Was ist Lateral Movement und wie kann man es erkennen und verhindern?

Laterale Bewegung bezeichnet Techniken, mit denen sich Cyber-Angreifer schrittweise durch ein Netzwerk bewegen und gezielt nach wichtigen Daten und Assets suchen. Laterale Bewegung findet nach dem ersten Angriff auf einen Endpunkt statt. Diese Angriffsmethode erfordert die zusätzliche Kompromittierung von Benutzerkonto-Anmeldeinformationen. Mit diesen Kontoanmeldeinformationen versucht der Angreifer, durch laterale Bewegung durch das Netzwerk auf andere Knoten zuzugreifen.

Lateral-Movement-Techniken werden häufig bei komplexen Cyberangriffen wie Advanced Persistent Threats (APTs) eingesetzt. Angreifer nutzen diese Techniken, um von einem kompromittierten System aus auf andere Hosts zuzugreifen und Zugriff auf sensible Ressourcen wie Postfächer, freigegebene Ordner oder Anmeldeinformationen zu erhalten. Diese können wiederum genutzt werden, um weitere Systeme zu kompromittieren, Berechtigungen zu erweitern oder wertvollere Anmeldeinformationen zu stehlen. Diese Art von Angriff kann letztendlich Zugriff auf den Domänencontroller und die vollständige Kontrolle über eine Windows-basierte Infrastruktur oder geschäftsbezogene Betreiberkonten ermöglichen.

Wie funktioniert die seitliche Bewegung?

Während die Angreifer Informationen über die Umgebung sammeln, versuchen sie parallel, weitere Anmeldeinformationen zu stehlen, Fehlkonfigurationen auszunutzen oder Software-Schwachstellen zu isolieren, um tiefer in das Netzwerk einzudringen.

Der Angreifer nutzt dann laterale Bewegungen, um Schlüsselpunkte im infizierten Netzwerk zu kontrollieren. Diese zusätzlichen Positionen helfen dem Angreifer, seine Persistenz aufrechtzuerhalten, selbst wenn ein Sicherheitsteam sie auf einem kompromittierten Computer erkennt.

Die Lateralbewegung kann in diese fünf Schritte unterteilt werden:

1. Externe Aufklärung– Der erste Schritt eines Angreifers besteht darin, die Zielorganisation auszukundschaften. Die Aufklärungsaktivitäten umfassen externe Netzwerkscans, Social Media und Passwort-Dumps. Ziel ist es, das Netzwerk des Ziels und den wahrscheinlichsten Angriffsvektor zu verstehen. Liegen beispielsweise Anmeldedaten-Dumps von Mitarbeitern der Zielorganisation vor, könnte der Angreifer versuchen, den Zugriff auf das VPN oder die externe E-Mail-Adresse der Organisation zu authentifizieren. Eine andere Methode ist die Verwendung von Open-Source-Tools wie Shodan, um offene Ports und Schwachstellen des Ziels zu identifizieren, ohne einen Scan durchzuführen.

2. Erste Infiltration– Sobald ein Angreifer den Angriffsvektor identifiziert hat, nutzt er die Schwachstelle aus, um Zugriff auf das Netzwerk des Ziels zu erhalten. Angreifer können beispielsweise anfällige Geräte oder Anwendungen nutzen, die über das öffentliche Internet zugänglich sind. Dies ist eine vertikale Bewegung von außen nach innen. Anschließend können sie sich lateral innerhalb des Netzwerks bewegen, um ihr Ziel zu erreichen.

3. Interne Aufklärung– Angreifer sammeln Informationen wie Betriebssysteme, Netzwerkhierarchie und die auf den Servern verwendeten Ressourcen, um die Umgebung abzubilden und Schwachstellen zu identifizieren. Zu den Betriebssystem-Dienstprogrammen, die Angreifer für die interne Aufklärung nutzen können, gehören Netstat, IPConfig/IFConfig, ARP-Cache, lokale Routing-Tabellen und PowerShell. Darüber hinaus können ungesicherte Intranetseiten Angreifern interne Dokumentationen über die Infrastruktur und den Speicherort der Zieldaten liefern.

4. Diebstahl von Anmeldeinformationen– Sobald Angreifer im Netzwerk sind, suchen sie nach neuen Geräten, um ihre Kontrolle auszuweiten. Um von System zu System zu gelangen, versuchen sie möglicherweise, mithilfe von Keyloggern, Netzwerk-Sniffer, Brute-Force-Angriffen auf Passwörter oder Phishing an gültige Benutzeranmeldeinformationen zu gelangen und Benutzer zur Eingabe ihrer Anmeldeinformationen zu verleiten. Es kommt jedoch nicht selten vor, dass Angreifer Anmeldeinformationen auf Intranetseiten, in Skripten oder anderen leicht zugänglichen Dateien/Systemen finden. Der Angreifer kann diese Anmeldeinformationen verwenden, um seine Berechtigungen zu erhöhen und seinen Zugriff zu erweitern. Das ultimative Ziel des Angreifers besteht darin, seine Berechtigungen auf Domänenadministratoren auszuweiten, um vollständigen Zugriff und Kontrolle über die Domäne zu erhalten. Mit Domänenadministratorberechtigungen können Angreifer einen Domänencontroller ins Visier nehmen und die Datei NTDS.dit aus der Volumeschattenkopie des Systems sichern. Dadurch erhält der Angreifer Zugriff auf die Kennwort-Hashes aller Domänenbenutzer, einschließlich der Dienstkonten. Durch den Erhalt des Kennwort-Hashes für KRBTGT können Angreifer ein Golden Ticket mit uneingeschränktem Zugriff erstellen.

