell für die Verhinderung von erstem Zugang zu entwickeln, können sich Organisationen auf einen CISA-Alarm beziehen AA22-137A. Zusammengefasst umfasst es Maßnahmen wie

Zero-Trust-Zugriffsmanagementrichtlinie
Abwesenheit oder mehrstufiger Schutz offener RDP-Ports
Rollenbasierte Zugriffskontrolle
Einschränkung des Administratorzugriffs von einer Remote-Sitzung
Phishing-resistente MFA
Änderung oder Deaktivierung von vom Anbieter gelieferten Anmeldeinformationen
Zentrales Protokollmanagement
Antivirenprogramme
Bedrohungserkennungs- und Schwachstellenscanner-Tools
Asset & Patch-Management
Konfigurationsmanagement

Abschließend ist es wichtig zu wissen, was sich in der Cybercrime-Szene abspielt, um eine proaktive Cyberverteidigung zu nutzen. Bedrohungsinformationsfeeds können einen großen Wert bieten, wenn sie optimal genutzt werden. Auf einer grundlegenden Ebene könnten Informationen wie IOCs in SIEM- und/oder maschinelle Lernwerkzeuge eingespeist und zur automatisierten Bedrohungserkennung verwendet werden. Auf höheren Ebenen können Intelligenzfimen, die Dark-Web-Foren überwachen, helfen, fundierte Sicherheitsentscheidungen zu treffen.

In Bezug auf Cybersicherheit ist es immer gut, einen vorbeugenden Plan zu haben. Angreifer suchen jedoch gezielt nach übersehenen Schwachstellen und schlagen zu, wenn man es am wenigsten erwartet. Für Situationen wie diese besuchen Sie SOC Primes Cyber Threats Suchmaschine um sofort umsetzbare Erkennungsregeln zu finden, die durch Bedrohungsintelligenz kontextualisiert und dem MITRE ATT&CK-Framework zugeordnet sind.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Kostenlos beitreten Ein Treffen buchen

Name	Descripiton
PHPSESSID	Preserves user session state across page requests. Cookie generated by applications based on the PHP language. This is a general purpose identifier used to maintain user session variables. It is normally a random generated number, how it is used can be specific to the site, but a good example is maintaining a logged-in status for a user between pages.
sp_i	Used to store information about authenticated User.
sp_r	Used to store information about authenticated User.
sp_a	Used to store information about authenticated User.

Name	Descripiton
tuuid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
tuuid_last_update	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
um	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
umeh	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
na_sc_x	Used by the social sharing platform AddThis to keep a record of parts of the site that has been visited in order to recommend other parts of the site.
APID	Collects anonymous data related to the user's visits to the website.
IDSYNC	Collects anonymous data related to the user's visits to the website.
_cc_aud	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_cc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_dc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_id	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
dpm	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
acs	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
clid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
KRTBCOOKIE_#	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PUBMDCID	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PugT	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
ssi	Registers a unique ID that identifies a returning user's device. The ID is used for targeted ads.
_tmid	Registers a unique ID that identifies the user's device upon return visits. The ID is used to target ads in video clips.
wam-sync	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
wui	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
AFFICHE_W	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
B	Collects anonymous data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The registered data is used to categorise the users' interest and demographical profiles with the purpose of customising the website content depending on the visitor.
1P_JAR	These cookies are used to gather website statistics, and track conversion rates.
APISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
HSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
NID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SAPISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SIDCC	Security cookie to protect users data from unauthorised access.
SSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
__utmx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.
__utmxx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.

Name	Descripiton
_hjid	Hotjar cookie. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInSample	This cookie is associated with web analytics functionality and services from Hot Jar, a Malta based company. It uniquely identifies a visitor during a single browser session and indicates they are included in an audience sample.
intercom-id-[xxx]	This cookie is used by Intercom as a session so that users can continue a chat as they move through the site.
intercom-session-[xxx]	Used to keeping track of sessions and remember logins and conversations.
demdex	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
CookieConsent	Stores the user's cookie consent state for the current domain.
__cfduid	Used by the content network, Cloudflare, to identify trusted web traffic.
ss	These cookies enable the website to provide enhanced functionality and personalisation . They may be set by us or by third party providers whose services we have added to our pages. These services may include the Live Chat facility, Contact Us form(s), the Product Quotation forms and submission process, and the Email Newsletter sign up functionality .

Name	Descripiton
_ga	This cookie name is asssociated with Google Universal Analytics - which is a significant update to Google's more commonly used analytics service. This cookie is used to distinguish unique users by assigning a randomly generated number as a client identifier. It is included in each page. Registers a unique ID that is used to generate statistical data on how the visitor uses the website. request in a site and used to calculate visitor, session and campaign data for the sites analytics reports. By default it is set to expire after 2 years, although this is customisable by website owners.
_gat	Used by Google Analytics to throttle request rate. This cookie name is associated with Google Universal Analytics, according to documentation it is used to throttle the request rate - limiting the collection of data on high traffic sites. It expires after 10 minutes.
_gid	This cookie name is asssociated with Google Universal Analytics. This appears to be a new cookie and as of Spring 2017 no information is available from Google. It appears to store and update a unique value for each page visited. Registers a unique ID that is used to generate statistical data on how the visitor uses the website.
IDE	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
r/collect	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
test_cookie	Used to check if the user's browser supports cookies.
collect	Used to send data to Google Analytics about the visitor's device and behaviour. Tracks the visitor across devices and marketing channels.
ads/user-lists/#	These cookies may be set through our site by our advertising partners. They may be used by those companies to build a profile of your interests and show you relevant adverts on other sites.
c	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
khaos	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
put_#	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpb	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpx	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
tap.php	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.

Was ist Initialer Zugriff? MITRE ATT&CK® Initialer Zugriff Taktik | TA0001