Was ist Lateral Movement?

Lateral Movement in der Cybersicherheit ist eine Technik, bei der Angreifer, nachdem sie in das Netzwerk eines Unternehmens eingedrungen sind, ihre Privilegien erweitern, Schwachstellen ausnutzen und vieles mehr, um sich weiteren Zugang zu Vermögenswerten und Ressourcen zu verschaffen.

Lateral Movement ist an sich kein Angriff, sondern eine Phase, die zu einem Angriff führt. Angreifer nutzen diesen ersten Zugriff, um andere Konten im Netzwerk zu kompromittieren und so eine massive Wirkung zu erzielen. Diese Taktik wird hauptsächlich bei APTs eingesetzt, bei denen der Angreifer über einen längeren Zeitraum unentdeckt im Netzwerk bleibt, um Zugriff auf wertvollere Vermögenswerte oder Ressourcen zu erhalten.

Die Phasen des Lateral Movement

Um unentdeckt zu bleiben, bewegt sich der Angreifer langsam und schrittweise seitlich durch das Netzwerk. Die Bewegung kann in drei Phasen unterteilt werden:

Aufklärung

Jede Bewegung eines Angreifers wird sorgfältig geplant, um unentdeckt zu bleiben. Die Aufklärung ist die erste Phase der seitlichen Bewegung. Sobald der Bedrohungsakteur im Netzwerk Fuß gefasst hat, sammelt er Informationen über das Netzwerk, seine Geräte und Benutzer. Dies hilft ihm, sich taktisch durch das Netzwerk zu bewegen, ohne Verdacht zu erregen.

Dies sind einige der Tools und Techniken, die Angreifer zur Aufklärung einsetzen können:

• Nmap: Ein Netzwerkscanner, der Details über ein Netzwerk und die darauf ausgeführten Protokolle findet.
• Metasploit: Ein beliebtes Aufklärungstool, das zur Suche nach Schwachstellen im Netzwerk oder auf Servern verwendet werden kann.
• Bloodhound: Ein AD-Aufklärungstool, das die Beziehung zwischen AD-Objekten wie Computern, Gruppen und Benutzern identifiziert.
• Responder: Ein Tool, das verwendet werden kann, um die Protokolle Link-Local Multicast Name Resolution (LLMNR), NetBIOS Name Service (NBT-NS) und Multicast DNS (mDNS) zu manipulieren, um Netzwerkverkehr abzufangen und darauf zu reagieren und Anmeldeinformationen für die Benutzerauthentifizierung zu sammeln.
• PowerSploit: Eine Sammlung von PowerShell-Skripten, die zur Aufklärung verwendet werden können.
• Recon-ng: Ein auf Open Source Intelligence basierendes Tool, das zur Aufklärung verwendet wird.

Auslesen von Anmeldeinformationen

Dies ist die zweite Phase des Lateral Movement. Sobald der Angreifer Zugriff auf das Netzwerk erlangt und es gründlich untersucht hat, versucht er, seine Berechtigungen zu erweitern. Das bedeutet, dass der Angreifer Techniken zur Erhöhung der Berechtigungen einsetzt, um Zugriff auf Benutzerkonten und Geräte zu erhalten und sich so seitlich durch das Netzwerk zu bewegen.

Zu den gängigen Lateral-Movement-Techniken gehören:

• Kerberoasting: Bei dieser Technik werden Hashes von Kontoanmeldeinformationen aus AD extrahiert und offline geknackt.
• Golden Ticket: Diese Technik ermöglicht es dem Angreifer, Kerberos-Tickets zu fälschen, wodurch er Zugriff auf alle Ressourcen im AD erhält.
• Silver Ticket: Diese Technik ermöglicht es dem Angreifer, Authentifizierungstickets zu fälschen, indem er den Passwort-Hash eines Dienstkontos knackt. Der Angreifer kann dies nutzen, um Zugriff auf Dateifreigaben zu erhalten, wodurch er sensible Daten finden und exfiltrieren kann.
• Keylogging: Hierbei wird jede Tastenbewegung des Benutzers aufgezeichnet und verfolgt, in der Regel ohne dessen Wissen. Ein Angreifer kann dies nutzen, um das Benutzerverhalten und private Daten zusammenzustellen.
• Pass the hash: Hierbei handelt es sich um eine Technik, bei der Angreifer den Passwort-Hash anstelle des Klartext-Passworts verwenden, um eine gültige NTLM-Authentifizierung durchzuführen.
• Pass the ticket: Hierbei handelt es sich um eine Technik, bei der Angreifer gestohlene Kerberos-Tickets verwenden, um sich bei einer Domäne zu authentifizieren.
• RDP-Angriff: Bei dieser Technik werden gültige Anmeldedaten verwendet, um sich aus der Ferne bei einem System anzumelden und dann unter dem Deckmantel des angemeldeten Benutzers Aktionen auszuführen.
• Server Message Block-Angriff: Hierbei handelt es sich um ein Client-Server-Kommunikationsprotokoll, das von Angreifern missbraucht werden kann, um auf Dateifreigaben zuzugreifen und sich so seitlich durch ein Netzwerk zu bewegen.

Zugang erlangen

Wenn es dem Angreifer gelingt, die vorhandenen Sicherheitskontrollen zu umgehen und seine Berechtigungen innerhalb des Netzwerks zu erweitern, kann er schließlich auf die gewünschten sensiblen Daten zugreifen. Da der Angreifer dies mit legitimen Anmeldedaten tut, kann er unentdeckt bleiben.

Schritte zur Verhinderung von lateraler Ausbreitung

Angriffe mit lateraler Ausbreitung sind schwer zu erkennen, da sie Angriffstechniken verwenden, die wie ein legitimes Netzwerkereignis aussehen, wodurch sie über einen langen Zeitraum hinweg unentdeckt im Netzwerk bleiben können.

Minimale Rechte für Benutzer

Organisationen sollten das Prinzip der minimalen Rechte umsetzen, bei dem Benutzern nur der erforderliche Zugriff gewährt wird. Je weniger Rechte ein Konto hat, desto schwieriger ist es für den Angreifer, Zugriff auf die gewünschte Ressource zu erhalten.

MFA

Die Implementierung von MFA für Systeme, Ressourcen und Daten wird empfohlen. Es handelt sich um eine zusätzliche Sicherheitsebene, die dazu beiträgt, Brute-Force-Angriffe und andere Passwortangriffe zu verhindern.

Netzwerksegmentierung

Es hat sich bewährt, das Netzwerk in kleinere Teilnetzwerke zu unterteilen, die jeweils über eigene Protokolle und Richtlinien verfügen, um laterale Bewegungen innerhalb des Netzwerks zu verhindern.

Starke Passwörter

Organisationen sollten eine Richtlinie für sichere Passwörter für Systeme und Konten durchsetzen, um privilegierte Konten vor möglichen Versuchen lateraler Bewegungen zu schützen.

SIEM-Lösungen

SIEM-Lösungen können dazu beitragen, laterale Bewegungen zu verhindern, da sie Daten korrelieren, um auffällige Ereignisse zu identifizieren. Eine Lösung mit Verhaltensanalyse ist für diesen Zweck noch besser geeignet. Sie sammelt Daten von allen Endpunkten und verwendet ML-Funktionen, um eine Basislinie für normales Verhalten zu erstellen, und benachrichtigt Administratoren sofort über ungewöhnliche Aktivitäten.