5. Kompromittierung weiterer Systeme– Nachdem Angreifer nun über die Zugangsdaten für ihre Zielsysteme verfügen, nutzen sie Fernsteuerungstools wie psexec, PowerShell, Remote Desktop Protocol oder Fernzugriffssoftware, um auf diese Systeme zuzugreifen. IT-Mitarbeiter greifen häufig auf diese Weise auf Desktops zu, sodass der Fernzugriff in der Regel nicht mit einem dauerhaften Angriff verbunden ist. Angreifer stellen jedoch eine dauerhafte Verbindung zum Netzwerk her, um mehrere Zugriffswege offen zu halten. Schließlich exfiltriert der Angreifer die Daten mithilfe von Techniken wie Datenkomprimierung, Datenverschlüsselung und geplanten Übertragungen auf einen Command-and-Control-Server, um unentdeckt zu bleiben.

So erkennen Sie seitliche Bewegungen

Das Erkennen lateraler Bewegungen in einem Netzwerk kann eine Herausforderung sein, da Angreifer häufig legitime Tools und verifizierte Anmeldeinformationen verwenden und normale Prozesse missbrauchen, um sich in den normalen Datenverkehr einzufügen. Es gibt jedoch verschiedene Strategien und Tools, um verdächtige Aktivitäten zu identifizieren, die auf laterale Bewegungen hindeuten. Hier sind einige Ansätze:

• Überwachen Sie das Benutzerverhalten: Analysieren Sie das Benutzerverhalten auf Anomalien wie ungewöhnliche Anmeldezeiten, Standorte oder Zugriffsmuster. Tools wie User and Entity Behavior Analytics (UEBA) können dabei helfen, Abweichungen vom normalen Verhalten zu erkennen.
• Netzwerksegmentierung: Teilen Sie das Netzwerk in kleinere Segmente mit eingeschränktem Zugriff untereinander auf. Dies schränkt nicht nur die Bewegungsfreiheit eines Angreifers innerhalb des Netzwerks ein, sondern erleichtert auch die Erkennung ungewöhnlicher Verkehrsmuster.
• Überprüfen Sie regelmäßig privilegierte Konten: Überwachen Sie Konten mit erhöhten Berechtigungen und stellen Sie sicher, dass der Zugriff auf diejenigen beschränkt ist, die ihn wirklich benötigen. Überprüfen Sie diese Konten regelmäßig auf ungewöhnliche Aktivitäten.
• Überprüfen Sie regelmäßig die Aktivität Ihrer Servicekonten: Überwachen Sie Ihre Servicekonten. Jede Abweichung beim Zugriff auf neue Systeme oder beim Versuch, Logins auszutauschen, sollte umgehend überprüft und behoben werden.
• Setzen Sie Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) ein: Diese Technologien können dabei helfen, verdächtige Aktivitäten innerhalb des Netzwerks zu identifizieren und zu blockieren, indem sie den Datenverkehr überwachen und nach bekannten Angriffsmustern suchen.
• Überwachen Sie den Netzwerkverkehr: Analysieren Sie den Netzwerkverkehr auf ungewöhnliche Muster, wie etwa Spitzen bei Datenübertragungen, Verbindungen zu ungewöhnlichen Ports oder Verbindungen zu bekannten bösartigen IP-Adressen.
• Überwachen Sie Endpunktaktivitäten: Implementieren Sie Tools zur Endpunkterkennung und -reaktion (EDR), um Aktivitäten auf Endpunkten (wie Servern, Workstations und Mobilgeräten) zu verfolgen und ungewöhnliche Prozessausführungen oder Dateiänderungen zu erkennen.
• Protokolldateien prüfen: Überprüfen Sie regelmäßig Protokolldateien aus verschiedenen Quellen wie Firewalls, Servern und Anwendungen, um verdächtige Aktivitäten zu identifizieren. Die Bewegung großer Dateien aus unerwarteten Quellen oder zu unbekannten Zielen sollte immer als Ereignis gekennzeichnet werden.
• Implementieren Sie eine starke Authentifizierung: Verwenden Sie die Multi-Faktor-Authentifizierung (MFA), um die Wahrscheinlichkeit zu verringern, dass kompromittierte Anmeldeinformationen für laterale Bewegungen verwendet werden.
• Regelmäßiges Patchen und Aktualisieren: Halten Sie Software, Betriebssysteme und Firmware mit den neuesten Sicherheitspatches auf dem neuesten Stand, um Schwachstellen zu minimieren, die für laterale Bewegungen ausgenutzt werden können.
• Sicherheitsschulung und -bewusstsein: Informieren Sie Ihre Mitarbeiter über bewährte Sicherheitspraktiken und wie sie potenzielle Bedrohungen wie Phishing-E-Mails erkennen, die einem Angreifer ersten Zugriff auf das Netzwerk verschaffen können.

