9 Lateral-Movement-Techniken und die Verteidigung Ihres Netzwerks

Was sind Lateral-Movement-Techniken?

Lateral-Movement-Techniken beschreiben Strategien und Methoden, mit denen Cyberkriminelle nach dem ersten Zugriff in ein Netzwerk vordringen. Dabei geht es meist darum, bestimmte Daten oder Ressourcen im Netzwerk anzugreifen. Cyberkriminelle nutzen häufig Schwachstellen in der Netzwerksicherheit aus, um ihr Ziel zu erreichen. Das Verständnis dieser Techniken ist entscheidend für die Implementierung effektiver Cybersicherheitsmaßnahmen.

Gängige Lateral-Movement-Techniken

Sehen wir uns einige gängige Techniken an, die Cyberkriminelle für laterale Bewegungen verwenden.

1. Keylogger

Ein Keylogger ist eine Art Schadsoftware, die Tastatureingaben auf einem Computer aufzeichnet. Cyberkriminelle nutzen Keylogger, um vertrauliche Informationen wie Benutzernamen, Passwörter und Kreditkartennummern zu stehlen. Wenn ein Angreifer das Gerät eines Benutzers kompromittiert und einen Keylogger installiert, erhält er Zugriff auf alle Anmeldeinformationen, die dieser Mitarbeiter im Alltag verwendet. Dies ermöglicht eine laterale Bewegung.

2. Pass-the-Hash (PtH)-Angriffe

Bei einem PtH-Angriff stiehlt der Angreifer die gehashte Version des Passworts eines Benutzers und verwendet sie zur Authentifizierung als dieser Benutzer. Da der Hash anstelle des eigentlichen Passworts verwendet wird, kann der Angreifer passwortbasierte Authentifizierungsmethoden umgehen. Eine der Hauptschwachstellen, die zu PtH-Angriffen führen, sind unnötige oder veraltete Benutzerkonten. Diese können ein leichtes Ziel für PtH-Angriffe sein.

3. Pass-the-Ticket (PtT)-Angriffe (Gold- und Silbertickets)

Pass-the-Ticket-Angriffe (PtT) ähneln PtH-Angriffen, doch statt Kennwort-Hashes stiehlt der Angreifer Kerberos-Tickets. Kerberos ist ein Netzwerkauthentifizierungsprotokoll, das Tickets zur Benutzerauthentifizierung verwendet. Bei einem PtT-Angriff stiehlt der Angreifer das Ticket eines Benutzers und verwendet es zur Authentifizierung als dieser Benutzer.

Es gibt zwei Arten von PtT-Angriffen: Gold-Ticket- und Silver-Ticket-Angriffe. Bei einem Gold-Ticket-Angriff stiehlt der Angreifer das Ticket Granting Ticket (TGT), mit dem er sich als beliebiger Benutzer im Netzwerk authentifizieren kann. Bei einem Silver-Ticket-Angriff stiehlt der Angreifer ein Service-Ticket, mit dem er sich als Benutzer bei einem bestimmten Dienst authentifizieren kann.

4. Kerberoasting

Kerberoasting nutzt den Ticket Granting Service (TGS) des Kerberos-Protokolls aus, indem es die Verwendung und Verschlüsselung von Service-Tickets ausnutzt. Bei einem Kerberoasting-Angriff fordert der Angreifer zunächst ein TGS-Ticket für jeden Benutzer an, der auf einen bestimmten Dienst zugreift. Dieses Ticket ist stark verschlüsselt und enthält das Passwort des Dienstes. Einige Dienstkonten verfügen jedoch möglicherweise über schwächere Passwörter, die mit Brute-Force-Angriffen geknackt werden können.

Der Angreifer kann das TGS-Ticket offline nehmen und versuchen, es zu knacken, um das Passwort des Dienstkontos herauszufinden. Sobald das Passwort bekannt ist, kann er sich als Dienst ausgeben und auf die Daten des Dienstes zugreifen oder diese entschlüsseln. Im Gegensatz zu Pass-the-Ticket-Angriffen erfordert Kerberoasting keine Administratorrechte, ist nicht auf Kontosperrungsrichtlinien angewiesen und erzeugt keine verdächtigen Netzwerkaktivitäten, was es unauffälliger macht.

