Ein Ransomware-Angriff ist im Gange. Der Bedrohungsakteur hat sich zun?chst Zugang zu einem Endpunkt verschafft und dort b?sartigen Code ausgef¨¹hrt. Was den Bedrohungsakteur anbelangt, so l?uft alles gut. Die n?chste Phase ist jedoch entscheidend f¨¹r den Erfolg eines Ransomware-Angriffs. Ohne die M?glichkeit, sich in der gesamten Umgebung auszubreiten und alle Systeme zu verschl¨¹sseln oder zu sperren, ist es unwahrscheinlich, dass Bedrohungsakteure in der Lage sind, eine Organisation zu Zahlungen zu erpressen.
Um m?glichst viele Endger?te und m?glichst gro?e Teile der Umgebung eines Ziels zu infizieren, verteilt der Bedrohungsakteur ausf¨¹hrbare Dateien und Tools innerhalb der Zielumgebung durch Lateral Tool Transfer. Durch die Verwendung ?ffentlicher Dateifreigabetools wie Dropbox oder systemeigener Tools wie dem FTP-Dienstprogramm (File Transfer Protocol) verteilt der Bedrohungspaket sein Angriffspaket in der gesamten Umgebung und infiziert dabei Endger?te und Server, w?hrend er gleichzeitig ¨C als Bonus ¨C seine Bewegungen verschleiert.
Das ist laterale Bewegung in Aktion.
Dies ist entscheidend f¨¹r den Erfolg eines gr??eren Cyberangriffs, Ransomware oder eine andere Form, und wenn es erst einmal passiert ist, wird der Angriff schwieriger zu erkennen und zu stoppen. Zu verstehen, was laterale Bewegungen sind, wie sie ablaufen und wie sie verhindert werden k?nnen, ist entscheidend f¨¹r die Cybersicherheit eines Unternehmens in der heutigen wachsenden Bedrohungslandschaft, in der Bedrohungsakteure jedes verf¨¹gbare Tool nutzen, um in das Netzwerk eines Unternehmens einzudringen und Schaden anzurichten.
Was ist laterale Bewegung?
Eine laterale Bewegung tritt auf, wenn sich ein Bedrohungsakteur durch eine kompromittierte Umgebung bewegt und dabei h?ufig neue Zugriffs- und Benutzerrechte erlangt. Es handelt sich in der Regel um eine sp?tere Phase eines Sicherheitsvorfalls, die auftritt, nachdem der erste Zugriff ¨¹ber den Ausgangspunkt der Kompromittierung erlangt wurde, und oft, nachdem die Persistenz in der Umgebung aufrechterhalten wurde, die Rechte erweitert und die Verteidigungsma?nahmen umgangen wurden.
Sobald die laterale Bewegung begonnen hat, kann der Bedrohungsakteur gen¨¹gend Zugriff auf Endpunkte, Netzwerke und Server sammeln, um einen Ransomware-Angriff zu starten, Daten zu exfiltrieren, die f¨¹r zuk¨¹nftige Angriffe verwendet oder im Darknet verkauft werden k?nnen, geistiges Eigentum zu stehlen oder als Advanced Persistent Threat (APT) im System zu verbleiben, um Informationen zu sammeln und auf den perfekten Zeitpunkt f¨¹r einen Angriff zu warten.
Wie die laterale Bewegung funktioniert
Bedrohungsakteure nutzen bestehendes Vertrauen in Benutzerkonten und -zug?nge oder bestehende Schwachstellen aus, die eine Organisation noch nicht entsch?rft hat.
Zu den g?ngigen Techniken und Verfahren der lateralen Bewegung geh?ren:
1. Nutzung des Remote Desktop Protocol (RDP)
Angreifer nutzen RDP h?ufig, um mit g¨¹ltigen Anmeldedaten auf andere Systeme zuzugreifen. RDP bietet eine grafische Benutzeroberfl?che f¨¹r Remote-Management und ist damit eine attraktive Option f¨¹r laterale Bewegung.
2. Ausnutzung der Windows-Verwaltungsinstrumentierung (WMI)
WMI ist ein leistungsstarkes Management-Framework in Windows, das Angreifer ausnutzen k?nnen, um Befehle oder Skripte auf entfernten Systemen auszuf¨¹hren, ohne eine direkte Verbindung herstellen zu m¨¹ssen.
3. PsExec verwenden
Dieses Sysinternals-Tool erm?glicht Angreifern die Ausf¨¹hrung von Prozessen auf entfernten Systemen, wodurch laterale Bewegungen erleichtert werden, indem Befehle oder Skripte auf Zielmaschinen gestartet werden.
4. Zugriff auf SSH
In Umgebungen mit Linux- oder Unix-Systemen wird in der Regel Secure Shell (SSH) f¨¹r die Fernverwaltung verwendet. Angreifer k?nnen gestohlene Anmeldedaten verwenden, um direkt auf diese Systeme zuzugreifen.
