Typische Angriffe mit Seitwärtsbewegung und Schutzmaßnahmen
Mit Seitwärtsbewegungen können Angreifer tiefer in kompromittierte Umgebungen eindringen. Erfahren Sie, was Lateral Movement-Angriffe sind und welche Angriffstechniken es gibt.
In den Anfängen des Hackings führten Cyberangreifer „Smash-and-Grab“-Kampagnen durch, mit dem Ziel, so viele Daten wie möglich auf einen Schlag zu erhalten. Heutzutage gehen böswillige Akteure viel methodischer vor, vor allem, wenn man bedenkt, wie wertvoll digitale Güter sind. Die Angreifer studieren und erstellen Profile ihrer Opfer, um herauszufinden, welche Schwachstellen sie heimlich ausnutzen können. Sobald sie in das Gerät oder System eines Opfers eingedrungen sind, verstecken sich die Angreifer oft eine Weile, um Wege zu finden, ihre Angriffe auf andere Bereiche des Netzwerks auszuweiten und andere Hosts, Geräte oder Anwendungen zu erreichen.
Diese Art von Angriffen wird als „Lateral Movement Attack“ – also etwa Seitwärtsbewegungsangriff, bezeichnet. Schauen wir uns an, wie diese Angriffe funktionieren und welche verschiedenen Techniken die Angreifer bei der Seitwärtsbewegung anwenden.
Was versteht man bei IT-Angriffen unter Seitwärtsbewegung?
Seitwärtsbewegungen treten auf, nachdem Angreifer erfolgreich eine Umgebung kompromittiert haben und tiefer in das Netzwerk oder System eindringen. In den meisten Fällen sind die Angreifer auf der Suche nach Anmeldedaten von Mitarbeitern. Sie versuchen, ihre Privilegien mit Hilfe von Administratorkonten (zum Beispiel denen von IT-Manager, Netzwerk- und Systemadministratoren) zu erweitern, um auf sensiblere Daten zuzugreifen.
Sobald sie wertvolle Daten oder Vermögenswerte gefunden haben, verschieben die Angreifer diese Daten langsam in ihre eigene Umgebung. Der gesamte Prozess kann eine Woche oder länger dauern. Ziel ist es, unentdeckt zu bleiben, bis es für das Opfer zu spät ist, zu reagieren. Im Idealfall aus Sicht der Kriminellen, ist der Cyberangreifer zu dem Zeitpunkt, an dem eine Sicherheitsverletzung entdeckt wird, bereits aus dem System verschwunden.
Wie Angreifer sich seitwärts bewegen
Böswillige Akteure planen ihre Angriffe in der so genannten Aufklärungsphase. Sie scannen die Netzwerkinfrastruktur ihrer Opfer, um mehr über Hierarchien, Betriebssysteme, Geräte und sensible Daten zu erfahren.
Zu diesem Zweck verwenden die Angreifer eine Reihe von Werkzeugen, darunter häufig die folgenden:
netstat. Dieses Tool zeigt die Netzwerkverbindungen eines Geräts zu einem aktuellen Zeitpunkt an und gibt Angreifern Informationen darüber, wie die Komponenten in einem Netzwerk miteinander verbunden sind.
ipconfig und ifconfig. Mit diesen Befehlen können Angreifer auf verschiedene Netzwerkkonfigurationen zugreifen.
ARP-Cache (Address Resolution Protocol Cache). Diese Tabelle enthält wertvolle Daten über IP-Adressen und die zugehörigen MAC-Adressen.
PowerShell. Diese Skriptsprache und Befehlszeilen-Shell ermöglicht eine Aufschlüsselung der Netzwerksysteme, auf die ein Benutzer privilegierten Zugriff hat.
Techniken für Seitwärtsbewegungen in IT-Umgebungen
Sobald die Angreifer die Erkundungsphase abgeschlossen haben, müssen sie als Nächstes auf Anmeldeinformationen zugreifen oder ihre Rechte erweitern. Bei einigen grundlegenden Angriffen wird Social Engineering eingesetzt, um Benutzer zur Preisgabe ihrer Anmeldedaten zu verleiten. Die folgenden vier gängigen Techniken für laterale Bewegungen sind zu nennen:
Keylogger. Diese Programme, die von einer Phishing-E-Mail über einen bösartigen Link oder eine infizierte Datei bereitgestellt werden können, zeichnen jeden Tastenanschlag eines legitimen Benutzers auf und senden diese Informationen an den Angreifer.
Mimikatz. Dieses Open-Source-Tool ermöglicht Angreifern den Zugriff auf Klartextpasswörter, PINs, Tickets und Hashes im Speicher eines Systems.
Pass the Ticket. Nachdem sie mit einem Tool wie Mimikatz Kerberos-Authentifizierungstickets extrahiert haben, können sich Angreifer ohne das Passwort eines Benutzers authentifizieren. Bei einem Pass-the-Ticket-Angriff erstellen oder fangen böswillige Akteure Kerberos-Tickets ab und verwenden sie erneut, um sich als legitimer Benutzer auszugeben.
Pass the Hash. Bei einem Pass-the-Hash-Angriff erbeuten böswillige Akteure einen authentifizierten Hash eines Kennworts und verwenden ihn, um sich bei lokalen und Remote-Geräten sowie VMs anzumelden - ohne den Hash zu entschlüsseln. Nach der Anmeldung können Angreifer versuchen, sich seitwärts zu bewegen.
Wie man Angriffe mit Seitwärtsbewegungen unterbindet
Die Entdeckung von Angriffen mit Seitwärtsbewegungen ist schwierig, da die Angreifer so verdeckt wie möglich vorgehen. Es kann Monate dauern, bis ungewöhnliche Bewegungen oder Aktivitäten entdeckt werden. Daher ist Vorbeugung die beste Strategie. Es gibt drei Möglichkeiten, das Risiko eines Angriffs mit Seitwärtsbewegungen zu vermindern:
Verwenden Sie Mikrosegmentierung, um Daten und Workloads voneinander zu isolieren und den Ost-West-Verkehr zu begrenzen. Dadurch wird es für Angreifer schwierig, sich frei im System zu bewegen.
Schutz und Absicherung der Endpunkte. Endgeräte sind die Ausgangs- und Endpunkte für alle Netzwerkkommunikationsleitungen. Verwenden Sie Sicherheitsplattformen für Endgeräte, um verdächtiges Ein- und Ausgangsverhalten zu erkennen. Halten Sie die Geräte mit Patches auf dem aktuellen Stand. Protokollieren Sie die Netzwerkaktivitäten von Geräten, die mit internen Systemen verbunden sind.
Führen Sie regelmäßig Penetrationstests und Threat Hunting-Übungen durch - mindestens einmal im Quartal. Dies ist der beste Ansatz, um Cyberangreifer aufzuspüren, die in der IT- und Netzwerkinfrastruktur lauern.