5. Remote Desktop Protocol (RDP)

RDP ermöglicht Benutzern die Fernsteuerung eines anderen Computers. Dies kann zwar für legitime Zwecke nützlich sein, Angreifer können es jedoch auch nutzen, um sich lateral durch ein Netzwerk zu bewegen. Aufgrund der mit RDP verbundenen Risiken sollte es nur im Notfall und mit starker Authentifizierung eingesetzt werden. Sie sollten Ihr Netzwerk außerdem regelmäßig auf unerwartete RDP-Sitzungen überwachen.

6. Server Message Block (SMB) und Windows Management Instrumentation (WMI)

SMB, ein Netzwerkprotokoll, das hauptsächlich für den gemeinsamen Zugriff auf Dateien, Drucker und serielle Schnittstellen verwendet wird, wird häufig von Angreifern ausgenutzt, um sich lateral im Netzwerk zu bewegen. Ein kritischer Exploit in SMB, genannt EternalBlue, wurde beim globalen WannaCry-Ransomware-Angriff verwendet. Aktuelle Versionen von SMB schließen diese Sicherheitslücken.

WMI ist ein Satz von Spezifikationen von Microsoft zur konsolidierten Verwaltung von Geräten und Anwendungen in einem Netzwerk. WMI kann jedoch von Cyberkriminellen manipuliert werden, um die Zulassungsliste von Anwendungen zu umgehen, hostbasierte Sicherheitstools zu umgehen und Skripte remote auszuführen.

SMB (insbesondere ältere Versionen oder Implementierungen, die nicht den Best Practices für Sicherheit entsprechen) und WMI stellen für Angreifer ein wirksames Tool dar, mit dem sie heimlich in ein Netzwerk eindringen können.

7. SSH-Hijacking

Bei dieser Methode erlangt ein Angreifer die Kontrolle über eine SSH-Sitzung und kann so Befehle auf dem Zielsystem ausführen. Diese Methode ist besonders gefährlich, da SSH häufig zur Fernverwaltung von Systemen verwendet wird. Ein Angreifer mit Kontrolle über eine SSH-Sitzung kann potenziell die gleichen Zugriffsrechte erlangen wie der ursprüngliche Benutzer.

8. Leben vom Land (LotL)

Living off the Land (LotL) ist eine Technik, bei der Angreifer bereits auf dem Zielsystem vorhandene Tools für ihre bösartigen Aktivitäten nutzen. Durch die Ausnutzung legitimer Programme und Prozesse können sich Angreifer in den regulären Netzwerkverkehr einfügen, was die Erkennung und Prävention erschwert.

Diese Technik kann alles umfassen, vom Missbrauch von PowerShell, der Befehlszeilenschnittstelle und Verwaltungstools bis hin zur Verwendung von Makros und Skripten. Sie ermöglicht Angreifern eine laterale Bewegung, indem sie die Tools auf bereits kompromittierten Systemen ausnutzen.

9. Maskerade und Mimikatz

Masquerading ist eine Lateral-Movement-Technik, bei der sich ein Angreifer als legitimer Benutzer oder Prozess ausgibt, um der Erkennung zu entgehen. Dies kann durch die Umbenennung bösartiger Dateien oder Prozesse in legitime Dateien oder Prozesse oder durch die Verwendung gestohlener Anmeldeinformationen geschehen, um als vertrauenswürdiger Benutzer aufzutreten.

Mimikatz ist ein Tool, das häufig bei Masquerading-Angriffen eingesetzt wird. Durch das Extrahieren von Klartext-Passwörtern, Hashes, PIN-Codes und Kerberos-Tickets aus dem Speicher ermöglicht Mimikatz Angreifern, sich als legitime Benutzer auszugeben und sich lateral im Netzwerk zu bewegen.

Traditioneller Lateral Movement-Schutz und die Notwendigkeit von UEBA

Sehen wir uns an, wie sich Unternehmen traditionell gegen laterale Bewegungen geschützt haben und welche Mängel diese Techniken aufweisen.

Warum herkömmliche Erkennungen mit Regeln nicht ausreichen

Der traditionelle Ansatz zur Erkennung von Cyberbedrohungen basiert auf regelbasierten Systemen. Wenn beispielsweise ein Benutzer innerhalb von fünf Minuten mehrere fehlgeschlagene Anmeldeversuche hatte, wurde eine Warnung ausgelöst. Diese regelbasierten Warnungen sind jedoch zunehmend unzureichend gegen ausgeklügelte Lateral-Movement-Techniken, da sie nur bestimmte, bekannte Bedrohungen erkennen können. Cyberkriminelle entwickeln ständig neue Strategien, um diese Regeln leicht zu umgehen.