5. Lateral Tool Transfer
Diese Technik erleichtert die weitere Ausnutzung, z. B. die Bereitstellung zus?tzlicher Nutzdaten oder die Ausf¨¹hrung von Skripten auf anderen Computern, und hilft den Bedrohungsakteuren, eine Entdeckung zu vermeiden und die Kontrolle ¨¹ber mehrere Systeme zu behalten.
6. Ferngesteuertes Hijacking
Nach dem anf?nglichen Eindringen in eine Zielumgebung nutzen Bedrohungsakteure Schwachstellen oder erbeutete Anmeldeinformationen aus, um aus der Ferne auf weitere Endger?te zuzugreifen. Auf diese Weise k?nnen sie dann Tools bereitstellen, Befehle ausf¨¹hren oder Malware installieren.
7. Internes Spear-Phishing
Diese Social-Engineering-Technik erm?glicht es Bedrohungsakteuren, eine laterale Bewegung auszuf¨¹hren, indem sie sich als Kollegen oder F¨¹hrungskr?fte eines Unternehmens ausgeben, E-Mails senden, in denen sie vertrauliche Informationen und Zugangsdaten anfordern, oder das Opfer dazu bringen, auf einen b?sartigen Link zu klicken, der ihnen tiefergehenden Zugang gew?hrt.
8. Nutzung von Anwendungszugriffstoken
Diese Token werden zur Authentifizierung von Benutzern und zur Gew?hrung des Zugangs zu Anwendungen verwendet. Bedrohungsakteure stehlen sie mit Tools wie Mimikatz, mit denen sie sich als autorisierte Benutzer ausgeben k?nnen.
Diese Liste erhebt keinen Anspruch auf Vollst?ndigkeit, soll aber aufzeigen, wie ein Angreifer seinen Zugang zu einer Zielumgebung durch laterale Bewegung auf unz?hlige Arten erweitern kann. Es h?ngt alles davon ab, welche Werkzeuge ihnen zur Verf¨¹gung stehen, worauf sie Zugriff haben und welches Verfahren am effizientesten ist und den gr??ten Schutz bietet, damit sie von der Cybersecurity-Architektur des Unternehmens nicht entdeckt werden.
Warum verwenden Bedrohungsakteure laterale Bewegungen?
Ein Hauptgrund, warum Bedrohungsakteure laterale Bewegung nutzen, ist, dass es f¨¹r Organisationen schwierig sein kann, sie zu erkennen, sobald sie stattfindet.
Die laterale Bewegung nutzt den so genannten “Ost/West”-Verkehr, der innerhalb eines Netzes oft als normal angesehen wird. Ein Benutzer ruft vielleicht seine E-Mails ab, meldet sich dann bei einer cloudbasierten Anwendung an und sieht sich dann vielleicht bestimmte Ressourcen an usw. Der “Nord/S¨¹d”-Verkehr, d. h. der Verkehr, der in das Netzwerk hinein und aus dem Netzwerk heraus flie?t, wird jedoch h?chstwahrscheinlich von Firewalls und Endger?t-Erkennungstools erkannt.
Sobald sich der Bedrohungsakteur in einer Zielumgebung befindet, kann er den “Ost/West”-Verkehr der seitlichen Bewegung nutzen, um seinen Zugang unbemerkt zu erweitern. W?ren Cyberangriffe Filme ¨¹ber Raub¨¹berf?llen w?ren, w?re die laterale Bewegung die Szene, in der der Dieb den Ausweis eines Kasinomitarbeiters klaut, um sich auf dem Weg zum Tresorraum durch die hinteren G?nge zu bewegen.
laterale Bewegung ist nicht dasselbe wie Berechtigungserweiterung. Rechteerweiterung verl?uft h?ufig von “Nord” nach “S¨¹d” und bezieht sich ausschlie?lich auf den Umfang des Zugriffs, den ein Benutzer auf eine Anwendung, ein Asset oder ein Netzwerk hat, und wie sich dieser Zugriff erweitert. Im Verlauf eines Angriffs kann ein Bedrohungsakteur Anmeldeinformationen erlangen und seine Rechte ausweiten, um Zugang zu einem anderen Teil der Umgebung zu erhalten, aber das ist an sich keine laterale Bewegung.
Erkennen und Verhindern von lateraler Bewegung
Eine wichtige Verteidigungsma?nahme gegen laterale Bewegungen besteht darin, den Angriff proaktiv zu identifizieren und einzud?mmen, bevor laterale Bewegungen stattfinden. Dies kann jedoch aus verschiedenen Gr¨¹nden schwierig sein, u. a. wegen der schieren Menge der urspr¨¹nglichen Zugangspunkte, die ein Angreifer nutzen k?nnte. Au?erdem hat sich die Verweildauer – die Zeit, die ein Angreifer in einem Netzwerk verbringt, bevor er aktiv wird – von Jahr zu Jahr verk¨¹rzt, was bedeutet, dass Sicherheitsteams weniger Zeit und M?glichkeiten haben, ihn zu erkennen und zu stoppen.