Bedenken Sie, dass kein einzelner Ansatz narrensicher ist. Entscheidend ist eine mehrschichtige Sicherheitsstrategie, die verschiedene Techniken kombiniert, um laterale Bewegungen effektiv zu erkennen und zu verhindern.

Best Practices zur Vermeidung von Lateralbewegungen

Es gibt mehrere Vorgehensweisen, mit denen Sie laterale Bewegungen innerhalb Ihres Netzwerks verhindern und schützen können:

1. Geringste Privilegien– Jeder Benutzer muss ordnungsgemäß kategorisiert sein und darf nur auf die Systeme, Anwendungen oder Netzwerksegmente zugreifen, die für seine Arbeit erforderlich sind. Beispielsweise sollten in einem Unternehmensnetzwerk ausschließlich IT-Mitarbeiter Geräte wie Desktops und Notebooks verwalten. IT-Mitarbeiter sollten Benutzern keine Administratorrechte erteilen.

2. Whitelisting– Jede von einem Benutzer angeforderte Anwendung sollte sorgfältig geprüft werden. Es lohnt sich, eine Liste seriöser Anwendungen zu verfolgen und diejenigen mit bekannten Schwachstellen auszuschließen. Wenn eine Anwendung angefordert wird, deren Funktionen bereits von einer anderen Anwendung erfüllt werden, ist es möglicherweise nicht erforderlich, den Dienst zu aktivieren. Beispielsweise infizierte NotPetya ein großes Transportunternehmen über ein Anwendungsupdate eines Drittanbieters.

3.EDR-Sicherheit– Endpoint Detection and Response (EDR)-Lösungen überwachen Online- und Offline-Endpunkte, sammeln und speichern Daten zu historischen Endpunktereignissen und gleichen diese mit verwertbaren Sicherheitsinformationen sowie bekannten Taktiken, Techniken und Verfahren (TTPs) ab. Die von einer EDR-Lösung gesammelten Daten bieten Transparenz und helfen, Muster und Verhaltensweisen zu erkennen, die Angreifer hinterlassen, wenn sie versuchen, sich in einer Umgebung festzusetzen. IT-Mitarbeiter können aktive Angriffe stoppen, den Schaden schnell beheben, infizierte Systeme isolieren, um eine laterale Ausbreitung zu verhindern, und schädliche Dateien entfernen, die die Angreifer hinterlassen haben.

4. Passwortverwaltung– Die Durchsetzung der Passwortverwaltung ist eine wichtige Maßnahme zum Schutz Ihrer Benutzerkonten und hilft Ihnen auch, mögliche Angriffsversuche zu verhindern. Unternehmen sollten für alle privilegierten Systeme und Konten sichere und eindeutige Passwörter durchsetzen. Administratoren müssen vor allem eine gute Kontoverwaltung praktizieren. Microsoft empfiehlt beispielsweise: „Ändern Sie das Passwort [KRBTGT] regelmäßig.“ Dies wird mindestens vierteljährlich empfohlen, auch für Administrator- und Servicekonten.

5. Multi-Faktor-Authentifizierung– Die Multi-Faktor-Authentifizierung erweitert die standardmäßige Authentifizierung mit Benutzername und Passwort um eine zusätzliche Sicherheitsebene. Dies geschieht durch die Implementierung einer Multi-Faktor-Authentifizierung für den Zugriff auf interne Systeme, Anwendungen und Daten. Dies erhöht den Aufwand für Angreifer, ein durch Multi-Faktor-Authentifizierung geschütztes Konto zu kompromittieren.

Einpacken

Laterale Bewegungen spielen bei Cyberangriffen eine wichtige Rolle und werden von APT-Gruppen genutzt. In dieser Phase erkunden Angreifer aktiv das Netzwerk einer Organisation, um Schwachstellen zu finden. Praktiken wie die Anwendung des Least-Privilege-Prinzips, Whitelists, die Implementierung einer EDR-Lösung sowie die Anforderung einer Multi-Faktor-Authentifizierung und sicherer Passwörter erschweren Eindringlingen die Fortbewegung, selbst wenn sie sich bereits im Netzwerk befinden.

Laterale Bewegungen sind auch die Phase, in der die Aktivitäten des Angreifers am stärksten gefährdet sind. EDR-Lösungen, die Transparenz über das Netzwerk eines Unternehmens bieten, können diese Anfälligkeit nutzen, um laterale Bewegungen zu erkennen. Ein Sicherheitsteam kann so abnormales Verhalten erkennen und laterale Bewegungen aufdecken, bevor es sein Ziel, die Datenexfiltration, erreicht. Um mehr darüber zu erfahren, wie Exabeam Ihnen helfen kann, laterale Bewegungen in Ihrem Unternehmen zu erkennen, erfahren Sie hier mehr.