Hier kommt User and Entity Behavior Analytics (UEBA) ins Spiel. UEBA nutzt maschinelle Lernalgorithmen und statistische Analysen, um abnormales Verhalten in Ihrem Netzwerk zu erkennen. Anstatt sich auf vorgegebene Regeln zu verlassen, lernt UEBA aus dem Verhalten von Benutzern und Entitäten im Netzwerk und löst bei Anomalien einen Alarm aus. Dadurch erkennt UEBA sowohl bekannte als auch unbekannte Bedrohungen und bietet einen robusteren Schutz gegen laterale Bewegungen.

Warum Privilegieneskalation wichtig ist

Cyberkriminelle verschaffen sich oft zunächst eingeschränkten Zugriff auf Ihr Netzwerk, indem sie kompromittierte Anmeldeinformationen oder eine Sicherheitslücke auf einem einzelnen Computer nutzen, die ihnen Zugriff auf Anwendungen oder Dienste ermöglicht. Um ihre Ziele zu erreichen, benötigen sie jedoch häufig höhere Berechtigungen. Dieser Prozess wird als „Berechtigungseskalation“ bezeichnet.

Das Verständnis der Rechteausweitung ist entscheidend, da sie oft der erste Schritt bei einem Lateral-Movement-Angriff ist. Wenn Sie die Rechteausweitung erkennen und stoppen können, können Sie den Angreifer daran hindern, sich lateral in Ihrem Netzwerk zu bewegen. UEBA-Technologie ist entscheidend für die Verhinderung von Rechteausweitungen, da die meisten Arten der Rechteausweitung von der typischen Aktivität in einem Benutzerkonto abweichen. Obwohl sie nicht eindeutig bösartig sind (z. B. ein Administrator, der einem anderen Benutzer Administratorzugriff gewährt), können sie erkannt und für weitere Untersuchungen markiert werden.

Wo können Sie die Aktivität sehen?

Das Erkennen von Lateral-Movement-Aktivitäten erfordert eine sorgfältige Überwachung Ihres Netzwerks. Dazu gehört die Überwachung von Benutzer- und Systemaktivitäten. Ungewöhnliche Benutzeraktivitäten, wie z. B. ein interner Rechner, der einen Out-of-Character-NMAP-Scan durchführt, oder Anmeldeversuche zu ungewöhnlichen Zeiten oder von ungewöhnlichen Orten aus, können auf einen potenziellen Angriff hinweisen. Unerwartete Systemaktivitäten, wie Änderungen der Dateiberechtigungen oder Systemkonfigurationen, können ebenfalls auf Lateral Movement hinweisen.

Fortschrittliche Tools zur Bedrohungserkennung unterstützen Sie bei der Überwachung dieser Aktivitäten. Diese Tools analysieren automatisch Protokolle anderer Erkennungs- oder Systemaktivitätsüberwachungssysteme, um verdächtige Aktivitäten zu erkennen. Moderne SIEM-Systeme (Security Information and Event Management) können beispielsweise Daten aus der gesamten IT-Umgebung sammeln und mit UEBA analysieren, um laterale Bewegungen frühzeitig zu erkennen, selbst wenn dabei fortschrittliche Ausweichtechniken zum Einsatz kommen.

Sichtbarkeit erreichen, Lateral Movement verhindern und abschwächen

Über die Verwendung von UEBA hinaus gibt es hier erweiterte Techniken, mit denen Sie seitliche Bewegungen in Ihrem Netzwerk verhindern können.

Mikrosegmentierung

Mikrosegmentierung unterteilt ein Netzwerk durch Containerisierung oder andere logische Zugriffskontrollen wie interne Firewalls oder Web-Gateways in mehrere isolierte Segmente. Dadurch können Sie die Fähigkeit eines Angreifers einschränken, sich lateral in Ihrem Netzwerk zu bewegen. Diese Methode begrenzt den Explosionsradius im Falle eines Angriffs und stellt sicher, dass sich der Angreifer selbst bei einer Kompromittierung eines Segments nicht lateral in andere Teile des Netzwerks bewegen kann.