Die Zeitspanne, bevor eine laterale Bewegung stattfindet, wird als “Breakout-Zeit” bezeichnet. Wenn ein Angriff innerhalb dieses Zeitfensters gestoppt werden kann, reduziert dies Kosten, Auswirkungen und m?gliche Gesch?ftsunterbrechungen oder Ausfallzeiten. Sie kann auch den Unterschied zwischen einem Cybervorfall und einem erfolgreichen Cyberangriff ausmachen.
Es gibt zwei Hauptmethoden, um laterale Bewegung zu verhindern:
Echtzeit-?berwachung der Umgebung
Fortschrittliche ?berwachungsl?sungen, wie Managed Detection and Response (MDR), k?nnen ungew?hnliche Benutzeraktivit?ten, Regel?nderungen innerhalb von Anwendungen oder pl?tzliche Bewegungen eines einzelnen Benutzers in der Umgebung erkennen. Ein Unternehmen mit MDR kann diese Aktivit?t ¨¹berwachen und sie den oben genannten Techniken zuordnen, um Verhaltensmuster zu erkennen, die einer lateralen Bewegung ?hneln.
Verhaltensanalyse
An dieser Stelle wird aus der ?berwachung eine Untersuchung. Es ist eine Sache, zu sehen, dass “der Benutzer zuerst x, dann y und dann z gemacht hat”, und eine andere, dass Software- und menschliche Analysten feststellen, dass dieses Verhalten verd?chtig sein oder mit g?ngigen Techniken von lateraler Bewegung ¨¹bereinstimmen k?nnte.
Die Verhinderung lateraler Bewegungen ist ein wesentlicher Bestandteil der Cybersecurity. Ein Bedrohungsakteur will nicht entdeckt werden und will effizient arbeiten. Wenn Angreifer sich in der Umgebung nicht bewegen k?nnen, schr?nkt dies ihre Bewegungsfreiheit ein und mindert die Auswirkungen des Vorfalls. Beispielsweise k?nnen gestohlene Zugangsdaten, die in einer Umgebung nur schwer zu nutzen sind, den Angreifer davon abhalten, weiterzumachen, vor allem, wenn die Wahrscheinlichkeit, entdeckt zu werden, dadurch steigt und es andere Organisationen gibt, die er angreifen kann.
Zu diesen Pr?ventionsma?nahmen geh?ren:
- Nutzung der Netzwerkisolierung und Netzwerksegmentierung. Dadurch werden Teile des Netzes voneinander abgeschnitten, was einen Bedrohungsakteur daran hindert, seinen Aktionsradius zu erweitern oder sich in einem Teil des Netzwerks zu bewegen.
- Einsatz von Vulnerability Management. Bedrohungsakteure nutzen Schwachstellen h?ufig nicht nur f¨¹r den Erstzugriff, sondern auch f¨¹r laterale Bewegungen, um auf verschiedene Anwendungen zuzugreifen. Richtiges Patching und ein robustes Vulnerability Management-Programm schlie?en diese L¨¹cken, bevor sie ausgenutzt werden.
- Umsetzung von Zero Trust. Zero Trust beseitigt alle expliziten Zugriffe und stellt sicher, dass ein Benutzer sich verifizieren muss, um Zugriff auf ein Asset oder eine Anwendung zu erhalten. Dies wird einen Angreifer sofort stoppen, selbst wenn er Anmeldeinformationen hat, da er sich nicht verifizieren kann. Selbst wenn dies der Fall ist, werden sie mit noch mehr verschlossenen T¨¹ren und noch mehr Kombinationen konfrontiert, die sie zu knacken versuchen. Die Idee besteht darin, nicht nur die Gef?hrdung wertvoller Anwendungen und Ressourcen zu reduzieren, sondern diese Bedrohungsakteure zu verlangsamen, bis sie aufgeben oder entdeckt werden.
- Einsatz von 24¡Á7 ?berwachungs- und Detektionsl?sungen. Wie bereits erw?hnt, ist die ?berwachung wichtig, aber wenn Sie nicht in der Lage sind, verschiedene Ereignisse innerhalb einer Umgebung zu erkennen und zu korrelieren, k?nnen Sie m?glicherweise nicht verhindern, dass ein Angriff eskaliert. Durch den Einsatz einer MDR-L?sung wie Arctic Wolf? Managed Detection and Response erh?lt Ihre Organisation einen ganzheitlichen ?berblick ¨¹ber ihre gesamte Angriffsfl?che und kann sicherstellen, dass Sie im Falle eines Vorfalls schnell handeln k?nnen, um laterale Bewegungen zu verhindern.
Erfahren Sie im Arctic Wolf 2024 Security Operations Report, wie sich moderne Security Operations weiterentwickeln, um die innovativsten Cyberangriffe von heute zu bek?mpfen.
Informieren Sie sich ¨¹ber die Bedrohungen von heute und dar¨¹ber, wie Sie sich auf die Bedrohungen von morgen vorbereiten k?nnen, mit unserem Arctic Wolf Labs 2024 Threat Report.