Endpunktschutz

Beim Endpunktschutz geht es darum, Endpunkte oder Einstiegspunkte von Endbenutzergeräten wie Workstations und Mobilgeräten vor der Ausnutzung durch böswillige Akteure zu schützen. Dazu gehören in der Regel fortschrittliche Anti-Malware-Software, Geräte-Firewalls, Gerätekontrolle und weitere Sicherheitsmaßnahmen. Durch die Sicherung dieser Einstiegspunkte verhindern Sie, dass Angreifer in Ihr Netzwerk eindringen und sich lateral ausbreiten.

Active Directory-Sicherheit

Active Directory (AD), ob lokal oder cloudbasiert, spielt eine entscheidende Rolle für die Netzwerksicherheit. Es ermöglicht Administratoren die Verwaltung und Sicherung von Identitäten in einem Netzwerk. Mit der zunehmenden Verbreitung intelligenter Geräte (und der dazugehörigen Dienstkonten) ist die AD-Aktivität oft ein wichtiger Ort, um Anomalien zu erkennen und Versuche zur Rechteausweitung zu identifizieren. Moderne Cloud-Plattformen wie Azure Active Directory (Azure AD) und Okta AD bieten integrierte Tools zum Schutz von Identitäten und zur Erkennung von Anomalien. Durch die richtige Konfiguration und Sicherung Ihres AD können Sie viele Lateral-Movement-Techniken wie Pass-the-Hash und Kerberoasting verhindern.

Passwortrotation und Multi-Faktor-Authentifizierung

Bei der Passwortrotation handelt es sich um die regelmäßige Änderung von Benutzerkennwörtern. Diese Methode dient dazu, die Gültigkeitsdauer eines gestohlenen Passworts zu begrenzen und so unbefugten Zugriff durch kompromittierte Anmeldeinformationen zu verhindern.

Die Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene, indem sie von Benutzern die Angabe von zwei oder mehr Verifizierungsfaktoren für den Zugriff auf eine Ressource verlangt, z. B. ein physisches Token, einen Handy-Verifizierungscode oder einen Fingerabdruck zusätzlich zum Passwort. Dies ist äußerst effektiv gegen laterale Bewegungen, denn selbst wenn ein Angreifer ein Passwort erhält, benötigt er den zweiten Faktor, um fortzufahren.

Sicherheitsorchestrierung, -automatisierung und -reaktion (SOAR)

SOAR bezeichnet Technologien, die Sicherheitsbedrohungsdaten und Warnmeldungen aus verschiedenen Quellen sammeln und mithilfe von maschineller und menschlicher Analyse Vorfälle priorisieren, untersuchen und darauf reagieren. SOAR Automatisierung ermöglicht die schnelle Bearbeitung von Bedrohungen mit geringem Schweregrad ohne menschliches Eingreifen. Die Reaktionskomponente von SOAR versetzt Sicherheitsteams in die Lage, in Echtzeit auf Bedrohungen zu reagieren, Schäden zu minimieren und die laterale Ausbreitung von Angreifern zu verhindern.

Sichtbarkeit seitlicher Bewegungen mit Exabeam

Exabeam hilft Sicherheitsteams dabei, Angreifer durch laterale Bewegungen auszutricksen. Dies geschieht mithilfe von Automatisierung und Anwendungsfallinhalten im gesamten TDIR-Workflow (Analyst Threat Detection, Investigation and Response). Zunächst legen wir die zu erfassenden und zu analysierenden Datenquellen fest. Unsere Benutzer- und Entitätsverhaltensanalyse (UEBA) entwickelt dann eine Basislinie normaler Aktivitäten für jeden Benutzer und jedes Gerät in einer Organisation. Sobald sich ein Angreifer innerhalb eines Netzwerks bewegt, wird abnormale Aktivität mithilfe vorgefertigter Erkennungsregeln und -modelle identifiziert, einschließlich der Zuordnung zu Techniken MITRE ATT&CK ^Ⓡ Frameworks, die mit lateralen Bewegungen in Zusammenhang stehen. Diese Aktivität wird markiert und dem Risiko-Score des Benutzers oder der Entität hinzugefügt.

Risikobewertungen und Beobachtungslisten helfen Sicherheitsteams, sich auf die riskantesten Vorfälle zu konzentrieren, während Exabeam Smart Timelines automatisch die vollständige Angriffskette anzeigt, um die Untersuchung von Vorfällen drastisch zu beschleunigen. Exabeam Response Playbooks ermöglichen Analysten, Vorfälle schnell und effektiv zu beheben und die durchschnittliche Reaktionszeit (MTTR) zu verkürzen.

Erfahren Sie mehr über seitliche Bewegung und Exabeam